WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Requisitos de seguridad para sistemas Windows

Los requisitos de seguridad dependen de la tarea administrativa que desea realizar.

En las tablas siguientes se resumen los requisitos para las tareas administrativas. Muestran la pertenencia a grupo que es necesaria si se utiliza un dominio de seguridad local definido en el sistema local.

Nota: Si ha habilitado la seguridad de administración del intermediario, también debe establecer la autorización que se detalla en Tareas y autorizaciones para la seguridad de administración.

Los usuarios de dominio en un dominio de varias estaciones de trabajo, o de dominios que se encuentran en relación de confianza transitiva con Windows, también pueden realizar estas tareas administrativas. Deben cumplir los requisitos de pertenencia a grupos especificados en las tablas. Una manera de configurar esta pertenencia a grupos es añadiendo el usuario de dominio a un grupo de dominios que a su vez es miembro del grupo local. Para ver un ejemplo sobre cómo configurar la seguridad mediante grupos de dominios, consulte Seguridad en un entorno de dominio Windows.

Tarea Mandato Autorización
Crear, suprimir o migrar un intermediario

mqsicreatebroker

mqsideletebroker

mqsimigratecomponents

  • Debe ser un ID de usuario definido en WORKSTATION.
  • Miembro de Administradores.
  • En sistemas Windows 7 y Windows Server 2008, el ID de usuario para ejecutar este mandato debe ejecutarse desde un indicador de mandatos con privilegios elevados. Para obtener más información, consulte Mandato mqsicommandconsole.
  • Utilizando LDAP: Asegúrese de que el registro esté debidamente protegido para impedir accesos sin autorización. No es necesario establecer los parámetros PrincipalLdap y CredencialesLdap en mqsichangebroker para un funcionamiento correcto del intermediario. La contraseña no se almacena en texto inteligible en el sistema de archivos.
Cambiar un intermediario

mqsichangebroker

  • Debe ser un ID de usuario definido en WORKSTATION.
  • Miembro de mqbrkrs.
  • Si especifica el parámetro -s para activar la seguridad de administración del intermediario, el ID de usuario utilizado para ejecutar este mandato debe ser miembro del grupo mqm, ya que se crean varias colas para que las utilice el intermediario.
  • Utilizando LDAP: Asegúrese de que el registro esté debidamente protegido para impedir accesos sin autorización. No es necesario establecer los parámetros PrincipalLdap y CredencialesLdap en mqsichangebroker para un funcionamiento correcto del intermediario. La contraseña no se almacena en texto inteligible en el sistema de archivos.
Añadir o eliminar una instancia de intermediario

mqsiaddbrokerinstance

mqsiremovebrokerinstance

  • Debe ser un ID de usuario definido en WORKSTATION.
  • Miembro de Administradores.
  • En sistemas Windows 7 y Windows Server 2008, el ID de usuario para ejecutar este mandato debe ejecutarse desde un indicador de mandatos con privilegios elevados. Para obtener más información, consulte Mandato mqsicommandconsole.
Hacer copia de seguridad o restaurar un intermediario

mqsibackupbroker

mqsirestorebroker

  • Miembro de mqbrkrs.
Iniciar un intermediario o verificar un intermediario

mqsistart

mqsicvp

  • Miembro de mqbrkrs.
  • Miembro de mqm si el gestor de colas aún no se está ejecutando.
Detener un intermediario

mqsistop

  • Miembro de mqbrkrs.
  • Miembro de mqm si se especifica -q.
Crear o suprimir un grupo de ejecución

mqsicreateexecutiongroup

mqsideleteexecutiongroup

  • Miembro de mqbrkrs.
  • Si la seguridad de administración del intermediario está activa, el ID de usuario que ejecuta este mandato debe ser miembro del grupo mqm. Si no desea que el intermediario se ejecute con autorización mqm, debe trabajar con el administrador de WebSphere MQ para crear o suprimir la cola de autorización adecuada al crear o suprimir un grupo de ejecución.
Iniciar o detener un flujo de mensajes

