WebSphere® Message Broker Toolkit および WebSphere Message Broker Explorer のセキュリティーをセットアップするときの考慮事項について説明します。
ブローカーを作成すると、デフォルトの SVRCONN チャネル SYSTEM.BKR.CONFIG が作成されます。このチャネルは、1 つ以上のリモート・クライアントからブローカーへの接続に対応しています。 ブローカーと同じコンピューターで稼働するクライアントは、キュー・マネージャーに直接接続するので、チャネル経由の接続は必要ありません。
セキュリティーを有効にした場合は、デフォルトで、WebSphere Message Broker Toolkit および WebSphere Message Broker Explorer を実行するために使用されるユーザー ID が、ブローカー (WebSphere MQ ヘッダー内) に渡され、許可に使用されます。 管理アプリケーションの許可の詳細については、管理セキュリティーのタスクと権限を参照してください。
デフォルト動作をオーバーライドするには、SVRCONN チャネルの MCAUSER 属性で許可に使用するユーザー ID を指定します。MCAUSER 属性を設定すると、WebSphere Message Broker Toolkit または WebSphere Message Broker Explorer から着信した要求が、WebSphere Message Broker Toolkit または WebSphere Message Broker Explorer を実行するユーザーではなく、MCAUSER 属性で指定されたユーザーからの要求であるように、ブローカーによって処理されます。
ユーザー ID の長さを必ず 8 文字以下にしてください。
WebSphere Message Broker Toolkit セッションまたは WebSphere Message Broker Explorer セッションとブローカーの間の接続を保護する場合は、SVRCONN チャネルを構成してセキュリティー・オプションを指定できます。
すべてのクライアント接続で 1 つのチャネルを使用することも、それぞれのクライアント接続ごとにチャネルを作成することも、セキュリティー要件が同じ複数のクライアントで接続を共用することも可能です。デフォルトのチャネルを使用することもできれば、必要に応じて追加のチャネルを作成することもできます。 デフォルトのチャネルを使用しない場合は、接続プロパティーで代替名を設定する必要があります。
WebSphere Message Broker Explorer、WebSphere Message Broker Toolkit、CMP インターフェースを使用するコマンド (mqsichangeresourcestats、mqsicreateexecutiongroup、mqsideleteexecutiongroup、mqsideploy、mqsilist、mqsimode、mqsireloadsecurity、mqsireportresourcestats、mqsistartmsgflow、mqsistopmsgflow)、または CMP アプリケーションの間の接続を保護するには、以下のオプションのいずれかまたは両方を使用します。