ブローカー・コマンドを実行できるユーザーや、他のブローカー・リソースのセキュリティーを制御できるユーザーを決めるときには、いくつかの要因を検討します。
ブローカーとブローカー・リソースに関するほとんどのセキュリティーは任意指定ですが、一部のユーザー ID が実行できるタスクを制限する方がよい場合もあります。 さらに、変更をモニターするためによりきめ細かい制御を適用することも可能です。
ブローカーの作成時にブローカー管理セキュリティーを有効にすることで、すべてのブローカー管理タスクを制御できます。 既存のブローカーを変更して、管理セキュリティーを有効にすることも可能です。 そのオプションについては、管理セキュリティーの設定を参照してください。そのオプションは、このセクションで取り上げるオプションとは別個に、独立した形で設定できます。
さまざまなタスクをどのユーザーが実行するかを決める際には、以下のステップを考慮してください。
Linux または UNIX オペレーティング・システムで、mqsistart コマンドを mqm および mqbrkrs グループのメンバーであるユーザー ID によって実行する場合、mqsistart コマンドを実行するユーザー ID は、ブローカー・コンポーネント・プロセスを実行するユーザー ID になります。
Windows プラットフォームでは、ブローカーはサービス・ユーザー・アカウントで実行されます。 ブローカーのサービス ID として使用するユーザー ID を決定するために、以下の質問に回答してください。
上の 1 と 2 のケースでは、選択するユーザー ID に「サービスとしてログオン」の特権を付与する必要があります。
通常は、mqsichangebroker コマンドまたは mqsichangeproperties コマンドで、その特権を持たないサービス・ユーザー ID を指定すると、自動的にその特権が設定されます。
ただし、それらのコマンドを実行する前にその設定を手動で行う場合は、Windows の「ローカル セキュリティ ポリシー」ツールを使用します。そのツールにアクセスするには、 を選択します。
mqsicreatebroker コマンドを実行すると、 ローカルの mqbrkrs グループに、名前が SYSTEM.BROKER の文字で始まる内部キューへのアクセス権限が付与されます。
ブローカー操作は、ブローカー・レジストリー内の情報に応じて異なります。ブローカー・レジストリーは不意に破損することがないように確実に保護する必要があります。 ブローカー・レジストリーは、ファイル・システムに保管されます。 オペレーティング・システムのセキュリティー・オプションは、グループ mqbrkrs のメンバーであるユーザー ID だけが brokername/CurrentVersion およびすべてのサブキーを読み取ったりそれに書き込んだりできるように設定します。