WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

Windows システムでのセキュリティー要件

セキュリティー要件は、実行する管理用タスクによって異なります。

以下の表は、さまざまな管理用タスクに対応する要件を要約したものです。 この表は、ローカル・システムに定義されたローカル・セキュリティー・ドメインを使用する場合に、どのグループ・メンバーシップが必要であるかを示しています。

注: ブローカー管理セキュリティーを有効に設定した場合は、管理セキュリティーのタスクと権限で説明されている権限もセットアップする必要があります。

マルチワークステーション・ドメインのドメイン・ユーザー、または、ローカル・ドメインと Windows の推移性の信頼の関係にあるドメインのドメイン・ユーザーも、これらの管理タスクを実行できます。 彼らは、表に指定されているグループ・メンバーシップ要件を満たす必要があります。 このグループ・メンバーシップをセットアップする 1 つの方法は、ドメイン・ユーザーを、ローカル・グループのメンバーであるドメイン・グループに追加することです。 ドメイン・グループを使用してセキュリティーをセットアップする方法の例については、Windows ドメイン環境でのセキュリティーを参照してください。

タスク コマンド 許可
ブローカーの作成、削除、またはマイグレーション

mqsicreatebroker

mqsideletebroker

mqsimigratecomponents

  • WORKSTATION で定義されているユーザー ID でなければならない。
  • Administrators のメンバー。
  • Windows 7 および Windows Server 2008 システムでは、このコマンドの実行に使用するユーザー ID は、管理者特権を使用してコマンド・プロンプトから実行する必要があります。 詳しくは、mqsicommandconsole コマンドを参照してください。
  • LDAP を使用する場合: 無許可アクセスできないように、レジストリーが適切に保護されていることを確認してください。 ブローカーを正しく操作するのに、mqsichangebroker 上の LdapPrincipal および LdapCredentials パラメーターの設定は必要ありません。 パスワードは平文でファイル・システム中に保管されません。
ブローカーの変更

mqsichangebroker

  • WORKSTATION で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • -s パラメーターを指定してブローカー管理セキュリティーをアクティブにする場合には、このコマンドを実行するのに使用するユーザー ID は、mqm グループのメンバーでなければなりません。これは、ブローカーで使用するために複数のキューが作成されるためです。
  • LDAP を使用する場合: 無許可アクセスできないように、レジストリーが適切に保護されていることを確認してください。 ブローカーを正しく操作するのに、mqsichangebroker 上の LdapPrincipal および LdapCredentials パラメーターの設定は必要ありません。 パスワードは平文でファイル・システム中に保管されません。
ブローカー・インスタンスの追加または削除

mqsiaddbrokerinstance

mqsiremovebrokerinstance

  • WORKSTATION で定義されているユーザー ID でなければならない。
  • Administrators のメンバー。
  • Windows 7 および Windows Server 2008 システムでは、このコマンドの実行に使用するユーザー ID は、管理者特権を使用してコマンド・プロンプトから実行する必要があります。 詳しくは、mqsicommandconsole コマンドを参照してください。
ブローカーのバックアップまたはリストア

mqsibackupbroker

mqsirestorebroker

  • mqbrkrs のメンバー。
ブローカーの開始またはブローカーの検証

mqsistart

mqsicvp

  • mqbrkrs のメンバー。
  • キュー・マネージャーがまだ実行されていない場合、mqm のメンバー。
ブローカーの停止

mqsistop

  • mqbrkrs のメンバー。
  • -q が指定されている場合は、mqm のメンバー。
実行グループの作成または削除

mqsicreateexecutiongroup

mqsideleteexecutiongroup

  • mqbrkrs のメンバー。
  • ブローカー管理セキュリティーがアクティブである場合、このコマンドを実行するユーザー ID は、グループ mqm のメンバーでなければなりません。 mqm 権限でブローカーを実行することを望まない場合には、実行グループを作成または削除する際に、WebSphere® MQ 管理者と協力して、適切な権限キューを作成または削除する必要があります。
メッセージ・フローの開始または停止

