![[UNIX、Linux、Windows]](ngulw.gif)
UNIX, Linux, and Windows 上の IBM MQ を管理する権限
IBM® MQ 管理者は、すべての IBM MQ コマンドを使用して、他のユーザーに権限を付与することができます。 管理者がリモート・キュー・マネージャーに対してコマンドを実行する場合は、そのリモート・キュー・マネージャーで必要な権限を持っていなければなりません。 Windows システムでは、検討しなければならない考慮事項がさらにあります。
IBM MQ 管理者には、すべての IBM MQ コマンド (他のユーザーに IBM MQ 権限を付与するコマンドを含む) を使用する権限があります。
IBM MQ 管理者になるには、 mqm グループと呼ばれる特殊グループのメンバーでなければなりません。
![[Windows]](ngwin.gif)
あるいは、 Windows の場合のみ、 Windows システムの管理者グループのメンバーになることができます。
mqm グループは、 IBM MQ のインストール時に自動的に作成されます。 グループに他のユーザーを追加すると、そのユーザーが管理を実行できるようになります。 このグループのメンバー全員が、すべてのリソースに対するアクセス権を持っています。 このアクセス権は、mqm グループからユーザーを除去して REFRESH SECURITY コマンドを発行することによってのみ取り消せます。
管理者は、制御コマンドを使用して IBM MQを管理できます。 これらの制御コマンドの 1 つとして、 setmqautがあります。これは、他のユーザーが IBM MQ リソースにアクセスまたは制御できるようにするための権限を他のユーザーに付与するために使用されます。 権限レコードを管理するための PCF コマンドは、キュー・マネージャーで dsp および chg 権限が付与されている非管理者が使用できます。 PCF コマンドを使用した権限の管理について詳しくは、「 プログラマブル・コマンド・フォーマット」を参照してください。
管理者は、MQSC コマンドがリモート・キュー・マネージャーによって処理されるのに必要な権限を持っていなければなりません。 IBM MQ Explorer は PCF コマンドを発行して管理タスクを実行します。 管理者には、 IBM MQ Explorer を使用してローカル・システム上のキュー・マネージャーを管理するための追加権限は必要ありません。 IBM MQ Explorer を使用して別のシステム上のキュー・マネージャーを管理する場合、管理者は、PCF コマンドがリモート・キュー・マネージャーによって処理されるために必要な権限を持っている必要があります。
MQSC コマンドをリモート・キュー・マネージャーに送信するために runmqsc が間接モードで使用される場合、各 MQSC コマンドは、Escape PCF コマンド内にカプセル化されます。
- キュー・マネージャー、キュー、プロセス、名前リスト、および認証情報オブジェクトを操作する PCF コマンドについては、 IBM MQ オブジェクトを操作する権限を参照してください。 Escape PCF コマンド内にカプセル化される、同等の MQSC コマンドについては、このセクションを参照してください。
- チャネル、チャネル・イニシエーター、リスナー、およびクラスターで動作する PCF コマンドについては、 チャネル・セキュリティーを参照してください。
- 権限レコードを操作する PCF コマンドについては、 PCF コマンドの権限検査 を参照してください。
![[z/OS]](ngzos.gif)
IBM MQ for z/OS®でコマンド・サーバーによって処理される MQSC コマンドについては、 z/OS でのコマンド・セキュリティーおよびコマンド・リソース・セキュリティー を参照してください。
さらに、 Windows システムでは、SYSTEM アカウントに IBM MQ リソースへの全アクセス権限があります。
UNIX and Linux® プラットフォームでは、製品専用の mqm という特殊なユーザー ID も作成されます。 これは、特権のないユーザーは使用できません。 すべての IBM MQ オブジェクトは、ユーザー ID mqmによって所有されます。
Windows システムでは、Administrators グループのメンバーは、SYSTEM アカウントと同様に、任意のキュー・マネージャーを管理することもできます。 さらに、ドメイン内でアクティブな特権ユーザー ID すべてを含むドメイン・コントローラーでドメイン mqm グループを作成し、それをローカル mqm グループに追加することもできます。 一部のコマンド (例えば crtmqm) は、 IBM MQ オブジェクトに対する権限を操作するため、これらのオブジェクトを処理するための権限が必要です (以下のセクションで説明します)。 mqm グループのメンバーには、すべてのオブジェクトを処理する権限がありますが、 Windows システムでは、同じ名前のローカル・ユーザーとドメイン認証ユーザーが存在すると、権限が拒否される場合があります。 これについては、「 プリンシパルおよびグループ (UNIX、 Linux、および Windows)」で説明されています。
ユーザー・アカウント制御 (UAC) 機能が組み込まれたバージョンの Windows は、特定のオペレーティング・システム機能に対してユーザーが実行できるアクションを制限します (そのユーザーが Administrators グループのメンバーであっても)。 ユーザー ID が管理者グループには属しているが、 mqm グループには属していない場合は、昇格されたコマンド・プロンプトを使用して、 crtmqmなどの IBM MQ 管理コマンドを発行する必要があります。そうしないと、エラーが発生します。AMQ7077: You are not authorized to perform the requested operation生成されます。 昇格されたコマンド・プロンプトを開くには、スタート・メニュー項目を右クリックするか、またはコマンド・プロンプトのアイコンを右クリックして、「管理者として実行」を選択します。
- PCF コマンドを発行するアプリケーション・プログラムからコマンドを発行するか、またはエスケープ PCF コマンド内で MQSC コマンドを発行します。ただし、PCF コマンドがチャネル・イニシエーターを操作しない場合です。 (これらのコマンドについては、 チャネル・イニシエーター定義の保護 で説明しています。)
- アプリケーション・プログラムから MQI 呼び出しを発行します (ただし、MQCONNX 呼び出しでファースト・パス・バインドを使用しない場合)。
- crtmqcvx コマンドを使用して、データ・タイプ構造のデータ変換を実行するコード断片を作成する。
- dspmq コマンドは、キュー・マネージャーを表示する場合に使用します。
- dspmqtrc コマンドは、 IBM MQ 定様式トレース出力を表示するために使用します。
グループおよびユーザー ID のいずれにも、12 文字までという制限が当てはまります。
UNIX and Linux プラットフォームでは通常、ユーザー ID の長さは 12 文字に制限されています。 AIX® 5.3 ではこの制限が引き上げられましたが、 IBM MQ では引き続きすべての UNIX and Linux プラットフォームで 12 文字の制限が順守されます。 12 文字を超えるユーザー ID を使用すると、 IBM MQ はそれを次の値に置き換えます。UNKNOWN. 以下の値を使用してユーザー ID を定義しないでください。UNKNOWN.