Utilisateurs privilégiés

Un utilisateur privilégié est un utilisateur disposant de droits d'administration complets pour IBM® MQ.

Outre les utilisateurs répertoriés dans le tableau suivant, il existe des objets et des autorisations pour lesquels une attention particulière doit être accordée lors de l'octroi de l'accès, afin de garantir l'intégrité et la sécurité du gestionnaire de files d'attente. Un examen supplémentaire doit être effectué lors de l'octroi de l'une des autorisations suivantes:
  • Toute autorisation sur les objets SYSTEM
  • Autorisations d'administration pour créer, modifier et supprimer des objets.

    [z/OS]Sur z/OS®, cette autorisation est une autorisation de sécurité des commandes et de sécurité des ressources de commande permettant d'émettre des commandes DEFINE, ALTER et DELETE.

    [UNIX, Linux, Windows, IBM i]Sur toutes les autres plateformes, ces autorisations sont des autorisations d'administration telles que +crt, +chg et +dlt.

  • Autorisation d'administration pour effacer les files d'attente.

    [z/OS]Sur z/OS, cette autorisation est une autorisation de sécurité du commandement et de sécurité des ressources du commandement permettant d'émettre des commandes CLEAR.

    [UNIX, Linux, Windows, IBM i]Sur toutes les autres plateformes, cette autorisation est +clr.

  • Autorisations d'administration permettant d'arrêter des canaux, d'annuler ou de valider des messages.

    [z/OS]Sur z/OS, cette autorisation est une autorisation de sécurité de commandement et de sécurité de ressource de commandement permettant d'émettre des commandes telles que RESET CHANNEL (réinitialisation du canal), START CHANNEL (démarrage du canal) et STOP CHANNEL (arrêt du canal).

    [UNIX, Linux, Windows, IBM i]Sur toutes les autres plateformes, ces autorisations sont +ctrl et +ctrlx.

  • Autorisation MQI de l'utilisateur de remplacement qui permet aux applications d'augmenter les privilèges pour les vérifications d'autorisation.

    [z/OS]Sur z/OS, cette autorisation correspond à toute autorité accordée aux profils de sécurité des utilisateurs alternatifs.

    [UNIX, Linux, Windows, IBM i]Sur toutes les autres plateformes, cette autorisation est +altusr.

  • Autorisations de contexte qui permettent aux applications de modifier le contexte de sécurité des messages.

    [z/OS]Sur z/OS, cette autorisation correspond à toute autorité accordée aux profils de sécurité du contexte.

    [UNIX, Linux, Windows, IBM i]Sur toutes les autres plateformes, ces autorisations sont +setall et +setid.

En tant que principe général, les applications de messagerie ne doivent recevoir que les autorisations MQI de base pour les files d'attente ou les rubriques nécessaires. Les canaux MCA qui s'exécutent sous un MCAUSER non privilégié et certains autres types d'applications spéciaux, tels que les gestionnaires de files d'attente de rebut, peuvent nécessiter des autorisations supplémentaires qui ne sont normalement pas accordées aux applications pour fonctionner correctement.

Tableau 1. Utilisateurs privilégiés par plateforme
Plateforme Utilisateurs privilégiés
Systèmes Windows
  • SYSTEME
  • Membres du groupe mqm
  • Membres du groupe Administrateurs
Systèmes AIX and Linux
  • Membres du groupe mqm
Systèmes IBM i
  • Les profils qmqm et qmqmadm
  • Tous les membres du groupe qmqmadm
  • Tout utilisateur défini avec le paramètre *ALLOBJ
z/OS ID utilisateur sous lequel s'exécutent les espaces adresse de l'initiateur de canal, du gestionnaire de files d'attente et de la sécurité avancée des messages. Ces ID utilisateur ne disposent pas automatiquement de droits d'administration complets pour IBM MQ, mais ils sont considérés comme privilégiés en raison du niveau d'accès généralement accordé à ces ID utilisateur.