Requisitos de Segurança para Plataformas Windows

A tabela a seguir resume os requisitos de segurança para as tarefas administrativas do WebSphere Message Broker. Ela ilustra de que grupos é necessário ser membro se você estiver utilizando um domínio de segurança local definido no sistema local SALONE, ou em um domínio principal denominado PRIMARY ou em um domínio confiável denominado TRUSTED. O conteúdo desta tabela supõe que você tenha criado o Configuration Manager e o Servidor de Nome de Usuário com o mesmo domínio de segurança.

Usuário Está... Domínio Local (SALONE) Domínio Primário (PRIMARY) / Domínio Único do Windows (PRIMARY) Domínio Confiável (TRUSTED) / Domínio Pai/Filho do Windows na árvore de domínios (TRUSTED)
Criando o intermediário, o Configuration Manager, o Servidor de Nome de Usuário ou bancos de dados com mqsicreatedb.
  • Deve ser um ID do usuário definido em SALONE
  • Membro de Administradores
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de SALONE\Administrators
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de SALONE\Administrators
Alterando o intermediário, o Configuration Manager, o Servidor de Nome de Usuário, o DatabaseInstanceMgr.
  • Deve ser um ID do usuário definido em SALONE
  • Membro de Administradores
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de SALONE\Administrators
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de SALONE\Administrators
Excluindo o intermediário, o Configuration Manager, o Servidor de Nome de Usuário ou bancos de dados com mqsideletedb.
  • Membro de Administradores
  • Membro de SALONE\Administrators
  • Membro de SALONE\Administrators
Iniciando o intermediário, o Configuration Manager, o Servidor de Nome de Usuário ou o DatabaseInstanceMgr.
  • Membro de Administradores
  • Membro de SALONE\Administrators
  • Membro de SALONE\Administrators
Listando o intermediário, o Configuration Manager, o Servidor de Nome de Usuário ou o DatabaseInstanceMgr.
  • Deve ser um ID do usuário definido em SALONE
  • O ID do usuário deve ter autoridade para consultar os valores de registro na entrada WebSphereMQIntegrator no registro.
  • Membro do mqbrkrs, se emitindo o comando: mqsilist <nome_do_intermediário><nome_do_grupo_de_execução>.
  • Deve ser um ID do usuário definido em PRIMARY
  • O ID do usuário deve ter autoridade para consultar os valores de registro na entrada WebSphereMQIntegrator no registro.
  • Membro do PRIMARY\Domínio mqbrkrs, se emitindo o comando: mqsilist <nome_do_intermediário><nome_do_grupo_de__execução>.
  • Deve ser um ID do usuário definido em TRUSTED
  • O ID do usuário deve ter autoridade para consultar os valores de registro na entrada WebSphereMQIntegrator no registro.
  • Membro do TRUSTED\Domínio mqbrkrs, se emitindo o comando: mqsilist <nome_do_intermediário><nome_do_grupo_de__execução>.
Alterando, exibindo, recuperando informações de rastreio
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
Executando Servidor de Nome de Usuário (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
Executando DatabaseInstanceMgr (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
Executando Configuration Manager (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Membro de mqm
  • Membro de Adminstrators
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Membro de SALONE\mqm (consulte a nota 1)
  • Membro de SALONE/Adminstrators
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
  • Membro de SALONE\mqm (consulte a nota 2)
  • Membro de SALONE/Adminstrators
Executando o intermediário (atalho WebSphere MQ desligado) (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
Executando o intermediário (atalho WebSphere MQ ligado) (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Membro de mqm
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Membro de SALONE\mqm
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
  • Membro de SALONE\mqm
Limpando, unindo, listando intermediários do WebSphere MQ Publicação/Assinatura
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
Executando Message Brokers Toolkit (veja nota 3)
  • Deve ser um ID do usuário definido em SALONE (veja a nota 4). Por exemplo, SALONE\User1 é válido, PRIMARY\User2 e TRUSTED\User3 não são.
