コンテナー内の IBM MQ のユーザー認証および許可
IBM® MQ は、LDAPユーザーとグループを使用するように設定できる。 あるいは、コンテナー・イメージ内のローカル・オペレーティング・システムのユーザーおよびグループを使用することもできます。 IBM MQ Operator 、セキュリティ上の問題から、オペレーティングシステムのユーザーやグループを使用することはできません。
マルチテナントのコンテナー環境では、潜在的なセキュリティー問題を防ぐために、通常は以下の例のようなセキュリティー制約が適用されます。
- コンテナ内での "root "ユーザー使用の防止
- ランダム UID の使用の強制。 たとえば、 Red Hat® OpenShift® Container Platform では、デフォルトの
SecurityContextConstraints(restrictedと呼ばれる)は、コンテナごとにランダム化されたユーザーIDを使用する。 - 特権エスカレーションの使用の防止。 IBM MQ Linux® 、ユーザーのパスワードをチェックするために特権昇格を使用する。このために「root」ユーザーになるように「setuid」プログラムを使用する。
![[OpenShift Container Platform]](ngocp.gif)
![[IBM Cloud Pak for Integration]](ngcp4i.gif)
これらのセキュリティ対策に確実に準拠するため、、コンテナ内のオペレーティング・システム・ライブラリで定義されたIDの使用は許可されない。 IBM MQ Operator コンテナー内に mqm というユーザー ID やグループは定義されていません。 IBM Cloud Pak® for Integration および Red Hat OpenShift で IBM MQ を使用する場合、ユーザ認証と認可に LDAP を使用するようにキュー・マネージャを設定する必要があります。 設定の詳細については IBM MQ これを行うには、 「接続認証: ユーザーリポジトリと LDAP認証」 を参照してください。