構成マネージャーのセキュリティーの考慮

このタスクでは、次の事柄に必要なグループ・メンバーシップについて考慮します。
  • 構成マネージャー・コマンドを実行するユーザー
  • サービス ID
  • 構成マネージャーのキューにアクセスします。
次の点を考慮してください。
  1. 構成マネージャー・コマンドを実行できるユーザーを決定する
  2. 構成マネージャー・サービス ID として使用するユーザー・アカウントを決定する
  3. 構成マネージャーのキューのセキュリティーの設定
  4. ドメイン環境での構成マネージャーの実行

構成マネージャー・コマンドを実行できるユーザーを決定する

このタスクでは、以下を行うユーザー ID に必要な許可を決定します。
  • 構成マネージャーの作成、変更、リスト、削除、開始、および停止
  • トレース情報の表示、検索、および変更

以下の質問に回答します。

  1. Windows ローカル・アカウントの下で構成マネージャー・コマンドを実行しますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: 仮にローカル・アカウントが WKSTN1 というマシン上にあるとします。 構成マネージャーを作成する際に、ユーザー ID がローカル・ドメインで定義されていることを確認します。 ユーザー・ネーム・サーバー を作成または開始する際に、ユーザー ID が WKSTN1\Administrators のメンバーであることを確認します。

      構成マネージャー・サービス ID として使用するユーザー・アカウントを決定する に進みます。

  2. Windows ドメイン・アカウントの下で構成マネージャー・コマンドを実行しますか ?
    1. はい: 仮に WKSTN1 というユーザーのマシンが DOMAIN1 というドメインのメンバーであるとして、たとえば DOMAIN1\user1 を使用して ユーザー・ネーム・サーバー を作成するのであれば、 DOMAIN1\user1 が WKSTN1\Administrators のメンバーであることを確認します。

      構成マネージャー・サービス ID として使用するユーザー・アカウントを決定する に進みます。

構成マネージャー・サービス ID として使用するユーザー・アカウントを決定する

mqsicreateconfigmgr または mqsichangeconfigmgr コマンドで、 -i オプションを使用してサービス ID を設定する際は、構成マネージャー・コンポーネント・プロセスを実行するユーザー ID を決定します。

以下の質問に回答します。

  1. Windows ローカル・アカウントの下で構成マネージャーを実行しますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: ユーザー ID がローカル・ドメインで定義され、 mqbrkrs および mqm のメンバーであることを確認します。

      構成マネージャーのキューのセキュリティーの設定 に進みます。

  2. Windows ドメイン・アカウントの下で構成マネージャーを実行しますか ?
    1. はい: 仮に WKSTN1 というユーザーのマシンが DOMAIN1 というドメインのメンバーであるとして、たとえば DOMAIN1\user1 を使用して構成マネージャーを実行する場合は、 DOMAIN1\user1 が DOMAIN1\Domain mqbrkrs のメンバーであり、 DOMAIN1\user1 が WKSTN1\mqm のメンバーであり、 DOMAIN1\Domain mqbrkrs が WKSTN1\mqbrkrs のメンバーであることを確認します。 別の方法として、次のようにすることもできます。
      1. DOMAIN1 で user1 を定義します。
      2. user1 を DOMAIN1¥Domain mqm グループに追加します。
      3. DOMAIN1¥Domain mqm グループを WKSTN1¥mqm グループに追加します。
      4. DOMAIN1¥Domain mqbrkrs グループを WKSTN1¥mqbrkrs グループに追加します。

      構成マネージャーのキューのセキュリティーの設定 に進みます。

構成マネージャーのキューのセキュリティーの設定

コマンドを実行すると、 mqbrkrs グループは以下のキューへのアクセス権限を取得します。
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY
  • SYSTEM.BROKER.ADMIN.REPLY
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE.
ブローカーとユーザー・ネーム・サーバーには、構成マネージャーのキューへのアクセスが必要です。
バージョン 2.1 のセキュリティーを使用している場合は、 mqbrasgnmqbrdevtmqbrops、および mqbrtpic グループが、 以下のキューに対するアクセス権限を持つことになります。
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY.
バージョン 5.0 のオブジェクト・レベル・セキュリティー・モデルを使用している場合は、 アクセス制御リスト (ACL) が作成されている各グループまたはユーザーが、 以下のキューに対するアクセス権限を持つことになります。
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY.

ドメイン環境での構成マネージャーの実行

このタスクでは、どのような場合に -d ドメイン・オプションを設定すべきかを知ることができます。

関連概念
構成タスクの許可
ドメイン認識

関連タスク
ワークベンチのセキュリティーの考慮

関連資料
Windows プラットフォームでのセキュリティー要件
mqsicreatebroker コマンド
mqsichangebroker コマンド