WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Sicherheitsanforderungen für Windows-Systeme

Die Sicherheitsanforderungen sind von der Verwaltungsaufgabe abhängig, die Sie ausführen möchten.

Die folgenden Tabellen enthalten eine Zusammenfassung der Anforderungen für die Verwaltungsaufgaben. Sie zeigen, welche Gruppenzugehörigkeit erforderlich ist, wenn Sie eine lokale Sicherheitsdomäne verwenden, die auf Ihrem lokalen System definiert ist.

Anmerkung: Wenn Sie die Brokerverwaltungssicherheit aktiviert haben, müssen Sie auch die Berechtigung einrichten. Ausführliche Informationen hierzu finden Sie im Abschnitt Tasks und Berechtigungen für Verwaltungssicherheit.

Domänenbenutzer in einer Domäne mit mehreren Workstations oder aus Domänen, die eine transitive Windows-Vertrauensstellung bei der lokalen Domäne innehaben, können diese Verwaltungsaufgaben ebenfalls ausführen. Sie müssen die in den Tabellen angegebenen Gruppenzugehörigkeitsanforderungen erfüllen. Eine Möglichkeit zur Einrichtung dieser Gruppenzugehörigkeit besteht darin, den Domänenbenutzer einer Domänengruppe hinzuzufügen, der wiederum Mitglied der lokalen Gruppe ist. Im Abschnitt Sicherheit in einer Windows-Domänenumgebung finden Sie ein Beispiel der Sicherheitseinrichtung mithilfe von Domänengruppen.

Task Befehl Berechtigung
Erstellen, Löschen oder Migrieren eines Brokers

mqsicreatebroker

mqsideletebroker

mqsimigratecomponents

  • Benutzer-ID muss in WORKSTATION definiert sein.
  • Muss zur Gruppe Administratoren gehören.
  • Auf Systemen unter Windows 7 und Windows Server 2008 muss die Benutzer-ID, mit der dieser Befehl ausgeführt wird, über eine Eingabeaufforderung mit erhöhten Berechtigungen ausgeführt werden. Der Abschnitt mqsicommandconsole-Befehl enthält weitere Informationen hierzu.
  • Bei Verwendung von LDAP: Stellen Sie sicher, dass die Registry ausreichend gegen unbefugte Zugriffe geschützt ist. Ein korrekter Betrieb des Brokers ist nicht davon abhängig, ob die Parameter LDAP-Principal und LDAP-Berechtigungsweise im Befehl mqsichangebroker gesetzt werden. Das Kennwort wird im Dateisystem nicht als Klartext abgespeichert.
Ändern eines Brokers

mqsichangebroker

  • Benutzer-ID muss in WORKSTATION definiert sein.
  • Muss zur Gruppe mqbrkrs gehören.
  • Wenn Sie den Parameter -s zur Aktivierung der Brokerverwaltungssicherheit angeben, muss die für die Ausführung dieses Befehls verwendete Benutzer-ID ein Mitglied der Gruppe mqm sein, da für den Broker mehrere Warteschlangen erstellt werden.
  • Bei Verwendung von LDAP: Stellen Sie sicher, dass die Registry ausreichend gegen unbefugte Zugriffe geschützt ist. Ein korrekter Betrieb des Brokers ist nicht davon abhängig, ob die Parameter LDAP-Principal und LDAP-Berechtigungsweise im Befehl mqsichangebroker gesetzt werden. Das Kennwort wird im Dateisystem nicht als Klartext abgespeichert.
Hinzufügen oder Entfernen einer Brokerinstanz

mqsiaddbrokerinstance

mqsiremovebrokerinstance

  • Benutzer-ID muss in WORKSTATION definiert sein.
  • Muss zur Gruppe Administratoren gehören.
  • Auf Systemen unter Windows 7 und Windows Server 2008 muss die Benutzer-ID, mit der dieser Befehl ausgeführt wird, über eine Eingabeaufforderung mit erhöhten Berechtigungen ausgeführt werden. Der Abschnitt mqsicommandconsole-Befehl enthält weitere Informationen hierzu.
Sichern oder Wiederherstellen eines Brokers

mqsibackupbroker

mqsirestorebroker

  • Muss zur Gruppe mqbrkrs gehören.
Starten oder Überprüfen eines Brokers

mqsistart

mqsicvp

  • Muss zur Gruppe mqbrkrs gehören.
  • Muss zur Gruppe mqm gehören, wenn der Warteschlangenmanager noch nicht aktiv ist.
Stoppen eines Brokers

mqsistop

  • Muss zur Gruppe mqbrkrs gehören.
  • Muss zur Gruppe mqm gehören, wenn die Option -q angegeben wird.
Erstellen oder Löschen einer Ausführungsgruppe

