ブローカーで管理セキュリティーを使用可能にすることで、ブローカーとそのリソースに対して特定のタスクを実行できるユーザーを制御します。
ブローカーの作成または変更を行う場合は、ユーザー ID が WebSphere® MQ 制御グループ mqm のメンバーになっていなければなりません。
mqsicreatebroker MB8BROKER -q MB8QMGR -s active
ブローカーは、権限キュー SYSTEM.BROKER.AUTH を作成します。 このキューでは、ブローカーに対するアクションを実行する権限をどのユーザーに与えるかを定義します。
ブローカーはさらに、このキューに対する照会、書き込み、設定の権限のデフォルト許可を割り当てます。 その許可によって、mqbrkrs グループのすべてのメンバーに、ブローカーに対する読み取り、書き込み、実行の権限が与えられます。 したがって、ブローカー管理チームの少なくとも 1 人のメンバーをそのグループのメンバーにする必要があります。 さらに、このグループのメンバーシップは慎重に管理しなければなりません。そのレベルの権限を必要とするユーザーだけにその権限を与えるようにしてください。
z/OS® では、WebSphere MQ と一緒に使用する外部セキュリティー・マネージャー (ESM) の権限レベルとしてその許可が実装されます。 ESM として RACF® を使用している場合は、権限レベルが階層構造になります。例えば、ALTER アクセス権には暗黙的に READ アクセス権と WRITE アクセス権が含まれる、といった具合です。 したがって、ESM の資料を調べて、サポートされている権限レベルを確認する必要があります。 分散プラットフォームでは、それに相当するような階層構造はありません。3 つのアクセス権がそれぞれ独立して存在しています。
mqsichangebroker MB8BROKER -s active
ブローカーは、定義済みの各実行グループのキューを作成します。このキューの名前は、SYSTEM.BROKER.AUTH.EG という形式に準拠します (EG は実行グループの名前です)。 ブローカーは mqbrkrs グループにこのキューに対する照会、書き込み、設定の権限のデフォルト許可を割り当て、このキューはこのグループに実行グループとそのプロパティーに対する読み取り、書き込み、実行のアクセス権限を認可します。 これで、これらのキューとブローカー権限キュー SYSTEM.BROKER.AUTH が使用可能になりました。
実行グループに対して生成されるキューの名前が実行グループの名前と正確に一致しない場合もあります。権限キュー名については、WebSphere MQ によっていくつかの制約事項が適用されるからです。 そのような制約事項とそれに伴って考えられる影響の詳細については、ブローカー管理セキュリティーのための権限キューを参照してください。
mqm 権限はすべての WebSphere MQ リソースに対する全アクセス権限制御を認可するため、このレベルの権限でブローカーを実行させたくない場合もあります。 mqm 権限でブローカーを実行させたくない場合は、WebSphere MQ 管理者と協力して、必要なキューが適時に作成 (および削除) されるようにする必要があります。
ブローカーに mqm 権限を付与する場合は、以下のようにします。
mqsireportbroker brokerName を使用してブローカーのレジストリー項目を表示します。