Windows および Linux (x86 プラットフォームおよび x86-64 プラットフォーム) で IBM MQ を構成する権限をユーザーに付与します

IBM® MQ は、通常のユーザー権限とグループ権限を使用して、 IBM MQ アプリケーションと IBM MQ 管理を保護します。

構成 IBM MQ

本タスクについて

IBM MQ のインストールにより、ローカル・グループ mqm が自動的に作成されます。 mqm グループに属しているユーザーのみが、キュー・マネージャーの作成、 削除、および変更、キュー・マネージャー・オブジェクトに対する権限の設定、リスナーの実行などのタスクを実行できます。 これらのタスクを実行するために使用されるコマンドについて詳しくは、 制御コマンドを使用した管理を参照してください。

Windows では、Windows Administrators グループのメンバーであるユーザー名もこのようなタスクを実行する権限を持っています。 また、Windows Administrators グループのメンバーであるユーザーは、 ローカルの Windows オペレーティング・システムの設定を変更することも許可されています。 Windows 上の IBM MQ の場合、ユーザー名には最大 20 文字を使用できます。その他のプラットフォーム上の IBM MQ の場合、ユーザー名に使用できるのは最大 12 文字のみです。

キュー・マネージャーを管理するユーザー権限を与えるには、次のようにします。

手順

  1. Windowsの場合は管理者権限、 Linux®の場合は root 権限を持つユーザー名でオペレーティング・システムにログインします。
  2. ユーザー・ユーザー名を mqm グループに追加します。

結果

Windowsでは、 IBM MQ Explorer が始動時に権限を照会するセキュリティー・トークンには、ユーザー名と権限情報が含まれ、 Windowsによってキャッシュされます。 ユーザー名権限に変更を加えた場合、 IBM MQ Explorer の再始動時に変更を有効にするには、そのユーザーはログオフしてから再度ログオンする必要があります。

IBM MQ 操作の実行

本タスクについて

キュー・マネージャーへの接続、キューのオープン、キューの作成などの操作を実行するには、ユーザーに適切な IBM MQ 特権が必要です。 mqm グループに属しているユーザー、または +chg 権限を付与されているユーザーのみが、キュー・マネージャーの作成、 削除、変更などのタスクを実行できます。 正しい特権を持つユーザーはアプリケーションを実行できますが、 mqm グループのメンバーではない場合、キュー・マネージャーの作成や削除などを行うことはできません。

独自のネットワーク上で作成および実装する IBM MQ アプリケーションに対して、さまざまなレベルの機能を持つユーザー名許可を作成することができます。これにより、例えば、ユーザー名がキュー・マネージャーに接続してキューにメッセージを書き込んだり取得したりする権限を持つが、そのキューの属性を変更する権限を持たないようにすることができます。 これを行うには、setmqaut コマンドを使用します。 詳しくは、 setmqautを参照してください。 ネットワークのグローバル・グループのアプリケーション・メンバーを使用するユーザー名を作成して、アプリケーションが実行されている各コンピューターで、グローバル・グループを mqm グループのメンバーにすることができます。

setmqaut コマンドによって IBM MQ 許可に加えられた変更は、即時に有効になります。 ただし、ユーザー名権限の変更は、関連するキュー・マネージャーが停止され、再始動されるまでは有効になりません。

IBM MQ インストールのための Windows サービスの開始

本タスクについて

このサービスは、Windows 起動時に、どのユーザーもまだログオンしていない時点で開始されます。 このサービスを使用して、自動開始オプションによって構成されているすべてのキュー・マネージャーを開始します。 正しい権限でキュー・マネージャーのプロセスが実行されるようにするには、適切なユーザー名でサービスを構成する必要があります。 IBM MQ サービスの構成について詳しくは、 IBM MQ Windows サービス・ユーザー・アカウントのパスワードの変更を参照してください。