WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

管理セキュリティーの使用可能化

ブローカーで管理セキュリティーを使用可能にすることで、ブローカーとそのリソースに対して特定のタスクを実行できるユーザーを制御します。

ブローカーの作成時に、ブローカーの管理セキュリティーを有効にすることもできます。 ブローカーの作成後に管理セキュリティーを有効にすることにした場合は、該当するブローカー・プロパティーを変更します。

ブローカーの作成または変更を行う場合は、ユーザー ID が WebSphere® MQ 制御グループ mqm のメンバーになっていなければなりません。

  1. ブローカーの作成時にブローカー管理セキュリティーを有効にする場合は、WebSphere Message Broker Explorer の「ブローカーの作成」ウィザードでセキュリティー・オプションを選択するか、mqsicreatebroker コマンドでパラメーター -s active を指定します。 例えば、AIX® でセキュリティーを有効にして MB8BROKER というブローカーを作成するには、以下のコマンドを入力します。
    mqsicreatebroker MB8BROKER -q MB8QMGR -s active 
    ブローカーは、権限キュー SYSTEM.BROKER.AUTH を作成します。 このキューでは、ブローカーに対するアクションを実行する権限をどのユーザーに与えるかを定義します。

    ブローカーはさらに、このキューに対する照会、書き込み、設定の権限のデフォルト許可を割り当てます。 その許可によって、mqbrkrs グループのすべてのメンバーに、ブローカーに対する読み取り、書き込み、実行の権限が与えられます。 したがって、ブローカー管理チームの少なくとも 1 人のメンバーをそのグループのメンバーにする必要があります。 さらに、このグループのメンバーシップは慎重に管理しなければなりません。そのレベルの権限を必要とするユーザーだけにその権限を与えるようにしてください。

    z/OS® では、WebSphere MQ と一緒に使用する外部セキュリティー・マネージャー (ESM) の権限レベルとしてその許可が実装されます。 ESM として RACF® を使用している場合は、権限レベルが階層構造になります。例えば、ALTER アクセス権には暗黙的に READ アクセス権と WRITE アクセス権が含まれる、といった具合です。 したがって、ESM の資料を調べて、サポートされている権限レベルを確認する必要があります。 分散プラットフォームでは、それに相当するような階層構造はありません。3 つのアクセス権がそれぞれ独立して存在しています。

  2. 既存のブローカーでブローカー管理セキュリティーを有効にするには、以下のようにします。
    1. WebSphere Message Broker Explorer でブローカーを停止するか、mqsistop コマンドを実行します。
    2. WebSphere Message Broker Explorer でそのブローカーのセキュリティー・オプションを選択するか、パラメーター -s active を指定して mqsichangebroker コマンドを実行します。 例えば、ブローカー MB8BROKER のセキュリティーを有効にするには、以下のコマンドを入力します。
      mqsichangebroker MB8BROKER -s active 
      ブローカーは、定義済みの各実行グループのキューを作成します。このキューの名前は、SYSTEM.BROKER.AUTH.EG という形式に準拠します (EG は実行グループの名前です)。 ブローカーは mqbrkrs グループにこのキューに対する照会、書き込み、設定の権限のデフォルト許可を割り当て、このキューはこのグループに実行グループとそのプロパティーに対する読み取り、書き込み、実行のアクセス権限を認可します。 これで、これらのキューとブローカー権限キュー SYSTEM.BROKER.AUTH が使用可能になりました。

      実行グループに対して生成されるキューの名前が実行グループの名前と正確に一致しない場合もあります。権限キュー名については、WebSphere MQ によっていくつかの制約事項が適用されるからです。 そのような制約事項とそれに伴って考えられる影響の詳細については、ブローカー管理セキュリティーのための権限キューを参照してください。

    3. WebSphere Message Broker Explorer でブローカーを開始するか、mqsistart コマンドを実行します。
  3. ブローカーの実行に使用されるユーザー ID が WebSphere MQ セキュリティー・グループ mqm のメンバーであることを確認します。 この権限がないと、ブローカーは実行グループの権限キューを実行時に作成することも削除することもできません。

    mqm 権限はすべての WebSphere MQ リソースに対する全アクセス権限制御を認可するため、このレベルの権限でブローカーを実行させたくない場合もあります。 mqm 権限でブローカーを実行させたくない場合は、WebSphere MQ 管理者と協力して、必要なキューが適時に作成 (および削除) されるようにする必要があります。

    ブローカーに mqm 権限を付与する場合は、以下のようにします。

    • Linux および UNIX システムでは、ブローカーを開始したユーザー ID を mqm に追加します。
    • Windows では、サービス・ユーザー ID として指定したユーザー ID を mqm に追加します。 このユーザー ID を追加すると、同じ 1 次グループ内に定義されたすべてのユーザー ID に、同じレベルの権限が認可されます。 したがって、グループ・メンバーシップを注意深く制御して、アクセス権限がそれを必要としないユーザー ID に認可されないようにする必要があります。
    • z/OS では、開始済みタスクのユーザー ID に同等の許可を認可します。
  4. ブローカーに関連付けられた (前のステップで定義された) ユーザー ID が、WebSphere MQ の altuser 権限を持っていることも確認します。 この権限は、ブローカーが WebSphere MQ に権限の検査を要求するときに必要となります。

    mqsireportbroker brokerName を使用してブローカーのレジストリー項目を表示します。

次に、各ユーザーに実行させるタスクに合わせて、必要な権限をユーザーごとに与えます。そのためには、それぞれのキューで適切な詳細情報を設定します。 このタスクについては、管理のためのユーザーへの権限の付与で説明しています。
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:49:29


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | bp43600_