AIX®, Linux®, and Windows 上の IBM MQ によってアクセス制御が実装される方法

IBM® MQ は、オブジェクト権限マネージャーを使用して、基礎となるオペレーティング・システムによって提供されるセキュリティー・サービスを使用します。 IBM MQ アクセス制御リストを作成および維持するためのコマンドを供給します。

許可サービス・インターフェースと呼ばれるアクセス制御インターフェースは、 IBM MQの一部です。 IBM MQ は、 オブジェクト権限マネージャー (OAM)と呼ばれるアクセス制御マネージャー (許可サービス・インターフェースに準拠) のインプリメンテーションを提供します。 これは、特に指定しない限り、作成した各キュー・マネージャに対して自動的にインストールされ、有効になります（「 AIX、Linux、および Windows システムでのセキュリティ・アクセス・チェックの防止」で説明されています）。 OAM は、Authorization Service Interface に準拠した任意のユーザー作成コンポーネント、またはベンダー作成コンポーネントで置き換えることができます。

OAM は、オペレーティング・システムのユーザー ID とグループ ID を使用し、基礎となるオペレーティング・システムのセキュリティー機能を利用します。 ユーザーが IBM MQ オブジェクトにアクセスできるのは、正しい権限を持っている場合のみです。 AIX、Linux、および Windows 上で OAM を使用してオブジェクトへのアクセスを制御する。

OAM は、制御するリソースごとに、アクセス制御リスト (ACL) を保守します。 許可データは、SYSTEM.AUTH.DATA.QUEUE というローカル・キューに保管されます。 このキューへのアクセスは mqm グループのユーザーに制限されます。Windows の場合は、さらに Administrators グループのユーザー、および SYSTEM ID でログインしたユーザーもアクセスできます。 このキューへのユーザー・アクセス権は変更できません。

IBM MQ には、アクセス制御リストを作成および保守するためのコマンドが用意されています。 これらのコマンドの詳細については、 AIX、Linux、およびWindowsでOAMを使用してオブジェクトへのアクセスを制御するを参照してください。

IBM MQ は、プリンシパル、リソース名、およびアクセス・タイプを含む要求を OAM に渡します。 OAM は、保守する ACL に基づいてアクセスを付与したり拒否したりします。 IBM MQ は OAM の決定に従います。OAM が決定できない場合、 IBM MQ はアクセスを許可しません。