mqsicreateexecutiongroup

mqsideleteexecutiongroup

  • Muss zur Gruppe mqbrkrs gehören.
  • Wenn die Brokerverwaltungssicherheit aktiv ist, muss die Benutzer-ID, mit der dieser Befehl ausgeführt wird, zur Gruppe mqm gehören. Wenn der Broker nicht mit der Berechtigung mqm ausgeführt werden soll, ist beim Erstellen oder Löschen einer Ausführungsgruppe in Zusammenarbeit mit dem WebSphere MQ-Administrator die entsprechende Berechtigungswarteschlange zu erstellen oder zu löschen.
Starten oder Stoppen eines Nachrichtenflusses

mqsistartmsgflow

mqsistopmsgflow

  • Muss zur Gruppe mqbrkrs gehören.
Erstellen oder Löschen eines konfigurierbaren Service

mqsicreateconfigurableservice

mqsideleteconfigurableservice

  • Muss zur Gruppe mqbrkrs gehören.
Auflisten von Brokern

mqsilist

  • Benutzer-ID muss in WORKSTATION definiert sein.
  • Muss zur Gruppe mqbrkrs oder mqm gehören, damit der Befehl unter Angabe des Brokers und der Ausführungsgruppe ausgeführt werden kann:
    mqsilist Brokername Ausführungsgruppenname
Anzeigen von Brokereigenschaften

mqsireportbroker

mqsireportproperties

mqsireportflowmonitoring

mqsireportflowstats

mqsireportflowuserexits

mqsireportresourcestats

  • Muss zur Gruppe mqbrkrs gehören.
Ändern von Eigenschaften

mqsichangeproperties

mqsichangeflowmonitoring

mqsichangeflowstats

mqsichangeflowuserexits

mqsichangeresourcestats

  • Muss zur Gruppe mqbrkrs gehören.
Festlegen und Aktualisieren von Kennwörtern

mqsisetdbparms

  • Muss zur Gruppe mqbrkrs gehören.
Melden oder Aktualisieren eines Brokermodus

mqsimode

  • Muss zur Gruppe mqbrkrs gehören.
Implementieren eines Objekts auf einem Broker

mqsideploy

  • Muss zur Gruppe mqbrkrs gehören.
Neuladen eines Brokers, von Ausführungsgruppen oder der Sicherheit

mqsireload

mqsireloadsecurity

  • Muss zur Gruppe mqbrkrs gehören.
Durchführen eines Trace für einen Broker

mqsichangetrace

mqsireporttrace

mqsireadlog

mqsiformatlog

  • Benutzer-ID muss in WORKSTATION definiert sein.
  • Muss zur Gruppe mqbrkrs gehören.
Hinzufügen der Gruppe mqbrkrs

mqsisetsecurity

  • Benutzer-ID muss in WORKSTATION definiert sein.
  • Muss zur Gruppe Administratoren gehören.
  • Auf Systemen unter Windows 7 und Windows Server 2008 muss die Benutzer-ID, mit der dieser Befehl ausgeführt wird, über eine Eingabeaufforderung mit erhöhten Berechtigungen ausgeführt werden. Der Abschnitt mqsicommandconsole-Befehl enthält weitere Informationen hierzu.
Installieren, Deinstallieren oder Auflisten von .NET-Assemblys im Global Assembly Cache

mqsiAssemblyInstall

  • Benutzer-ID muss in WORKSTATION definiert sein.
  • Muss zur Gruppe Administratoren gehören.
  • Auf Systemen unter Windows 7 und Windows Server 2008 muss die Benutzer-ID, mit der dieser Befehl ausgeführt wird, über eine Eingabeaufforderung mit erhöhten Berechtigungen ausgeführt werden. Der Abschnitt mqsicommandconsole-Befehl enthält weitere Informationen hierzu.
Verwaltung des globalen Cache

mqsicacheadmin

  • Muss zur Gruppe mqbrkrs gehören.
Ausführen von Befehlen, für die höhere Berechtigungen erforderlich sind

mqsicommandconsole

  • Muss zur Gruppe Administratoren gehören.
  • Auf Systemen unter Windows 7 und Windows Server 2008 muss die Benutzer-ID, mit der dieser Befehl ausgeführt wird, über eine Eingabeaufforderung mit erhöhten Berechtigungen ausgeführt werden. Der Abschnitt mqsicommandconsole-Befehl enthält weitere Informationen hierzu.
Einrichten symbolischer Links, die für koordinierte Transaktionen benötigt werden

mqsimanagexalinks

  • Benutzer-ID muss in WORKSTATION definiert sein.
  • Muss zur Gruppe Administratoren gehören.
  • Auf Systemen unter Windows 7 und Windows Server 2008 muss die Benutzer-ID, mit der dieser Befehl ausgeführt wird, über eine Eingabeaufforderung mit erhöhten Berechtigungen ausgeführt werden. Der Abschnitt mqsicommandconsole-Befehl enthält weitere Informationen hierzu.
Packen einer BAR-Datei

mqsipackagebar

  • Benutzer-ID muss in WORKSTATION definiert sein.
  • Muss zur Gruppe Administratoren gehören.
  • Auf Systemen unter Windows 7 und Windows Server 2008 muss die Benutzer-ID, mit der dieser Befehl ausgeführt wird, über eine Eingabeaufforderung mit erhöhten Berechtigungen ausgeführt werden. Der Abschnitt mqsicommandconsole-Befehl enthält weitere Informationen hierzu.
  • Die Benutzer-ID muss über Schreibzugriff auf die mit -w (Stammverzeichnis), -a (Speicherposition der BAR-Datei) und -v (Speicherposition der Tracedatei) angegebenen Verzeichnisse verfügen.
Erstellen oder Ändern eines Webbenutzeraccounts

mqsiwebuseradmin

  • Muss zur Gruppe Administratoren gehören.