mqsistartmsgflow

mqsistopmsgflow

  • Miembro de mqbrkrs.
Crear o suprimir un servicio configurable

mqsicreateconfigurableservice

mqsideleteconfigurableservice

  • Miembro de mqbrkrs.
Listar intermediarios

mqsilist

  • Debe ser un ID de usuario definido en WORKSTATION.
  • Miembro de mqbrkrs o mqm para ejecutar el mandato con el intermediario y el grupo de ejecución especificados:
    mqsilist nombre_intermediario nombre_grupo_ejecución
Mostrar propiedades de intermediario

mqsireportbroker

mqsireportproperties

mqsireportflowmonitoring

mqsireportflowstats

mqsireportflowuserexits

mqsireportresourcestats

  • Miembro de mqbrkrs.
Cambiar propiedades

mqsichangeproperties

mqsichangeflowmonitoring

mqsichangeflowstats

mqsichangeflowuserexits

mqsichangeresourcestats

  • Miembro de mqbrkrs.
Establecer y actualizar contraseñas

mqsisetdbparms

  • Miembro de mqbrkrs.
Informar o actualizar una modalidad de intermediario

mqsimode

  • Miembro de mqbrkrs.
Desplegar un objeto en un intermediario

mqsideploy

  • Miembro de mqbrkrs.
Volver a cargar un intermediario, grupos de ejecución o seguridad

mqsireload

mqsireloadsecurity

  • Miembro de mqbrkrs.
Rastrear un intermediario

mqsichangetrace

mqsireporttrace

mqsireadlog

mqsiformatlog

  • Debe ser un ID de usuario definido en WORKSTATION.
  • Miembro de mqbrkrs.
Añadir el grupo mqbrkrs

mqsisetsecurity

  • Debe ser un ID de usuario definido en WORKSTATION.
  • Miembro de Administradores.
  • En sistemas Windows 7 y Windows Server 2008, el ID de usuario para ejecutar este mandato debe ejecutarse desde un indicador de mandatos con privilegios elevados. Para obtener más información, consulte Mandato mqsicommandconsole.
Instalar, desinstalar o listar ensamblados .NET en la Caché de ensamblados global

mqsiAssemblyInstall

  • Debe ser un ID de usuario definido en WORKSTATION.
  • Miembro de Administradores.
  • En sistemas Windows 7 y Windows Server 2008, el ID de usuario para ejecutar este mandato debe ejecutarse desde un indicador de mandatos con privilegios elevados. Para obtener más información, consulte Mandato mqsicommandconsole.
Administración de la memoria caché global

mqsicacheadmin

  • Miembro de mqbrkrs.
Ejecutar mandatos que requieren privilegios elevados

mqsicommandconsole

  • Miembro de Administradores.
  • En sistemas Windows 7 y Windows Server 2008, el ID de usuario para ejecutar este mandato debe ejecutarse desde un indicador de mandatos con privilegios elevados. Para obtener más información, consulte Mandato mqsicommandconsole.
Configurar enlaces simbólicos necesarios para transacciones coordinadas

mqsimanagexalinks

  • Debe ser un ID de usuario definido en WORKSTATION.
  • Miembro de Administradores.
  • En sistemas Windows 7 y Windows Server 2008, el ID de usuario para ejecutar este mandato debe ejecutarse desde un indicador de mandatos con privilegios elevados. Para obtener más información, consulte Mandato mqsicommandconsole.
Empaquetar un archivo BAR

mqsipackagebar

  • Debe ser un ID de usuario definido en WORKSTATION.
  • Miembro de Administradores.
  • En sistemas Windows 7 y Windows Server 2008, el ID de usuario para ejecutar este mandato debe ejecutarse desde un indicador de mandatos con privilegios elevados. Para obtener más información, consulte Mandato mqsicommandconsole.
  • El ID de usuario debe tener acceso de grabación a los directorios -w (ubicación raíz), -a (ubicación de archivo BAR) y -v (ubicación de archivo de rastreo).
Crear o modificar una cuenta de usuario web

mqsiwebuseradmin

  • Miembro de Administradores.