mqsistartmsgflow

mqsistopmsgflow

  • mqbrkrs のメンバー。
構成可能サービスの作成または削除

mqsicreateconfigurableservice

mqsideleteconfigurableservice

  • mqbrkrs のメンバー。
ブローカーのリスト

mqsilist

  • WORKSTATION で定義されているユーザー ID でなければならない。
  • ブローカーと実行グループを次のように指定してコマンドを実行する場合は、mqbrkrs または mqm のメンバー
    mqsilist broker_name execution_group_name
ブローカー・プロパティーの表示

mqsireportbroker

mqsireportproperties

mqsireportflowmonitoring

mqsireportflowstats

mqsireportflowuserexits

mqsireportresourcestats

  • mqbrkrs のメンバー。
プロパティーの変更

mqsichangeproperties

mqsichangeflowmonitoring

mqsichangeflowstats

mqsichangeflowuserexits

mqsichangeresourcestats

  • mqbrkrs のメンバー。
パスワードの設定および更新

mqsisetdbparms

  • mqbrkrs のメンバー。
ブローカー・モードのレポートまたは更新

mqsimode

  • mqbrkrs のメンバー。
ブローカーへのオブジェクトのデプロイ

mqsideploy

  • mqbrkrs のメンバー。
ブローカー、実行グループ、またはセキュリティーの再ロード

mqsireload

mqsireloadsecurity

  • mqbrkrs のメンバー。
ブローカーのトレース

mqsichangetrace

mqsireporttrace

mqsireadlog

mqsiformatlog

  • WORKSTATION で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
mqbrkrs グループの追加

mqsisetsecurity

  • WORKSTATION で定義されているユーザー ID でなければならない。
  • Administrators のメンバー。
  • Windows 7 および Windows Server 2008 システムでは、このコマンドの実行に使用するユーザー ID は、管理者特権を使用してコマンド・プロンプトから実行する必要があります。 詳しくは、mqsicommandconsole コマンドを参照してください。
グローバル・アセンブリー・キャッシュに対する .NET アセンブリーのインストール、アンインストール、またはリスト

mqsiAssemblyInstall

  • WORKSTATION で定義されているユーザー ID でなければならない。
  • Administrators のメンバー。
  • Windows 7 および Windows Server 2008 システムでは、このコマンドの実行に使用するユーザー ID は、管理者特権を使用してコマンド・プロンプトから実行する必要があります。 詳しくは、mqsicommandconsole コマンドを参照してください。
グローバル・キャッシュ管理

mqsicacheadmin

  • mqbrkrs のメンバー。
管理者特権を必要とするコマンドの実行

mqsicommandconsole

  • Administrators のメンバー。
  • Windows 7 および Windows Server 2008 システムでは、このコマンドの実行に使用するユーザー ID は、管理者特権を使用してコマンド・プロンプトから実行する必要があります。 詳しくは、mqsicommandconsole コマンドを参照してください。
整合トランザクションで必要なシンボリック・リンクのセットアップ

mqsimanagexalinks

  • WORKSTATION で定義されているユーザー ID でなければならない。
  • Administrators のメンバー。
  • Windows 7 および Windows Server 2008 システムでは、このコマンドの実行に使用するユーザー ID は、管理者特権を使用してコマンド・プロンプトから実行する必要があります。 詳しくは、mqsicommandconsole コマンドを参照してください。
BAR ファイルのパッケージ

mqsipackagebar

  • WORKSTATION で定義されているユーザー ID でなければならない。
  • Administrators のメンバー。
  • Windows 7 および Windows Server 2008 システムでは、このコマンドの実行に使用するユーザー ID は、管理者特権を使用してコマンド・プロンプトから実行する必要があります。 詳しくは、mqsicommandconsole コマンドを参照してください。
  • ユーザー ID に、-w (ルートの場所)、-a (BAR ファイルの場所)、および -v (トレース・ファイルの場所) のディレクトリーへの書き込み権限がなければなりません。
Web ユーザー・アカウントの作成および変更

