WebSphere MQ には、WebSphere MQ にアクセスしようとするユーザー・アカウントが
許可されているかどうかを検査するコンポーネント (Windows サービスとして実行される) があります。
検査の一部として、このサービスは、アカウントがどのグループのメンバーであるかを照会する必要があります。
サービス自体は、インストール時に WebSphere MQ によって作成された
ローカル・ユーザー・アカウント (MUSR_MQADMIN) の下で実行されます。
ネットワークのドメイン・コントローラーで Windows 2000 または Windows 2003 を使用する場合、
ローカル・ユーザー・アカウントがそのドメイン・ユーザー・アカウントのグループ・メンバーを
照会する権限を持たないように設定できます。この場合、WebSphere MQ は検査を完了することが
できないため、アクセスは失敗します。この問題に対処するには、次のようにします。
- ネットワーク上の各 WebSphere MQ のインストールを、必要な権限を (作成方法については
下記の手順を参照) 持つドメイン・ユーザー・アカウントの下でサービスを実行するように構成する必要があります。
注: インストーラーが続行され、特別なアカウントがなくても WebSphere MQ が
構成された場合、使用された特定のユーザー・アカウントによっては、WebSphere MQ の多くまたはすべての部分が
動作しません。その例を以下に示します。
- Windows 2000 または Windows 2003 ドメイン・ユーザー・アカウントを使用して現在ログオンされている
インストーラーはデフォルト構成を完了できないため、ポストカードと API エクササイザーが動作しません。
- 他のコンピューターの Windows 2000 または Windows 2003 ドメイン・アカウント下で実行
されているキュー・マネージャーへの WebSphere MQ 接続は、失敗する可能性があります。
- 一般的なエラーには、「AMQ8066: ローカル mqm グループが見つかりませんでした」や
「AMQ8079: ユーザー「abc@xyz」のグループ・メンバーシップ情報を検索しようとしてアクセスが拒否されました」があります。
この後に続く詳細な説明に従うと、ドメイン管理者は以下を行うことができます。
- グローバルまたは汎用ドメイン・グループを作成し、このグループのメンバーに、
任意のアカウントのグループ・メンバーを照会できる権限を与える。
- 1 つ以上のユーザー・アカウントを作成し、グループに追加する。
- 各ドメインごとにステップ 2 からステップ 4 までを繰り返す。
- このアカウントを使用して WebSphere MQ の各インストールを構成する。
- パスワードの有効期間を設定する。
以下はドメイン管理者のための情報です。
WebSphere MQ をインストールするユーザー名を持つ各ドメインごとに下記のステップ 2 から 4 までを繰り返し、
各ドメインに WebSphere MQ のアカウントを作成します。
- WebSphere MQ が認識できる特別な名前のドメイン・グループを作成し、このグループのメンバーに、
任意のアカウントのグループ・メンバーを照会できる権限を与えます。
Windows 2000 Server では次のようにします。
- ドメイン管理者権限を持つアカウントとしてドメイン・コントローラーにログオンします。
- 「スタート」メニューから、「Active Directory Users and Computers (アクティブ ディレクトリ ユーザーとコンピュータ)」を開きます。
- 左側のナビゲーション・ペインでドメイン名を探し、
それを右クリックして「New Group (新規グループ)」を選択します。
- domain mqm と入力します (WebSphere MQ によって認識および使用されるため、
正確にこれと同じストリングを使用する)。
- 「Group scope (グループ有効範囲)」で、
「Global (グローバル)」または「Universal (汎用)」の
いずれかを選択します。
- 「Group type (グループ タイプ)」で
「Security (セキュリティ)」を選択し、「OK」をクリックします。
- 左側のナビゲーション・ペインでドメイン名を探し、これを右クリックして
「Delegate Control... (制御を委任する...)」を選択してから、
「Next (次へ)」をクリックします。
- 「Selected Groups and Users (選択したグループおよびユーザー)」で「Add (追加)」を
押し、「domain mqm」を選択してから「Add (追加)」をクリックします。
「OK」をクリックします。
- 「domain mqm」を選択して、「Next (次へ)」をクリックします。
- 「Create a custom task to delegate (委任するカスタム タスクを作成)」を
選択し、「Next (次へ)」をクリックします。
- 「Only the following objects in the folder (フォルダの次のオブジェクトのみ)」を選択し、
アルファベット順リストで「User Objects (ユーザー オブジェクト)」にチェック・マークを付けます。
「Next (次へ)」をクリックします。
- 「Property-specific (プロパティ固有)」にチェック・マークを付け、
リスト (2 番目の単語のアルファベット順になっている) から以下のオプションを選択します。
- 「Read Group Membership (グループ メンバーシップを読み取る)」
- 「Read Group MembershipSAM (グループ MembershipSAM を読み取る) 」
- 「OK」をクリックして各ウィンドウを閉じます。
