Bei der Entscheidung, welche Benutzer Brokerbefehle ausführen und welche Benutzer die Sicherheit für andere Brokerressourcen steuern können, müssen mehrere Faktoren berücksichtigt werden.
Obwohl die meisten Sicherheitseinrichtungen für Broker und Brokerressourcen optional sind, kann es sinnvoll sein, die möglichen Aufgaben für einige Benutzer-IDs einzuschränken. Dadurch können Sie haben Sie eine bessere Kontrolle zur Überwachung von Änderungen.
Sie können alle Verwaltungsaufgaben eines Brokers kontrollieren, indem Sie bei seiner Erstellung die Brokerverwaltungssicherheit aktivieren. Außerdem können Sie vorhandene Broker ändern, um die Verwaltungssicherheit zu aktivieren. Diese Option wird in Verwaltungssicherheit einrichten beschrieben und ist abhängig von den hier beschriebenen Optionen.
Beachten Sie bei der Auswahl, welche Benutzer zur Ausführung der verschiedenen Tasks berechtigt sind, die folgenden Schritte:
Wenn Sie den Befehl mqsistart auf einem Linux- oder UNIX-Betriebssystem mit einer Benutzer-ID ausführen, die zu den Gruppen mqm und mqbrkrs gehört, wird die Benutzer-ID, unter der Sie den Befehl mqsistart ausführen, die Benutzer-ID, unter der der Prozess der Brokerkomponente ausgeführt wird.
Auf der Windows-Plattform wird der Broker unter einem Servicebenutzer-Account ausgeführt. Zur Auswahl der Benutzer-ID für die Verwendung der Service-ID des Brokers müssen Sie die folgenden Fragen beantworten:
Beachten Sie, dass der ausgewählten Benutzer-ID in den oben genannten ersten beiden Fällen die Berechtigung Anmeldung als Dienst erteilt sein muss.
Dies wird normalerweise automatisch durch den Befehl mqsichangebroker oder den Befehl mqsichangeproperties vorgenommen, wenn eine Servicebenutzer-ID angegeben ist, die nicht über diese Berechtigung verfügt.
Wenn Sie dies jedoch vor der Ausführung der Befehle manuell vornehmen möchten, können Sie dies mit dem Tool der lokalen Sicherheitsrichtlinie unter Windows tun. Das Tool kann durch Auswahl von aufgerufen werden.
Beim Ausführen des Befehls mqsicreatebroker erhält die lokale mqbrkrs-Gruppe Zugriff auf interne Warteschlangen, deren Namen mit den Zeichen SYSTEM.BROKER beginnen.
Für den Brokerbetrieb sind die Informationen im Brokerregister unbedingt erforderlich, daher müssen diese Informationen gegen versehentliche Beschädigung geschützt werden. Das Brokerregister wird auf dem Dateisystem gespeichert. Die Sicherheitsoptionen des Betriebssystems müssen so konfiguriert werden, dass nur Benutzer-IDs, die zur Gruppe mqbrkrs gehören, Daten in Brokername/aktuelle_Version und allen untergeordneten Schlüsseln lesen bzw. schreiben können.