Bei der Entscheidung darüber, welche Benutzer Brokerbefehle ausführen und welche Benutzer die Sicherheit für andere Brokerressourcen steuern sollen, sind mehrere Faktoren zu berücksichtigen.
Beachten Sie bei der Entscheidung darüber, welche Benutzer die verschiedenen Tasks ausführen sollen, die folgenden Schritte:
Beantworten Sie folgende Fragen:
Wenn Sie den Befehl mqsistart mit einer Benutzer-ID ausführen, die zu den Gruppen
mqm und mqbrkrs gehört, wird die Benutzer-ID, unter der Sie den Befehl mqsistart ausführen, die Benutzer-ID, unter der der Prozess der Brokerkomponente ausgeführt wird.
Beantworten Sie folgende Fragen:
Beim Ausführen des Befehls mqsicreatebroker erhält die lokale mqbrkrs-Gruppe Zugriff auf interne Warteschlangen, deren Namen mit den Zeichen SYSTEM.BROKER beginnen. Diese Zugriffssteuerungsliste darf nicht geändert werden, da sie für eine ordnungsgemäße Funktionsweise des Brokers vorausgesetzt wird.
Der Konfigurationsmanager, der den Broker steuert, reiht Nachrichten in die Warteschlange SYSTEM.BROKER.ADMIN.QUEUE ein. Wenn sich Ihr Konfigurationsmanager auf demselben Computer wie Ihr Broker befindet, ist die zugehörige Service-ID Mitglied der Gruppe mqbrkrs. Es ist deshalb keine weitere Maßnahme erforderlich. Wenn sich der Konfigurationsmanager auf einem anderen Computer befindet, müssen Sie sicherstellen, dass die zugehörige Service-ID auf dem Computer definiert ist, auf dem der Broker ausgeführt wird. Stellen Sie außerdem sicher, dass er auf WebSphere MQ zugreifen kann, um Nachrichten in die Warteschlange SYSTEM.BROKER.ADMIN.QUEUE einzureihen.
Wenn Sie Brokerverbünde für Publish/Subscribe verwenden, müssen andere Broker in Ihrer Domäne Nachrichten in die Warteschlange SYSTEM.BROKER.INTERBROKER.QUEUE einreihen. Deshalb benötigen ihre Service-IDs die Berechtigung zum Einreihen von Nachrichten in diese Warteschlange.
Führen Sie diese Task aus, indem Sie folgende Frage beantworten: