[Windows]

WindowsIBM MQ サーバーをインストールする際の考慮事項

Windows 上に IBM® MQ サーバーをインストールするときに考慮する必要があるセキュリティーに関する考慮事項がいくつかあります。 さらに、オブジェクトの命名規則とロギングに関連する考慮事項もあります。

Windows システムに IBM MQ サーバーをインストールする際のセキュリティーに関する考慮事項

  • Active Directory サーバーを実行している Windows ドメイン・ネットワーク上に IBM MQ をインストールする場合は、ドメイン管理者から特別なドメイン・アカウントを取得する必要がある可能性があります。 詳細、およびドメイン管理者がこの特殊アカウントをセットアップするために必要な詳細については、「 IBM MQ 準備ウィザードによる IBM MQ の構成 」および「 IBM MQ用の Windows ドメイン・アカウントの作成およびセットアップ」を参照してください。
  • IBM MQ サーバーを Windows システム上にインストールする場合は、ローカルの管理者権限が必要です。 そのシステム上のキュー・マネージャーを管理したり、 IBM MQ 制御コマンドのいずれかを実行したりするには、ユーザー ID が ローカル mqm または Administrators グループに属している必要があります。 ローカル・システムにローカル mqm グループが存在しない場合は、 IBM MQ のインストール時に自動的に作成されます。 そのユーザー ID をローカル mqm グループに直接設定することができますが、ローカル mqm グループ内にグローバル・グループを包含して間接的に設定することもできます。 詳しくは、 UNIX、 Linux®、および Windows 上の IBM MQ を管理する権限を参照してください。
  • ユーザー・アカウント制御 (UAC) 機能が組み込まれたバージョンの Windows は、特定のオペレーティング・システム機能に対してユーザーが実行できるアクションを制限します (そのユーザーが Administrators グループのメンバーであっても)。 ユーザー ID が管理者グループには属しているが、 mqm グループには属していない場合は、昇格されたコマンド・プロンプトを使用して、 crtmqmなどの IBM MQ 管理コマンドを発行する必要があります。そうしないと、エラー AMQ7077 が生成されます。 昇格されたコマンド・プロンプトを開くには、スタート・メニュー項目を右クリックするか、またはコマンド・プロンプトのアイコンを右クリックして、「管理者として実行」を選択します。
  • 一部のコマンドは、 mqm グループのメンバーでなくても実行できます ( UNIX、 Linux、および Windows で IBM MQ を管理する権限を参照)。
  • Windowsの他のバージョンと同様に、オブジェクト権限マネージャー (OAM) は、ユーザー・アカウント制御が有効になっている場合でも、すべての IBM MQ オブジェクトにアクセスする権限を管理者グループのメンバーに付与します。
  • リモート・システムでキュー・マネージャーを管理する予定の場合は、ユーザー ID がターゲット・システムで認可されている必要があります。 Windows マシンにリモート接続しているときに、キュー・マネージャーでこれらの操作のいずれかを実行する必要がある場合は、 「グローバル・オブジェクトの作成」 ユーザー・アクセス権限が必要です。 管理者には、デフォルトで「グローバル・オブジェクトの作成」ユーザー・アクセスがあります。 このため管理者は、ユーザー権限を変更することなく、リモート側から接続されているキュー・マネージャーの作成および開始を行うことができます。 詳しくは、 ユーザーへの IBM MQ のリモートでの使用の許可を参照してください。
  • 高セキュア・テンプレートを使用する場合は、 IBM MQをインストールする前に適用する必要があります。 IBM MQ が既にインストールされているマシンに高セキュリティー・テンプレートを適用すると、 IBM MQ ファイルおよびディレクトリーに対して設定したすべての権限が削除されます ( Windows でのセキュリティー・テンプレート・ファイルの適用を参照)。

命名の考慮事項

Windows には、 IBM MQによって作成および使用されるオブジェクトの命名に関するいくつかの規則があります。 これらの命名に関する考慮事項は、 IBM WebSphere® MQ 7.5 以降に適用されます。

  • マシン名にスペースが含まれていないことを確認します。 IBM MQ は、スペースを含むマシン名をサポートしていません。 そのようなマシンに IBM MQ をインストールする場合、キュー・マネージャーを作成することはできません。
  • IBM MQ 許可の場合、ユーザー ID およびグループの名前は 64 文字以下でなければなりません (スペースは許可されません)。
  • IBM MQ for Windows サーバーは、クライアントが @ 文字を含むユーザー ID (例えば、 abc@d. ) で実行されている場合、 Windows クライアントの接続をサポートしません。 同様に、クライアントのユーザー ID が、ローカル・グループと同じであってはなりません。
  • IBM MQ Windows サービスを実行するために使用されるユーザー・アカウントは、インストール・プロセス中にデフォルトでセットアップされます。デフォルトのユーザー ID は MUSR_MQADMIN です。 このアカウントは、 IBM MQで使用するために予約されています。 詳しくは、 IBM MQ および IBM MQ Windows サービス用のローカル・ユーザー・アカウントとドメイン・ユーザー・アカウントの構成を参照してください。
  • IBM MQ クライアントがサーバー上のキュー・マネージャーに接続する場合、クライアントの実行に使用するユーザー名は、ドメイン名またはマシン名と同じであってはなりません。 ユーザー名がドメイン名またはマシン名と同一の場合、接続は戻りコード 2035 (MQRC_NOT_AUTHORIZED) の示す要因により、失敗します。

ロギング

インストールの際にロギングをセットアップし、インストール中に発生する問題のトラブルシューティングに役立てることができます。

IBM WebSphere MQ 7.5以降、ランチパッドからのロギングがデフォルトで有効になります。 完全なロギングを有効にすることもできます。詳しくは、 Windows インストーラーのロギングを有効にする方法を参照してください。

デジタル署名

IBM MQ プログラムおよびインストール・イメージは、 Windows にデジタル署名され、それらが本物であり、変更されていないことを確認します。 IBM MQ 8.0 以降、 IBM MQ 製品に署名するために RSA アルゴリズムを使用した SHA-256 が使用されます。