Sicherheitsüberlegungen für einen Konfigurationsmanager

Beginn der ÄnderungLegen Sie die Sicherheitsmerkmale und die Gruppenzugehörigkeit fest, die für Benutzer-IDs erforderlich sind, um Tasks auszuführen, die mit dem Konfigurationsmanager verknüpft sind.Ende der Änderung

Beginn der ÄnderungBetrachten Sie die Merkmale und die Gruppenzugehörigkeit, die für Benutzer-IDs erforderlich sind, die folgende Funktionen ausführen:
  • Sie werden als Servicebenutzer-ID (die den Konfigurationsmanager ausführt) ausgeführt.
  • Sie verarbeiten Konfigurationsmanager-Befehle
  • Sie greifen auf die Konfigurationsmanager-Warteschlangen zu.
Ende der Änderung

Dem Konfigurationsmanager selbst wird auch eine ACL zugeordnet. Benutzer oder Gruppen, die mit vollständigen Zugriffsrechten zur ACL des Konfigurationsmanagers gehören, gehören damit automatisch auch mit vollständigen Zugriffsrechten zu allen anderen ACLs. Die Zugehörigkeit mit vollständigen Zugriffsrechten zur ACL des Konfigurationsmanagers ermöglicht es Benutzern oder Gruppen, die ACLs für jedes Objekt (einschließlich des Konfigurationsmanagers) zu ändern.

Lesen Sie hierzu die entsprechenden Abschnitte in dieser Liste:

  1. Benutzerkonten festlegen, die Befehle des Konfigurationsmanagers verarbeiten können
  2. Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird
  3. Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten
  4. Konfigurationsmanager in einer Domänenumgebung ausführen

Benutzerkonten festlegen, die Befehle des Konfigurationsmanagers verarbeiten können

Sie müssen entscheiden, welche Berechtigungen Benutzer-IDs benötigen, die
  • einen Konfigurationsmanager erstellen, ändern, anzeigen, löschen, starten und stoppen
  • Traceinformationen anzeigen, abrufen und ändern

Beantworten Sie folgende Fragen:

  1. Beginn der ÄnderungWird Ihr Konfigurationsmanager auf einer Linux- oder UNIX-Plattform ausgeführt?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Stellen Sie sicher, dass Ihre Benutzer-ID zur Gruppe mqbrkrs gehört.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird.

    Ende der Änderung
  2. Führen Sie Konfigurationsmanager-Befehle unter einem lokalen Windows-Konto aus?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Angenommen, Ihr lokales Konto befindet sich auf einem PC mit der Bezeichnung WKSTN1. Bei der Erstellung eines Konfigurationsmanagers müssen Sie sicherstellen, dass die Benutzer-ID in der lokalen Domäne definiert ist. Beim Erstellen oder Starten eines Konfigurationsmanagers muss die Benutzer-ID zu WKSTN1\Administratoren gehören.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird.

  3. Führen Sie Konfigurationsmanager-Befehle unter einem Windows-Domänenkonto aus?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Beim Erstellen eines Konfigurationsmanagers beispielsweise unter Verwendung von DOMAIN1\user1 müssen Sie sicherstellen, dass DOMAIN1\user1 zu WKSTN1\Administratoren gehört.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird.

Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird

Beginn der ÄnderungWenn Sie den Befehl mqsistart mit einer Benutzer-ID ausführen, die zu den Gruppen mqm und mqbrkrs gehört, wird die Benutzer-ID, unter der Sie den Befehl mqsistart ausführen, die Benutzer-ID, unter der der Prozess der Konfigurationsmanager-Komponente ausgeführt wird.Ende der Änderung

Beantworten Sie folgende Fragen:

  1. Beginn der ÄnderungWird Ihr Konfigurationsmanager auf einer Linux- oder UNIX-Plattform ausgeführt?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Stellen Sie sicher, dass Ihre Benutzer-ID zur Gruppe mqbrkrs gehört.

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten.

    Ende der Änderung
  2. Soll der Konfigurationsmanager unter einem lokalen Windows-Konto ausgeführt werden?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja:
      Stellen Sie sicher, dass Ihre Benutzer-ID die folgenden Merkmale aufweist:
      • Sie ist in Ihrer lokalen Domäne definiert.
      • Sie ist Mitglied der Gruppe mqbrkrs
      • Sie ist Mitglied der Gruppe mqm
      • Sie ist Mitglied der Gruppe Administratoren
      • Beginn der ÄnderungIhr wurde in der lokalen Sicherheitsrichtlinie unter Windows die Berechtigung Anmeldung als Dienst zugewiesen. Die Richtlinie kann durch Auswahl von Systemsteuerung > Leistung und Wartung > Verwaltung > Lokale Sicherheitsrichtlinie aufgerufen werden.Ende der Änderung

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten.

  3. Soll der Konfigurationsmanager unter einem Windows-Domänenkonto ausgeführt werden?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Wenn Sie einen Konfigurationsmanager ausführen (z. B. 'DOMAIN1\user1') stellen Sie Folgendes sicher:
      1. Beginn der Änderunguser1 ist in DOMAIN1 definiertEnde der Änderung
      2. 'DOMAIN1\user1' ist ein Mitglied von 'DOMAIN1\Domain mqbrkrs'
      3. 'DOMAIN1\user1' ist ein Mitglied von 'WKSTN1\mqm'
      4. 'DOMAIN1\Domain mqbrkrs' ist ein Mitglied von 'WKSTN1\mqbrkrs'
      5. 'DOMAIN1\user1' ist ein Mitglied von 'WKSTN1\Administratoren'
      6. Beginn der ÄnderungDer Benutzer-ID (user1) wurde in der lokalen Sicherheitsrichtlinie unter Windows die Berechtigung Anmeldung als Dienst zugewiesen. Die Richtlinie kann durch Auswahl von Systemsteuerung > Leistung und Wartung > Verwaltung > Lokale Sicherheitsrichtlinie aufgerufen werden.Ende der Änderung

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten.

Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten

Beginn der ÄnderungBeim Ausführen des Befehls mqsicreateconfigmgr erhält die Gruppe mqbrkrs Zugriffsberechtigung für die folgenden Warteschlangen:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY
  • SYSTEM.BROKER.ADMIN.REPLY
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE.
Ende der Änderung

Beginn der ÄnderungBroker und Benutzernamensserver kommunizieren über diese Warteschlangen mit dem Konfigurationsmanager. Wenn sie auf demselben Computer ausgeführt werden wie der Konfigurationsmanager, müssen Sie keine weiteren Aktionen ausführen, um eine Kommunikation zu ermöglichen. Wenn sie jedoch auf einem anderen Computer ausgeführt werden, müssen Sie sicherstellen, dass die zugehörige Service-ID auf dem Computer definiert ist, auf dem der Konfigurationsmanager ausgeführt wird. Fügen Sie dieses Benutzerkonto entweder zur Gruppemqbrkrs hinzu, oder erteilen Sie ihr expliziten MQ-Zugriff für die Einreihung von Nachrichten in die Warteschlangen des Konfigurationsmanagers.Ende der Änderung

Administratoren, die entweder Befehle oder das Toolkit verwenden, benötigen die Berechtigung zum Einreihen von Nachrichten in die Warteschlangen des Konfigurationsmanagers. Mit dem Befehl mqsicreateaclentry können Sie den erforderlichen Zugriff auf WebSphere MQ erstellen.

Konfigurationsmanager in einer Domänenumgebung ausführen

Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
Letzte Aktualisierung : 2009-02-17 15:29:45

ap03984_