mqsiwebuseradmin

  • Administrators のメンバー。

ユーザーの実行内容 1 使用するコマンド ローカル・ドメイン (WORKSTATION)
ブローカーの実行 (WebSphere MQ ファースト・パスはオフ) (サービス・ユーザー ID) 2
  • 適用外
  • WORKSTATION で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • Windows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。

    この特権は、必要ならば mqsicreatebroker が実行されているときに追加されます。

ブローカーの実行 (WebSphere MQ ファースト・パスはオン) (サービス・ユーザー ID) 2
  • 適用外
  • WORKSTATION で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • mqm のメンバー
  • Windows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。

    この特権は、必要ならば mqsicreatebroker が実行されているときに追加されます。

WebSphere Message Broker Toolkit の実行3
  • 「スタート」メニューからの WebSphere Message Broker Toolkit の開始
  • WORKSTATION で定義されているユーザー ID でなければならない。 例えば、WORKSTATION¥User1 は有効ですが、PRIMARY¥User2 と TRUSTED¥User3 は無効です。
注:
  1. デフォルトでは、ブローカーの作成時に、製品ディレクトリー・ツリーの関連ディレクトリーにアクセスするために必要な許可 (logs ディレクトリーに対する書き込み権限など) がサービス・ユーザー ID に与えられます。

    この動作は、mqsicreatebroker コマンドの -w フラグでデフォルト以外の場所を設定した場合や、mqsicreatebroker コマンドの -e フラグを使用してマルチインスタンス・ブローカーを作成する場合でも同じです。 そのような許可を手動で変更する場合は、該当する場所に対する適切なアクセス権限が常に mqbrkrs グループになければなりません。

  2. mqbrkrs が、メッセージ・フローが使用するように定義されているすべてのユーザー定義キューにアクセスするようにします。 setmqaut コマンドを使用して、許可を設定することができます。
    • すべての入力キューで以下の許可を設定します。
      setmqaut -m MB8BROKER -n TEST_INPUT -t queue -g mqbrkrs  +get +inq
    • すべての出力キューで以下の許可を設定します。
      setmqaut -m MB8BROKER -n TEST_OUTPUT -t queue -g mqbrkrs +put +inq +setall
    • 要件に応じて、+passid +passall +setid +setall を追加することが必要になる場合もあります。
  3. どの WebSphere Message Broker Toolkit ユーザーにも、WebSphere MQ ホーム・ディレクトリーの WebSphere MQ Java™ ¥lib サブディレクトリーに対する読み取りアクセス権が必要です (デフォルトの場所は X:¥Program Files¥WebSphere MQ。ただし X: はオペレーティング・システム・ディスク)。 WebSphere MQ では、このアクセス権は、ローカル・グループ mqm 中のユーザーだけに制限されています。 WebSphere Message Broker をインストールすると、この制限がオーバーライドされ、 このサブディレクトリーの読み取りアクセス権がすべてのユーザーに与えられます。

Windows でのブローカー・セキュリティー要件

どの Windows プラットフォームでも、サービス・ユーザー ID を Administrators グループのメンバーにしなければならないという要件はなくなりました。

唯一の要件は、サービス・ユーザー ID を mqbrkrs グループのメンバーにするという要件です。 さらに、mqsicreatebroker コマンドの -i パラメーターで LocalSystem を指定すれば、LocalSystem アカウントをサービス・ユーザー ID として使用できるようになります。

この場合、コマンド行で –a (パスワード) パラメーターを入力する必要がありますが、入力した値は無視されます。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:47:56


参照トピック参照トピック | バージョン 8.0.0.5 | ap08683_