ブローカー管理セキュリティーでは、ブローカーとそのリソースに対する管理用タスクを実行するためのユーザー権限を制御します。
ブローカー管理セキュリティーは、ブローカーのオプション機能です。 ブローカー作成時のデフォルト設定では、ブローカー管理セキュリティーは有効になりません。 ブローカーの作成時に、セキュリティーを有効にするための追加のパラメーターを指定できます。ブローカーの作成後に、ブローカー管理セキュリティーの状況を変更することも可能です。つまり、セキュリティーの有効/無効はいつでも適宜設定できる、ということです。
ブローカー管理セキュリティーを有効にしたら、特定のユーザー ID の WebSphere® MQ 許可を登録することによって、セキュリティー管理をセットアップします。 ブローカーのキュー・マネージャーで定義されている以下の権限キューで、許可が記録されます。
ブローカーを作成すると、キュー SYSTEM.BROKER.AUTH が作成されます。 このキューのユーザー・グループ mqbrkrs に、読み取り、書き込み、実行の権限が自動的に認可されます。 このキューは、この時点でセキュリティーを有効にしなくても作成されます。
セキュリティーを有効にした場合、ブローカーはそのプロパティーまたはリソースを表示または変更する要求を受け取ると、このキューにセットアップされた許可を検査します。 要求に関連付けられたユーザー ID が権限を持っていなければ、ブローカーはその要求を拒否します。
セキュリティーを有効にしたブローカーの実行グループを作成すると、その実行グループの権限キュー SYSTEM.BROKER.AUTH.EG が作成されます。EG は実行グループの名前です。 このキューのユーザー・グループ mqbrkrs に、読み取り、書き込み、実行の権限が自動的に認可されます。
WebSphere Message Broker バージョン 6.1 からマイグレーションするとき、構成マネージャーに定義されたアクセス制御リスト (ACL) を使用する場合は、ACL を直接WebSphere Message Broker にマイグレーションすることはできません。構成マネージャー ACL のマイグレーションにあるガイダンスを参照して、WebSphere Message Broker 環境で ACL をセキュリティーのベースとして使用してセキュリティーをセットアップする方法を理解してください。
許可とキューについて詳しくは、以下のトピックを参照してください。
z/OS® の場合、WebSphere MQ は、システム許可機能 (SAF) を使用して、権限検査の要求を z/OS セキュリティー・サーバー・リソース・アクセス管理機能 (RACF®) などの外部セキュリティー・マネージャー (ESM) に送信します。 WebSphere MQ は、独自の権限検査を実行しません。 z/OS では、ESM として RACF を使用するという前提で、ブローカー管理セキュリティーに関するすべての情報が用意されています。 他の ESM を使用する場合は、RACF を前提として用意されている情報をその ESM に合わせて解釈しなければならない場合もあります。
z/OS で WebSphere MQ キュー・マネージャーのセキュリティーを初めてアクティブ化する場合は、ESM からキューにアクセスするために必要なプロファイルや他のリソースをセットアップしなければなりません。 さらに、正しいクラスでセキュリティー・プロファイルにアクセスするようにキュー・マネージャーが構成されていることも確認する必要があります。大文字のキュー名の場合は MQQUEUE、大/小文字混合のキュー名の場合は MXQUEUE になります。
キュー・マネージャーのセキュリティーとセキュリティー・プロファイルの詳細については、WebSphere MQ バージョン 7 インフォメーション・センター・オンラインの『z/OS システム管理ガイド』と『z/OS システム・セットアップ・ガイド』のセクションを参照してください。
ブローカー管理セキュリティーをアクティブ化すると、以下のインターフェースのユーザーが実行するすべてのアクションが権限検査の対象になります。
これらのコマンドに必要な追加権限について詳しくは、ブローカー管理セキュリティーのコマンドと権限を参照してください。
ここに記載されていないすべてのコマンドは、ブローカーが実行されているコンピューターでのみ実行できます。 リストされていないコマンドを実行する場合、自分のユーザー ID か、ブローカーの実行に使用されている ID のいずれかがセキュリティー・グループ mqbrkrs のメンバーでなければなりません。 必要な権限については、各コマンドのトピックで説明されています。
ブローカーまたは実行グループに対して読み取り、書き込み、実行の権限のない WebSphere Message Broker Explorer および WebSphere Message Broker Toolkit のユーザーは、それらのリソースに対して制限付きアクセス権限のみを持ちます。 ユーザー権限が制限されていることを示すアイコンが各リソースに対して表示されます。 ユーザーがリソースに対して要求できるアクションは、そのユーザーに対して設定されている制限付きの権限によって決まります。
ブローカーにアクセスする権限がユーザー ID に付与されていると、少なくとも以下のいずれかのイベントによって現行接続または現行セッションが終了するまで、そのアクセス権限は保持されます。
そのユーザー ID の権限を更新または除去した場合でも、接続がアクティブになっている間は、その権限は変更されません。
ただし、実行グループまたはメッセージ・フローに対する操作では、常に権限が検査されるので、実行グループに対するユーザー ID の権限を変更または除去した場合は、現行接続での後続の要求が失敗する場合もあります。
実際の環境では、要求を行うユーザー ID の検査では十分なレベルのセキュリティーを確保できない場合があります。 よりセキュアなソリューションを必要とする場合は、以下のオプションのいずれかまたは両方を使用できます。