El usuario está...1 Mandato utilizado Dominio local (WORKSTATION)
Ejecutando un intermediario (vía de acceso rápida de WebSphere MQ desactivada) (ID de usuario de servicio)2
  • No aplicable
  • Debe ser un ID de usuario definido en WORKSTATION
  • Miembro de mqbrkrs
  • Debe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de Windows.

    Este privilegio se añade cuando se ejecuta mqsicreatebroker, si es necesario.

Ejecutando un intermediario (vía de acceso rápida de WebSphere MQ activada) (ID de usuario de servicio)2
  • No aplicable
  • Debe ser un ID de usuario definido en WORKSTATION
  • Miembro de mqbrkrs
  • Miembro de mqm
  • Debe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de Windows.

    Este privilegio se añade cuando se ejecuta mqsicreatebroker, si es necesario.

Ejecutando un WebSphere Message Broker Toolkit3
  • Inicie el WebSphere Message Broker Toolkit desde el menú Inicio
  • Debe ser un ID de usuario definido en WORKSTATION. Por ejemplo, WORKSTATION\User1 es válido, PRIMARY\User2 y TRUSTED\User3 no lo son.
Notas:
  1. De forma predeterminada, cuando se crea un intermediario, al ID de usuario de servicio se le otorgan los permisos necesarios para acceder a los directorios relevantes del árbol de directorios del producto; por ejemplo, acceso de escritura al directorio de anotaciones.

    Esto ocurre aunque establezca una ubicación que no sea la predeterminada, con el distintivo –w en el mandato mqsicreatebroker o utilice el distintivo –e en el mandato mqsicreatebroker para crear un intermediario de varias instancias. Si estos permisos se cambian manualmente, siempre tendrá que asegurarse de que el grupo mqbrkrs tenga acceso a estas ubicaciones.

  2. Asegúrese de que mqbrkrs disponga de acceso a todas las colas definidas por el usuario que haya definido para que utilicen los flujos de mensajes. Puede utilizar el mandato setmqaut para establecer permisos.
    • Establezca los siguientes permisos en todas las colas de entrada:
      setmqaut -m MB8BROKER -n TEST_INPUT -t queue -g mqbrkrs +get +inq
    • Establezca los siguientes permisos en todas las colas de salida:
      setmqaut -m MB8BROKER -n TEST_OUTPUT -t queue -g mqbrkrs +put +inq +setall
    • Es posible que necesite añadir también +passid +passall +setid +setall, en función de los requisitos.
  3. Todos los usuarios de WebSphere Message Broker Toolkit necesitan acceso de lectura al subdirectorio WebSphere MQ Java™ \lib del directorio inicial de WebSphere MQ (la ubicación predeterminada es X:\Archivos de programa\WebSphere MQ, donde X: es el disco del sistema operativo). Este acceso está restringido a los usuarios del grupo local mqm porWebSphere MQ. La instalación de WebSphere Message Broker altera temporalmente esta restricción y proporciona acceso de lectura para este subdirectorio a todos los usuarios.

Requisitos de seguridad del intermediario en Windows

En todas las plataformas de Windows, ya no es necesario que el ID de usuario de servicio sea un miembro del grupo Administradores.

El único requisito es que el ID de usuario de servicio sea miembro del grupo mqbrkrs. Además, la cuenta LocalSystem se puede utilizar como ID de usuario de servicio especificando LocalSystem para el parámetro –i en el mandato mqsicreatebroker.

En este caso, debe especificar el parámetro –a (contraseña) en la línea de mandatos pero se hará caso omiso del valor entrado.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:00:17


Tema de referenciaTema de referencia | Versión 8.0.0.5 | ap08683_