Benutzeraktion1 Verwendeter Befehl Lokale Domäne (WORKSTATION)
Broker ausführen (WebSphere MQ-Direktaufruf inaktiviert) (Servicebenutzer-ID)2
  • Nicht zutreffend
  • Benutzer-ID muss in WORKSTATION definiert sein.
  • Muss zur Gruppe mqbrkrs gehören
  • Muss in der lokalen Sicherheitsrichtlinie von Windows über die Berechtigung Als Dienst anmelden verfügen.

    Diese Berechtigung wird bei Bedarf bei der Ausführung von mqsicreatebroker hinzugefügt.

Broker ausführen (WebSphere MQ-Direktaufruf aktiviert) (Servicebenutzer-ID)2
  • Nicht zutreffend
  • Benutzer-ID muss in WORKSTATION definiert sein.
  • Muss zur Gruppe mqbrkrs gehören
  • Muss zur Gruppe mqm gehören
  • Muss in der lokalen Sicherheitsrichtlinie von Windows über die Berechtigung Als Dienst anmelden verfügen.

    Diese Berechtigung wird bei Bedarf bei der Ausführung von mqsicreatebroker hinzugefügt.

WebSphere Message Broker Toolkit ausführen3
  • Starten Sie WebSphere Message Broker Toolkit über das Menü Start
  • Benutzer-ID muss in WORKSTATION definiert sein. WORKSTATION\User1 ist beispielsweise gültig, PRIMARY\User2 und TRUSTED\User3 hingegen nicht.
Anmerkungen:
  1. Wenn ein Broker erstellt wird, werden der Servicebenutzer-ID standardmäßig die erforderlichen Zugriffsberechtigungen für die relevanten Verzeichnisse in der Produktverzeichnisstruktur erteilt (z. B. Schreibzugriff auf das Protokollverzeichnis).

    Dies ist selbst dann der Fall, wenn Sie mit dem Attribut –w im Befehl mqsicreatebroker eine andere Position als die Standardposition festgelegt haben oder mit dem Attribut –e im Befehl mqsicreatebroker einen Broker mit mehreren Instanzen erstellen. Wenn diese Berechtigungen manuell geändert werden, müssen Sie immer sicherstellen, dass die Gruppe mqbrkrs über den entsprechenden Zugriff auf diese Positionen verfügt.

  2. Stellen Sie sicher, dass mqbrkrs Zugriff auf alle benutzerdefinierten Warteschlangen hat, die Sie für Ihre Nachrichtenflüssen definiert haben. Sie können die Berechtigungen mit dem Befehl setmqaut setzen.
    • Setzen Sie in allen Eingabewarteschlangen die folgenden Berechtigungen:
      setmqaut -m MB8BROKER -n TEST_INPUT -t queue -g mqbrkrs +get +inq
    • Setzen Sie in allen Ausgabewarteschlangen die folgenden Berechtigungen:
      setmqaut -m MB8BROKER -n TEST_OUTPUT -t queue -g mqbrkrs +put +inq +setall
    • Abhängig von Ihren Anforderungen müssen Sie möglicherweise +passid +passall +setid +setall hinzufügen.
  3. Für alle Benutzer von WebSphere Message Broker Toolkit ist Lesezugriff auf das WebSphere MQ Java™-Unterverzeichnis \lib des Ausgangsverzeichnisses WebSphere MQ erforderlich (die Standardposition lautet X:\Programme\WebSphere MQ, wobei X: das Laufwerk ist, auf dem sich das Betriebssystem befindet). Dieser Zugriff ist durch WebSphere MQ auf Benutzer beschränkt, die zur lokalen Gruppe mqm gehören. Diese Einschränkung wird von WebSphere Message Broker außer Kraft gesetzt; alle Benutzer erhalten Lesezugriff auf dieses Unterverzeichnis.

Brokersicherheitsanforderungen unter Windows

Auf Windows-Plattformen muss die Servicebenutzer-ID nicht mehr zur Gruppe Administratoren gehören.

Als einzige Voraussetzung muss die Servicebenutzer-ID ein Mitglied der Gruppe mqbrkrs sein. Darüber hinaus kann der Account LocalSystem als Servicebenutzer-ID verwendet werden, indem im Befehl mqsicreatebroker LocalSystem für den Parameter –i angegeben wird.

In diesem Fall müssen Sie den Parameter –a (Kennwort) in der Befehlszeile eingeben, wobei der eingegebene Wert ignoriert wird.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:21:55


ReferenzthemaReferenzthema | Version 8.0.0.5 | ap08683_