Windows 2003 Server では次のようにします。
- ドメイン管理者権限を持つアカウントとしてドメイン・コントローラーにログオンします。
- 「スタート」メニューから、「Active Directory Users and Computers (アクティブ ディレクトリ ユーザーとコンピュータ)」を開きます。
- 左側のナビゲーション・ペインでドメイン名を探し、
それを右クリックして「New Group (新規グループ)」を選択します。
- domain mqm と入力します (WebSphere MQ によって認識および使用されるため、
正確にこれと同じストリングを使用する)。
- 「Group scope (グループ有効範囲)」で、
「Global (グローバル)」または「Universal (汎用)」の
いずれかを選択します。
- 「Group type (グループ タイプ)」で
「Security (セキュリティ)」を選択し、「OK」をクリックします。
- 「Advanced Features (拡張機能)」モードで「Active Directory Users and Computers (アクティブ ディレクトリ ユーザーとコンピュータ)」を表示します。
- 左側パネルでドメイン名を探し、そのドメイン名を右クリックしてから「Properties (プロパティ)」をクリックします。
- 「Security (セキュリティ)」タブをクリックします。
- 「Advanced (拡張)」をクリックします。
- 「Add (追加)」をクリックしてから、domain mqm と入力し、
「OK」をクリックします。
新しいダイアログが表示されます。
- 「Properties (プロパティ)」タブをクリックします。
- 「Apply onto (適用先)」ボックスで、表示を「User objects (ユーザー オブジェクト)」に変更します。
- 次のオプションの「allow (許可)」チェック・ボックスを選択します。
- 「Read Group Membership (グループ メンバーシップを読み取る)」
- 「Read Group MembershipSAM (グループ MembershipSAM を読み取る) 」
- 「OK」をクリックして各ウィンドウを閉じます。
- 1 つ以上のアカウントを作成して、グループに追加します。
- 「Active Directory Users and Computers (アクティブ ディレクトリ ユーザーとコンピュータ)」で、
選択した名前を使用してユーザー・アカウントを作成し、グループ「domain mqm」に追加します。
- 作成するすべてのアカウントについて繰り返します。
- WebSphere MQ をインストールするユーザー名を持つ各ドメインごとにステップ 1 と 2 を繰り返し、
各ドメインに WebSphere MQ のアカウントを作成します。
- このアカウントを使用して WebSphere MQ の各インストールを構成します。
- WebSphere MQ の各インストールに同じドメイン・ユーザー・アカウント (上のステップ 1 で作成) を
使用するか、または各インストールごとに別のアカウントを作成して、「domain mqm」グループに追加します。
- アカウントを作成したら、WebSphere MQ のインストールを構成する各ユーザーにアカウントを割り当てます。
このユーザーは、「Prepare WebSphere MQ Wizard (WebSphere MQ 準備ウィザード)」に
アカウントの詳細 (ドメイン名、ユーザー名、およびパスワード) を入力する必要があります。
インストールを行うユーザー ID と同じドメインに存在するアカウントを割り当ててください。
- ドメイン上のコンピューターに WebSphere MQ をインストールすると、
WebSphere MQ インストール・プログラムは LAN 上に「domain mqm」グループがあることを検出し、
そのグループをローカル「mqm」グループに自動的に追加します。(ローカル「mqm」グループは
インストール時に作成されます。その中のすべてのユーザー・アカウントが WebSphere MQ を使用する権限を
持っています)。したがって、「domain mqm」グループのすべてのメンバーが、
このコンピューター上の WebSphere MQ を使用する権限を持ちます。
- ただし、各インストールごとにドメイン・ユーザー・アカウント (上のステップ 1 で作成) を
指定して、照会のときに WebSphere MQ がそのアカウントを使用するように構成しなければなりません。
インストールの最後に自動的に実行される
「WebSphere MQ 準備ウィザード」にアカウントの詳細を
入力する必要があります (ウィザードは、好きなときに「スタート」メニューから実行することもできます)。
- パスワードの有効期間を設定します。
- WebSphere MQ のすべてのユーザーに対して 1 つのアカウントのみを使用する場合は、アカウントの
パスワードが有効期限切れにならないようにしてください。そうしないと、パスワードの有効期限が
切れると同時に、WebSphere MQ のすべてのインスタンスが動作を停止してしまいます。
- WebSphere MQ の各ユーザーに、それぞれ独自のユーザー・アカウントを割り当てる場合は、
より多くのアカウントを作成して管理することになりますが、パスワードの有効期限が
切れたときに、WebSphere MQ の 1 つのインスタンスしか動作を停止しません。
パスワードに有効期限を設定する場合は、パスワードの有効期限が切れるたびに WebSphere MQ から
メッセージが表示されることをユーザーに知らせておきます。メッセージには、パスワードの有効期限が
切れたこと、およびパスワードを再設定する方法が示されます。
詳しくは、「システム管理 」を参照してください。