WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

ブローカーのセキュリティーの考慮

ブローカー・コマンドを実行できるユーザーや、他のブローカー・リソースのセキュリティーを制御できるユーザーを決めるときには、いくつかの要因を検討します。

ブローカーとブローカー・リソースに関するほとんどのセキュリティーは任意指定ですが、一部のユーザー ID が実行できるタスクを制限する方がよい場合もあります。 さらに、変更をモニターするためによりきめ細かい制御を適用することも可能です。

ブローカーの作成時にブローカー管理セキュリティーを有効にすることで、すべてのブローカー管理タスクを制御できます。 既存のブローカーを変更して、管理セキュリティーを有効にすることも可能です。 そのオプションについては、管理セキュリティーの設定を参照してください。そのオプションは、このセクションで取り上げるオプションとは別個に、独立した形で設定できます。

さまざまなタスクをどのユーザーが実行するかを決める際には、以下のステップを考慮してください。

  1. ブローカー・サービス ID として使用するユーザー・アカウントの決定
  2. ブローカー・キューのセキュリティーの設定
  3. ブローカー・レジストリーの保護

ブローカー・サービス ID として使用するユーザー・アカウントの決定

Linux または UNIX オペレーティング・システムで、mqsistart コマンドを mqm および mqbrkrs グループのメンバーであるユーザー ID によって実行する場合、mqsistart コマンドを実行するユーザー ID は、ブローカー・コンポーネント・プロセスを実行するユーザー ID になります。

Windows プラットフォームでは、ブローカーはサービス・ユーザー・アカウントで実行されます。 ブローカーのサービス ID として使用するユーザー ID を決定するために、以下の質問に回答してください。

  1. Windows ローカル・アカウントの下でブローカーを実行しますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: ユーザー ID が以下の特性を持つことを確認します。
      • ローカル・ドメインに定義されている。
      • mqbrkrs のメンバーである。

      ブローカー・キューのセキュリティーの設定に進みます。

  2. Windows ドメイン・アカウントの下でブローカーを実行しますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: 仮に WKSTN1 というユーザーのコンピューターが DOMAIN1 というドメインのメンバーであるとして、 ブローカーを、例えば DOMAIN1¥user1 を使用して実行するのであれば、以下のことを確認します。
      • ユーザー ID に「サービスとしてログオン」特権が (ローカル・セキュリティー・ポリシーから) 与えられている。
      • DOMAIN1¥user1 が DOMAIN1¥MyDomainGroup グループのメンバーである (MyDomainGroup は、ドメイン・コントローラーに定義したドメイン・グループ)。
      • DOMAIN1¥MyDomainGroup が WKSTN1¥mqbrkrs のメンバーである。

      ブローカー・キューのセキュリティーの設定に進みます。

  3. LocalSystem アカウントで構築した Windows の下でブローカーを実行しますか ?
    1. はい: mqsicreatebroker コマンドまたは mqsichangebroker コマンドの -i パラメーターで LocalSystem を指定します。

      どちらの場合も、コマンド行で -a (パスワード) パラメーターを入力する必要がありますが、入力した値は無視されます。

      ブローカー・キューのセキュリティーの設定に進みます。

上の 1 と 2 のケースでは、選択するユーザー ID に「サービスとしてログオン」の特権を付与する必要があります。

通常は、mqsichangebroker コマンドまたは mqsichangeproperties コマンドで、その特権を持たないサービス・ユーザー ID を指定すると、自動的にその特権が設定されます。

ただし、それらのコマンドを実行する前にその設定を手動で行う場合は、Windows の「ローカル セキュリティ ポリシー」ツールを使用します。そのツールにアクセスするには、「コントロール パネル」 > 「パフォーマンスとメンテナンス」 > 「管理ツール」 > 「ローカル セキュリティ ポリシー」を選択します。

ブローカー・キューのセキュリティーの設定

mqsicreatebroker コマンドを実行すると、 ローカルの mqbrkrs グループに、名前が SYSTEM.BROKER の文字で始まる内部キューへのアクセス権限が付与されます。

ブローカー・レジストリーの保護

ブローカー操作は、ブローカー・レジストリー内の情報に応じて異なります。ブローカー・レジストリーは不意に破損することがないように確実に保護する必要があります。 ブローカー・レジストリーは、ファイル・システムに保管されます。 オペレーティング・システムのセキュリティー・オプションは、グループ mqbrkrs のメンバーであるユーザー ID だけが brokername/CurrentVersion およびすべてのサブキーを読み取ったりそれに書き込んだりできるように設定します。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:47:53


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | ap03982_