AIX® and Linux での OAM ユーザー・ベースの許可

UNIX and Linux® システムでは、オブジェクト権限マネージャー (OAM) は、グループ・ベースの許可だけでなく、ユーザー・ベースの許可も使用できます。

IBM® MQ 8.0より前では、 UNIX and Linux のアクセス制御リスト (ACL) はグループのみに基づいています。 IBM MQ 8.0 から、ACLはユーザーIDとグループの両方を基にしており、 SecurityPolicy 属性を qm.iniの Serviceスタンザで説明されているように適切な値に設定することで、ユーザーベースのモデルまたはグループベースのモデルのどちらかを認証に使用することができます。

IBM MQ 8.0 以降での動作の変更

IBM MQ 8.0以降、ユーザー・ベースのポリシーを使用して実行すると、一部のコマンドは以前のバージョンの製品とは異なる情報を返します。

dmpmqaut および dmpmqcfg コマンドは、PCF の同等の操作と同様に、ユーザー・ベースのレコードを表示します。
IBM MQ Explorer 用の OAM プラグインは、ユーザー・ベースのレコードを表示し、ユーザー・ベースの変更を可能にします。
OAM の Inquire 関数から返される結果には、ユーザー処置可能であることが表示されます。

qm.ini ファイルのサービス・スタンザで説明されているように qm.ini ファイルでユーザー・ベースの許可が有効になっている場合、 setmqaut コマンドで -p 属性を使用しても、同じ 1 次グループ内のすべてのユーザーにアクセス権限が付与されるわけではありません。

多数のユーザーが存在する状況でユーザー・ベースの許可を使用し始めた場合、グループ・ベース・モデルの場合に比べて AUTH キューに保管されるレコード数がおそらく増えることになり、検証対象のレコードが多くなったために以前よりも許可プロセスに少し時間がかかる可能性があります。この増加は大きな問題にはならないと予想されます。必要に応じて、ユーザーとグループの許可を混合して使用することもできます。

移行に関する考慮事項

既存のキュー・マネージャーのモデルをグループからユーザーに変更した場合、直ちには影響が発生しません。既に付与された許可は引き続き適用されます。そのようなキュー・マネージャーに接続するすべてのユーザーは以前と同じ特権 (つまり、それらのユーザー ID が属するすべてのグループの組み合わせ) が付与されます。ユーザー ID に対して新しい setmqaut コマンドが発行された場合は、直ちに効果が発生します。

ユーザー・ポリシーを使って新しいキュー・マネージャーを作成した場合、このキュー・マネージャーにはそれを作成したユーザー (通常はこのユーザー ID は mqm であるが異なる場合もある) の許可だけが含まれます。さらに mqm グループに自動的に付与される許可もあります。しかし mqm が 1 次グループではない場合、mqm グループは初期の許可セットには含まれません。

ユーザー・ポリシーからグループ・ポリシーに移行した場合、ユーザー・ベースの許可は自動的には削除されません。ただし、これらは許可の検査で使用されなくなります。ポリシーを戻す前に現在の構成を保存し、ポリシーを変更して、キュー・マネージャーを再始動した後、スクリプトを再生してください。現在はグループ・ベースのキュー・マネージャーになったため、1 次グループに基づいてユーザー ID ルールが保管されます。