WebSphere® Message
Broker をインストールする前に、Linux および UNIX システム で必要なセキュリティーをセットアップします。
これらの作業には、使用するオペレーティング・システムで提供されるセキュリティー機能を使用します。例えば、AIX® の Systems Management Interface Tool (SMIT) や HP-Itanium の System Administration Manager があります。
以下の操作を行います。
- システムにログインします。
AIX 上では、root としてログインする必要があります。 Linux および他の UNIX コンピューター上では、ユーザー ID に root 権限が必要です。 ブローカー・コンポーネントのインストールのためのセキュリティー要件をセットアップするには、このレベルの権限が必要です。 これにより、root 権限のないユーザーが製品をインストールできます。
使用しているのが Linux (x86) または Linux (x86-64) システムで、ブローカー・コンポーネントのインストールは計画していない場合、手順 4 に進みます。 それ以外の場合は、ご使用の環境のセキュリティー・ガイドラインに従って root 権限を得てください。この場合、root としてログインするか、または別のユーザーとしてログインしてから root になるかのいずれかです。
root 以外のユーザー ID を使用することにはいくつかの利点があります。例えば、製品をインストールするユーザー ID の監査証跡が提供され、root 権限の有効範囲を単一セッションで実行される作業に制限できます。リモート・システムからのログインの場合、root 以外のユーザー ID を使用することが必須である場合もあります。
- root 権限のあるユーザーとしてインストールを実行する場合、以下の手順を行います。
- root 権限でのインストールでは、mqbrkrs というセキュリティー・グループが自動的に作成されます。 グループの作成後、使用している root 権限ログイン ID をグループに追加する必要があります。
- このシステムに既に WebSphere MQ をインストールしてある場合は、mqm というグループ、および mqm というユーザーが定義されています。WebSphere MQ のインストールをまだ行っていない場合、このグループとユーザーを作成する必要があります。
- ユーザー ID mqm とともに、root 権限ユーザー・ログイン ID をグループ mqm に追加します。
- システムによっては、この新しいグループ定義 (mqbrkrs および mqm) が認識されるようにするため、いったんログオフしてログオンする必要があります。
- root 権限のないユーザーとしてインストールを実行する場合は、インストール前に、root 権限のあるユーザーが以下のステップを実行する必要があります。他のバージョンの WebSphere Message
Broker が既にシステムにインストールされている場合は、サブタスク c、e、f、h、i のみを完了する必要があります。
- mqbrkrs というセキュリティー・グループを作成します。 以下に例を示します。
- AIX 以外のシステムの場合:
sudo groupadd mqbrkrs
- AIX
の場合:sudo mkgroup mqbrkrs
グループの作成後、非 root のインストール・ユーザー・ログイン ID をグループに追加します。
- このシステムに既に WebSphere MQ をインストールしてある場合は、mqm というグループ、および mqm というユーザーが定義されています。WebSphere MQ がまだインストールされていない場合、このグループおよびユーザーを作成する必要があります。
- ユーザー ID mqm とともに、非 root のインストール・ユーザー・ログイン ID をグループ mqm に追加します。
- /var/mqsi ディレクトリーが存在しない場合は作成します。
以下に例を示します。
sudo mkdir /var/mqsi
- /var/mqsi ディレクトリーに対して正しい所有権とアクセス権限が設定されていることを確認します。以下に例を示します。
sudo chown mqm:mqbrkrs /var/mqsi
sudo chmod 775 /var/mqsi
ディレクトリーが既に存在する場合は、以下のようにコマンドを再帰的に実行します。
sudo chown -R mqm:mqbrkrs /var/mqsi
sudo chmod -R ug+rwX /var/mqsi
注: このコマンドは、すべてのファイルとディレクトリーの所有権を再帰的に変更します。
システム管理者との間で既存のファイルについて確認し、このアクションによりセキュリティー・リスクが発生しないようにしてください。
- 複数のユーザーが複数のブローカーを作成し使用する予定の場合、
新しいファイルとディレクトリーが同じグループ ID を継承するように /var/mqsi ディレクトリーのグループ ID 設定してください。
そうしないと、User1 によって作成されるブローカー (User1 の 1 次グループを使用) が、User2 (User2 の 1 次グループを使用) にアクセスできるようになります。
以下に例を示します。
sudo chmod g+s /var/mqsi
ブローカーが既に存在する場合は、
次のようにコマンドを再帰的に実行します。
find /var/mqsi -type f -exec chmod g+s {} \;
- /var/mqsi/install.properties ファイルが存在する場合は、非 root のインストール・ユーザー ID がこのファイルに対する書き込み権限を持っていることを確認します。以下に例を示します。
sudo chmod 664 /var/mqsi/install.properties
- Linux ではディレクトリー /opt/ibm/mqsi と /opt/ibm/IE02、UNIX では /opt/IBM/mqsi と /opt/ibm/IE02 が存在しない場合は、これらを作成します。以下に例を示します。
- mqsi ディレクトリーに対して正しい所有権が割り当てられていること、および mqsi ディレクトリーと IE02 ディレクトリーに対するアクセス権限があることを確認します。
以下に例を示します。
- 以前の WebSphere Message
Broker のインストールまたは IE02 の既存のログがある場合は、それらのログを置換するための適切な権限がインストール・プログラムにないことがあるため、それらのログを削除または名前変更する必要があります。該当するログは /var/mqsi ディレクトリーにあります。ファイル・タイプは .log です。
- IATEMPDIR 変数を設定する場合は、非 root ユーザー ID が、選択したディレクトリーに対する書き込み権限を持っていることを確認します。以下に例を示します。
sudo chmod 775 /tmp/IATEMP
注: この操作は、インストールに使用されるデフォルト・ファイル・システムに十分なスペースがない場合にのみ必要です。
- 検証手順は、Linux (x86) および Linux (x86-64) で提供されています。 検証を完了するのに root 権限は必要ありません。 root 権限を持ってインストールを実行したが、root 権限を使用して検証を実行したくない場合は、インストールが完了したらログオフしてください。 同じユーザー ID、または異なるユーザー ID でログインします。root にはならないでください。
別のユーザー ID でログインした場合、まだその ID を mqbrkrs グループおよび mqm グループに追加していないときには、WebSphere Message
Broker Toolkit を開く前に追加してください。