WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Requisitos de Segurança para Sistemas Windows

Os requisitos de segurança dependem da tarefa administrativa que você deseja desempenhar.

As tabelas a seguir resumem os requisitos para tarefas administrativas. Elas mostram qual associação ao grupo é necessária se você estiver usando um domínio de segurança local definido no sistema local.

Nota: Se você tiver ativado a segurança de administração do broker, também deverá configurar a autoridade detalhada em Tarefas e Autorizações para Segurança de Administração.

Usuários de domínio em um domínio com diversas estações de trabalho ou de domínios que estão em um relacionamento confiável transitivo do Windows com o domínio local, também podem executar essas tarefas administrativas. Eles precisam preencher os requisitos de associação ao grupo especificados nas tabelas. Uma maneira de configurar essa associação ao grupo é incluindo o usuário do domínio em um grupo de domínios que, por sua vez, é um membro do grupo local. Para obter um exemplo de como configurar a segurança usando grupos de domínios, consulte Segurança em um Ambiente de Domínio do Windows.

Tarefa Comando Autorização
Criar, excluir ou migrar um broker

mqsicreatebroker

mqsideletebroker

mqsimigratecomponents

  • Deve ser um ID de usuário definido em WORKSTATION.
  • Membro de Administrators.
  • Nos sistemas Windows 7 e Windows Server 2008, o ID do usuário usado para executar esse comando deve ser executado a partir de um prompt de comandos com privilégios elevados. Para obter mais informações, consulte Comando mqsicommandconsole.
  • Usando LDAP: assegure-se de que o registro esteja assegurado apropriadamente para evitar acesso não autorizado. A configuração dos parâmetros LdapPrincipal e LdapCredentials no mqsichangebroker não é necessário para a operação correta do broker. A senha não é armazenada em texto sem formatação no sistema de arquivo.
Alterar um broker

mqsichangebroker

  • Deve ser um ID de usuário definido em WORKSTATION.
  • Membro de mqbrkrs.
  • Se você especificar o parâmetro -s para ativar a segurança de administração do broker, o ID do usuário usado para executar esse comando deverá ser membro do grupo mqm, porque são criadas várias filas para serem usadas pelo broker.
  • Usando LDAP: assegure-se de que o registro esteja assegurado apropriadamente para evitar acesso não autorizado. A configuração dos parâmetros LdapPrincipal e LdapCredentials no mqsichangebroker não é necessário para a operação correta do broker. A senha não é armazenada em texto sem formatação no sistema de arquivo.
Incluir ou remover uma instância do broker

mqsiaddbrokerinstance

mqsiremovebrokerinstance

  • Deve ser um ID de usuário definido em WORKSTATION.
  • Membro de Administrators.
  • Nos sistemas Windows 7 e Windows Server 2008, o ID do usuário usado para executar esse comando deve ser executado a partir de um prompt de comandos com privilégios elevados. Para obter mais informações, consulte Comando mqsicommandconsole.
Fazer backup ou restaurar um broker

mqsibackupbroker

mqsirestorebroker

  • Membro de mqbrkrs.
Iniciar um broker ou verificar um broker

mqsistart

mqsicvp

  • Membro de mqbrkrs.
  • Membro de mqm se o gerenciador de filas ainda não estiver em execução.
Parar um broker

mqsistop

  • Membro de mqbrkrs.
  • Membro de mqm se -q estiver especificado.
Criar ou excluir um grupo de execução

mqsicreateexecutiongroup

mqsideleteexecutiongroup

  • Membro de mqbrkrs.
  • Se a segurança de administração do broker estiver ativa, o ID do usuário que executar esse comando deverá ser um membro do grupo mqm. Se não desejar que seu broker seja executado com a autoridade mqm, você deverá trabalhar com o administrador do WebSphere MQ para criar ou excluir a fila de autoridades apropriada ao criar ou excluir um grupo de execução.
Iniciar ou parar um fluxo de mensagens

mqsistartmsgflow

mqsistopmsgflow

  • Membro de mqbrkrs.
Criar ou excluir um serviço configurável

mqsicreateconfigurableservice

mqsideleteconfigurableservice

  • Membro de mqbrkrs.
Listar brokers

mqsilist

  • Deve ser um ID de usuário definido em WORKSTATION.
  • Membro do mqbrkrs ou mqm para executar o comando com o broker e o grupo de execução especificado:
    mqsilist broker_name execution_group_name
Mostrar propriedades do broker

mqsireportbroker

mqsireportproperties

mqsireportflowmonitoring

mqsireportflowstats

mqsireportflowuserexits

mqsireportresourcestats

  • Membro de mqbrkrs.
Alterar propriedades

mqsichangeproperties

mqsichangeflowmonitoring

mqsichangeflowstats

mqsichangeflowuserexits

mqsichangeresourcestats

  • Membro de mqbrkrs.
Configurar e atualizar senhas

mqsisetdbparms

  • Membro de mqbrkrs.
Relatar ou atualizar um modo de broker

mqsimode

  • Membro de mqbrkrs.
Implementar um objeto em um Broker

mqsideploy

  • Membro de mqbrkrs.
Recarregar um broker, grupos de execução ou segurança

mqsireload

mqsireloadsecurity

  • Membro de mqbrkrs.
Rastrear um broker

mqsichangetrace

mqsireporttrace

mqsireadlog

mqsiformatlog

  • Deve ser um ID de usuário definido em WORKSTATION.
  • Membro de mqbrkrs.
Incluir o grupo mqbrkrs

