Windows プラットフォームでのセキュリティー要件

以下の表は、WebSphere Business Integration Message Broker 管理用タスクのセキュリティー要件の要約です。この表は、ローカル・システム SALONE に定義されたローカル・セキュリティー・ドメイン、 PRIMARY という名前の 1 次ドメイン、または TRUSTED という名前のトラステッド・ドメインを使用する場合に、 どのグループ・メンバーシップが必要であるかを示しています。 この表の内容は、 構成マネージャーおよびユーザー・ネーム・サーバーが同じセキュリティー・ドメインで作成されたことを前提とするものです。

ユーザーの実行内容 ローカル・ドメイン (SALONE) 1 次ドメイン (PRIMARY) / Windows 単一ドメイン (PRIMARY) トラステッド・ドメイン (TRUSTED) / ドメイン・ツリー中の Windows 親/子ドメイン (TRUSTED)
ブローカー、構成マネージャーユーザー・ネーム・サーバーの作成
  • SALONE で定義されているユーザー ID でなければならない。
  • Administrators のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • SALONE¥Administrators のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • SALONE¥Administrators のメンバー。
ブローカー、構成マネージャーユーザー・ネーム・サーバーの変更
  • SALONE で定義されているユーザー ID でなければならない。
  • Administrators のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • SALONE¥Administrators のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • SALONE¥Administrators のメンバー。
ブローカー、構成マネージャーユーザー・ネーム・サーバーの削除
  • Administrators のメンバー。
  • SALONE¥Administrators のメンバー。
  • SALONE¥Administrators のメンバー。
ブローカー、構成マネージャーユーザー・ネーム・サーバーの開始
  • Administrators のメンバー。
  • SALONE¥Administrators のメンバー。
  • SALONE¥Administrators のメンバー。
ブローカー、構成マネージャーユーザー・ネーム・サーバーの一覧表示
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
トレース情報の変更、表示、取り出し
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
ユーザー・ネーム・サーバーの実行 (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
構成マネージャーの実行 (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • mqm のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • SALONE¥mqm のメンバー (注 1 を参照)。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
  • SALONE¥mqm のメンバー (注 2 を参照)。
ブローカーの実行 (WebSphere MQ ファースト・パスはオフ) (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
ブローカーの実行 (WebSphere MQ ファースト・パスはオン) (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • mqm のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • SALONE¥mqm のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
  • SALONE¥mqm のメンバー。
WebSphere MQ パブリッシュ/サブスクライブ・ブローカーのクリア、結合、リスト
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
Message Brokers Toolkit for WebSphere Studio の実行 (注 3 を参照)
  • SALONE で定義されているユーザー ID でなければならない。 (注 4 を参照)たとえば、 SALONEUser1 は有効であるが、PRIMARYUser2 や TRUSTEDUser3 は有効ではない。
  • mqbrasgnmqbrdevtmqbropsmqbrtpic のうち 1 つ以上のメンバー
ドメイン認識は使用不可です。
  • PRIMARY で定義されているユーザー ID でなければならない。 (注 4 を参照)たとえば、 PRIMARYUser2 は有効であるが、SALONEUser1 や TRUSTEDUser3 は有効ではない。
  • PRIMARY¥Domain mqbrasgn や、PRIMARY¥Domain mqbrdevt のうち 1 つ以上のメンバー。
ドメイン認識は使用可です。
  • トラステッド・ドメインからのドメイン・ユーザー ID。 Windows 2000 の場合はピア・ドメインとの移行トラスト関係があるドメイン。
  • SALONE/mqbrasgn、SALONE/mqbrdevt などのメンバーでなければならない。
以下の注 5 を参照。
ドメイン認識は使用不可です。
  • TRUSTED で定義されているユーザー ID でなければならない。 (注 4 を参照)たとえば、 TRUSTEDUser3 は有効であるが、SALONEUser1 や PRIMARYUser2 は有効ではない。
  • TRUSTED¥Domain Domain mqbrasgn や、TRUSTED¥Domain mqbrdevt のうち 1 つ以上のメンバー。
ドメイン認識は使用可です。
  • トラステッド・ドメインからのドメイン・ユーザー ID。 Windows 2000 の場合はピア・ドメインとの移行トラスト関係があるドメイン。
  • SALONE/mqbrasgn、SALONE/mqbrdevt などのメンバーでなければならない。
以下の注 5 を参照。
パブリッシュ/サブスクライブ・アプリケーションの実行
  • SALONE で定義されているユーザー ID でなければならない。 たとえば、 SALONEUser1 は有効であるが、PRIMARYUser2 や TRUSTEDUser3 は有効ではない。
  • PRIMARY で定義されているユーザー ID でなければならない。 たとえば、 PRIMARYUser2 は有効であるが、SALONEUser1 や TRUSTEDUser3 は有効ではない。
  • TRUSTED で定義されているユーザー ID でなければならない。 たとえば、 TRUSTEDUser3 は有効であるが、SALONEUser1 や PRIMARYUser2 は有効ではない。
Notes:
  1. 1 次ドメイン中で実行している場合は、以下の作業も行うことができます。
    • ドメイン PRIMARY 中にユーザー ID を定義します。
    • この ID をグループ PRIMARY¥Domain mqm に追加します。
    • PRIMARY¥Domain mqm グループを SALONE¥mqm グループに追加します。
  2. トラステッド・ドメイン中で実行している場合は、以下の作業も行うことができます。
    • ドメイン TRUSTED 中にユーザー ID を定義します。
    • この ID をグループ TRUSTED¥Domain mqm に追加します。
    • TRUSTED¥Domain mqm グループを SALONE¥mqm グループに追加します。
  3. どの Message Brokers Toolkit for WebSphere Studio ユーザーにも、WebSphere MQ ホーム・ディレクトリーの WebSphere MQ java ¥lib サブディレクトリーに 対する読み取りアクセス権が必要です (デフォルトは X:¥Program Files ¥WebSphere MQ。 ただし X: はオペレーティング・システム・ディスク)。 WebSphere MQ では、このアクセス権は、ローカル・グループ mqm 中のユーザーだけに制限されています。WebSphere Business Integration Message Broker をインストールすると、この制限がオーバーライドされ、 このサブディレクトリーの読み取りアクセス権がすべてのユーザーに与えられます。
  4. 構成マネージャーによって使用されるドメイン (PRIMARYUser4 など) に有効なユーザー ID が定義されている場合、その同じユーザーが別のドメイン (DOMAIN2User4 など) でも定義されていると、PRIMARYUser4 の権限を使用して Message Brokers Toolkit for WebSphere Studio にもアクセスできます。
  5. Message Brokers Toolkit for WebSphere Studio ACL が使用される場合、使用可能なドメイン認識および使用不可のドメイン認識の両方において、ユーザー ID は SALONE で作成されるローカル ACL グループの いずれかのメンバーでなければなりません。
  6. サービス・ユーザー ID に、 製品ディレクトリー・ツリーの関連ディレクトリーへの必要なアクセス権、 例えばログ・ディレクトリーへの書き込みアクセス権などがあるか確認します。 デフォルト以外の作業パスがいずれかのコンポーネントに対して設定されている場合、 サービス・ユーザー ID に、その場所への適切なアクセス権があるかどうか確認します。

関連概念
ランタイム・リソースのセキュリティー

関連タスク
ブローカー・ドメインのセキュリティーのセットアップ
トピック・ベースのセキュリティーの使用可能化

関連資料
mqsicreateaclgroup コマンド
mqsideleteaclgroup コマンド
mqsilistaclgroup コマンド