  • Para o reconhecimento de domínio ativado e o reconhecimento de domínio desativado, ao utilizar as ACLs do Message Brokers Toolkit, os IDs do usuário devem ser membros de quaisquer grupos de ACL locais criados no SALONE.
  • Para o reconhecimento de domínio ativado e o reconhecimento de domínio desativado, ao utilizar as ACLs do Message Brokers Toolkit, os IDs do usuário devem ser membros de quaisquer grupos de ACL locais criados no SALONE.
Executando Aplicativos do Publicação/Assinatura
  • Deve ser um ID do usuário definido em SALONE. Por exemplo, SALONE\User1 é válido, PRIMARY\User2 e TRUSTED\User3 não são.
  • Deve ser um ID do usuário definido em PRIMARY. Por exemplo, PRIMARY\User2 é válido, SALONE\User1 e TRUSTED\User3 não são.
  • Deve ser um ID do usuário definido em TRUSTED. Por exemplo, TRUSTED\User3 é válido, SALONE\User1 e PRIMARY\User2 não são.
Notas:
  1. Se estiver executando em um domínio primário, você também pode:
    • Definir o ID do usuário no domínio PRIMARY.
    • Incluir esse ID ao grupo PRIMARY\Domain mqm.
    • Incluir o grupo PRIMARY\Domain mqm ao grupo SALONE\mqm .
  2. Se estiver executando em um domínio confiável, você também pode:
    • Definir o ID do usuário no domínio TRUSTED.
    • Incluir esse ID ao grupo TRUSTED\Domain mqm.
    • Incluir o grupo TRUSTED\Domain mqm ao grupo SALONE\mqm .
  3. Todos os usuários do Message Brokers Toolkit necessitam de acesso de leitura ao subdiretório WebSphere MQ java \lib do diretório pessoal WebSphere MQ (o padrão é X:\Arquivos de Programas\WebSphere MQ, em que X: é o disco do sistema operacional). Esse acesso é restringido a usuários no grupo local mqm pelo WebSphere MQ. A instalação do WebSphere Message Broker substitui esta restrição e dá acesso de leitura para este subdiretório a todos os usuários.
  4. Se um ID do usuário válido for definido no domínio utilizado pelo Configuration Manager (por exemplo, PRIMARY\User4), um usuário idêntico definido em um domínio diferente (por exemplo, DOMAIN2\User4) poderá acessar o Message Brokers Toolkit com as autoridades de PRIMARY\User4.
  5. Assegure-se de que o ID do usuário de serviço tenha o acesso requerido para diretórios pertinentes da árvore de diretórios do produto; por exemplo, acesso de gravação ao diretório de registros. Se um caminho de trabalho diferente do padrão tiver sido definido para qualquer componente, assegure-se de que o ID do usuário de serviço tenha acesso adequado a esse local.
  6. Se estiver executando um Configuration Manager com um ID do usuário e um intermediário com um ID do usuário diferente em outro computador, é possível consultar uma mensagem de erro ao tentar implementar fluxos de mensagens e conjuntos de mensagens ao intermediário. Para evitar isso, faça o seguinte:
    • Certifique-se de que o ID de usuário do intermediário seja um membro dos grupos mqm e mqbrkrs.
    • Defina o ID do usuário do intermediário no computador em que o Configuration Manager está sendo executado.
    • Defina o ID do usuário do Configuration Manager no computador no qual o intermediário está em execução.
    • Certifique-se de que todos os IDs estão em letra minúscula para que sejam compatíveis entre os computadores.
Conceitos relacionados
Segurança para Recursos de Tempo de Execução
Tarefas relacionadas
Configurando a Segurança no Domínio do Intermediário
Ativando a Segurança Baseada em Tópicos
Referências relacionadas
Comando mqsicreateaclentry
Comando mqsideleteaclentry
Comando mqsilistaclentry
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback
Direitos Autorais IBM Corporation 1999, 2005 Última Atualização: 04/11/2005
ap08683_