Debe tener en cuenta varios factores a la hora de decidir qué usuarios pueden ejecutar mandatos del intermediario y qué usuarios pueden controlar la seguridad para los demás recursos del intermediario.
Aunque la mayor parte de la seguridad para el intermediario y los recursos de intermediario es opcional, quizás considere apropiado limitar las tareas que pueden realizar algunos ID de usuario. De esta forma puede tener un mayor control de los cambios en la supervisión.
Puede controlar todas las tareas de administración de intermediarios habilitando la seguridad de administración de intermediarios al crear un intermediario. También puede cambiar los intermediarios existentes para habilitar la seguridad en la administración. Esta opción se describe en Configurar la seguridad de administración, y es independiente de las opciones que se describen en esta sección.
Cuando decide qué usuarios deben realizar las diferentes tareas, tenga en cuenta los pasos siguientes:
En un sistema operativo Linux o UNIX, cuando ejecuta el mandato mqsistart con cualquier ID de usuario que es miembro de los grupos mqm y mqbrkrs, el ID de usuario en el que ejecuta el mandato mqsistart se convierte en el ID de usuario en el que se ejecuta el proceso del componente del intermediario.
En la plataforma Windows el intermediario se ejecuta bajo una cuenta de usuario de servicio. Para decidir qué ID de usuario se va a utilizar para el ID de servicio de intermediario, responda a las preguntas siguientes:
Tenga en cuenta que para los casos uno y dos anteriores, el ID de usuario elegido debe disponer del privilegio Iniciar sesión como un servicio.
Normalmente lo consigue automáticamente mediante el mandato mqsichangebroker o el mandato mqsichangeproperties cuando se ha especificado un ID de usuario de servicio que no dispone de este privilegio.
Sin embargo, si desea hacerlo manualmente antes de ejecutar estos mandatos, puede hacerlo utilizando la herramienta Política de seguridad local en Windows, a la que accede seleccionando .
Cuando se ejecuta el mandato mqsicreatebroker, el grupo mqbrkrs local recibe autorización para acceder a las colas internas cuyos nombres empiezan por los caracteres SYSTEM.BROKER.
La operación de intermediarios depende de la información en el registro del intermediario, la cual debe guardarse ante posibles casos de corrupción accidental. El registro del intermediario se almacena en el sistema de archivos. Establezca las opciones de seguridad del sistema operativo de forma que sólo los ID de usuario que son miembros del grupo mqbrkrs puedan leer o grabar en NombreIntermediario/VersiónActual y en todas las subclaves.