mqsisetsecurity

  • Deve ser um ID de usuário definido em WORKSTATION.
  • Membro de Administrators.
  • Nos sistemas Windows 7 e Windows Server 2008, o ID do usuário usado para executar esse comando deve ser executado a partir de um prompt de comandos com privilégios elevados. Para obter mais informações, consulte Comando mqsicommandconsole.
Instalar, desinstalar ou listar conjuntos .NET no Global Assembly Cache

mqsiAssemblyInstall

  • Deve ser um ID de usuário definido em WORKSTATION.
  • Membro de Administrators.
  • Nos sistemas Windows 7 e Windows Server 2008, o ID do usuário usado para executar esse comando deve ser executado a partir de um prompt de comandos com privilégios elevados. Para obter mais informações, consulte Comando mqsicommandconsole.
Administração de cache global

mqsicacheadmin

  • Membro de mqbrkrs.
Executar comandos que requerem privilégios elevados

mqsicommandconsole

  • Membro de Administrators.
  • Nos sistemas Windows 7 e Windows Server 2008, o ID do usuário usado para executar esse comando deve ser executado a partir de um prompt de comandos com privilégios elevados. Para obter mais informações, consulte Comando mqsicommandconsole.
Configurar links simbólicos necessários para transações coordenadas

mqsimanagexalinks

  • Deve ser um ID de usuário definido em WORKSTATION.
  • Membro de Administrators.
  • Nos sistemas Windows 7 e Windows Server 2008, o ID do usuário usado para executar esse comando deve ser executado a partir de um prompt de comandos com privilégios elevados. Para obter mais informações, consulte Comando mqsicommandconsole.
Empacotar um arquivo BAR

mqsipackagebar

  • Deve ser um ID de usuário definido em WORKSTATION.
  • Membro de Administrators.
  • Nos sistemas Windows 7 e Windows Server 2008, o ID do usuário usado para executar esse comando deve ser executado a partir de um prompt de comandos com privilégios elevados. Para obter mais informações, consulte Comando mqsicommandconsole.
  • O ID do usuário deve ter acesso de gravação aos diretórios -w (local raiz), -a (local do arquivo BAR) e -v (local do arquivo de rastreio).
Criar ou modificar uma conta do usuário da web

mqsiwebuseradmin

  • Membro de Administrators.

O usuário está...1 Comando Utilizado Domínio Local (WORKSTATION)
Executando um broker (atalho do WebSphere MQ desligado) (ID do usuário do serviço)2
  • Não se aplica
  • Deve ser um ID de usuário exclusivo na WORKSTATION
  • Membro de mqbrkrs
  • Deve ter o privilégio Logon como um serviço na Windows Política de Segurança Local.

    Esse privilégio é incluído quando o mqsicreatebroker é executado, se necessário.

Executando um broker (atalho do WebSphere MQ ligado) (ID do usuário do serviço)2
  • Não se aplica
  • Deve ser um ID de usuário exclusivo na WORKSTATION
  • Membro de mqbrkrs
  • Membro de mqm
  • Deve ter o privilégio Logon como um serviço na Windows Política de Segurança Local.

    Esse privilégio é incluído quando o mqsicreatebroker é executado, se necessário.

Executando um WebSphere Message Broker Toolkit3
  • Iniciar o WebSphere Message Broker Toolkit a partir do menu Iniciar
  • Deve ser um ID de usuário definido em WORKSTATION. Por exemplo, WORKSTATION\User1 é válido, PRIMARY\User2 e TRUSTED\User3 não são.
Observações:
  1. Por padrão, quando um broker é criado, o ID do usuário de serviço recebe as permissões necessárias para acessar os diretórios relevantes da árvore de diretório do produto; por exemplo, acesso de gravação ao diretório de logs.

    Isso acontece mesmo se você configurar um local que não é o padrão, com o sinalizador –w no comando mqsicreatebroker, ou usar o sinalizador –e no comando mqsicreatebroker para criar um broker com diversas instâncias. Se essas permissões forem alteradas manualmente, você deve assegurar que o grupo mqbrkrs tenha o acesso apropriado a esses locais.

  2. Certifique-se de que mqbrkrs tenha acesso a todas as filas definidas pelo usuário que você definiu para serem usadas por seus fluxos de mensagens. É possível usar o comando setmqaut para configurar permissões.
    • Configure as seguintes permissões em todas as filas de entrada:
      setmqaut -m MB8BROKER -n TEST_INPUT -t queue -g mqbrkrs +get +inq
    • Configure as seguintes permissões em todas as filas de saída:
      setmqaut -m MB8BROKER -n TEST_OUTPUT -t queue -g mqbrkrs +put +inq +setall
    • Talvez você também precise incluir +passid +passall +setid +setall, dependendo de seus requisitos.
  3. Todos os usuários do WebSphere Message Broker Toolkit precisam de acesso de leitura ao subdiretório WebSphere MQ Java™ \lib do WebSphere MQ diretório inicial (o local padrão é X:\Program Files\WebSphere MQ, em que X: é o disco do sistema operacional). Esse acesso é restringido a usuários no grupo local mqm pelo WebSphere MQ. A instalação do WebSphere Message Broker substitui esta restrição e dá acesso de leitura para este subdiretório a todos os usuários.

Os Requisitos de Segurança do Broker no Windows

Em todas as plataformas Windows, não há mais nenhum requisito para o ID do usuário do serviço ser um membro do grupo Administradores.

O único requisito é que o ID de usuário de serviço seja um membro do grupo mqbrkrs. Além disso, a conta LocalSystem pode ser utilizada como o ID do usuário do serviço especificando-se LocalSystem para o parâmetro –i no comando do mqsicreatebroker.

Nesse caso, você deve inserir o parâmetro –a (senha) na linha de comandos, mas o valor inserido será ignorado.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:30:17


Tópico de ReferênciaTópico de Referência | Versão 8.0.0.5 | ap08683_