Configuration des comptes Windows

Remarque : Si vous installez ou configurez WebSphere MQ et que vous avez besoin que votre administrateur de domaine vous affecte un compte spécial, envoyez-lui l'intégralité de cette page en procédant comme suit :
  • Cliquez avec le bouton droit de la souris sur cette page, puis cliquez sur Sélectionner tout.
  • Cliquez de nouveau avec le bouton droit de la souris, puis cliquez sur Copier.
  • Collez la page dans le corps d'une note de votre application de courrier électronique.

WebSphere MQ est doté d'un composant qui s'exécute en tant que service Windows et qui vérifie si les comptes utilisateur qui tentent d'accéder à WebSphere MQ sont autorisés à le faire. Pour opérer cette vérification, le service doit rechercher les groupes dont le compte est membre. Ce service s'exécute sous un compte utilisateur local (MUSR_MQADMIN) créé par WebSphere MQ au moment de l'installation.

Si vous utilisez Windows 2000 ou Windows 2003 sur un contrôleur de domaine du réseau, la configuration peut être telle que les comptes utilisateur locaux ne disposent pas des droits de recherche de l'appartenance à un groupe des comptes utilisateur de domaine ; WebSphere MQ ne pourra alors pas effectuer sa vérification et les tentatives d'accès échoueront. Pour gérer ce problème, respectez les points suivants :
  • Chaque installation de WebSphere MQ sur le réseau doit donc être configurée de sorte que son service s'exécute sous un compte utilisateur de domaine qui dispose des droits requis (reportez-vous aux instructions ci-dessous pour en créer un).
  • Remarque : Si l'installation se poursuit néanmoins et que vous configurez WebSphere MQ sans affecter de compte spécial, de nombreux modules de WebSphere MQ, voire la totalité, ne fonctionneront pas, selon les comptes utilisateur concernés :
    • Un installateur connecté sous un compte utilisateur de domaine Windows 2000 ou Windows 2003 ne pourra pas effectuer la configuration par défaut, et l'application Postcard et le Testeur d'API ne fonctionneront pas correctement.
    • Les connexions WebSphere MQ aux gestionnaires de files d'attente qui s'exécutent sous des comptes de domaine Windows 2000 ou Windows 2003 sur d'autres ordinateurs peuvent échouer.
    • Les messages d'erreur généralement émis sont "AMQ8066 : Groupe local mqm introuvable" et "AMQ8079 : L'accès a été refusé lors d'une tentative d'extraction des informations sur l'appartenance à un groupe pour l'utilisateur 'abc@xyz'".
Les instructions détaillées ci-dessous indiquent à un administrateur de domaine comment :
  1. Créer un groupe de domaines global ou universel et affecter à ses membres le droit de recherche de l'appartenance de tout compte à un groupe
  2. Créer un ou plusieurs comptes utilisateur et les ajouter au groupe
  3. Répéter les étapes 2 à 4 pour chaque domaine
  4. Utiliser les comptes pour configurer chaque installation de WebSphere MQ
  5. Définir la période de validité des mots de passe
Les informations ci-dessous sont destinées aux administrateurs de domaine. Répétez les étapes 2 à 4 ci-dessous pour chaque domaine comportant des noms d'utilisateurs devant installer WebSphere MQ, afin de créer un compte pour WebSphere MQ sur chaque domaine :
  1. Créez un groupe de domaines avec un nom spécial identifié par WebSphere MQ et attribuez à ses membres le droit de rechercher l'appartenance de tout compte à un groupe :
    Sous Windows 2000 Server :
    1. Connectez-vous au contrôleur de domaine sous un compte doté des droits d'administrateur de domaine.
    2. A partir du menu Démarrer, sélectionnez l'option des utilisateurs et ordinateurs du répertoire actif.
    3. Recherchez le nom de domaine dans la sous-fenêtre de navigation de gauche, cliquez sur celui-ci avec le bouton droit de la souris et sélectionnez Nouveau groupe.
    4. Saisissez domain mqm ; il convient d'employer exactement cette chaîne car elle est identifiée et utilisée par WebSphere MQ.
    5. Comme Etendue du groupe, sélectionnez Global ou Universel.
    6. Dans Type de grouope, sélectionnez Sécurité et cliquez sur OK.
    7. Recherchez le nom de domaine dans la sous-fenêtre de navigation de gauche, cliquez sur celui-ci avec le bouton droit de la souris, sélectionnez Déléguer contrôle, puis cliquez sur Suivant.
    8. Dans Groupes et utilisateurs sélectionnés, cliquez sur Ajouter, sélectionnez domain mqm, puis cliquez sur Ajouter. Cliquez sur OK.
    9. Sélectionnez domain mqm et cliquez sur Suivant.
    10. Cliquez sur Créer une tâche personnalisée à déléguer, puis sur Suivant.
    11. Cliquez sur Seulement des objets suivants dans le dossier, puis sélectionnez Objets utilisateur dans la liste alphabétique. Cliquez sur Suivant.
    12. Sélectionnez Spécifique à la propriété, puis choisissez les options suivantes dans la liste (triée par ordre alphabétique sur le deuxième mot) :
      • Lecture de l'appartenance à un groupe (Read Group Membership)
      • Lecture de l'appartenance à un groupe
    13. Cliquez sur OK pour fermer chaque fenêtre.
    Sous Windows 2003 Server :
    1. Connectez-vous au contrôleur de domaine sous un compte doté des droits d'administrateur de domaine.
    2. A partir du menu Démarrer, sélectionnez l'option des utilisateurs et ordinateurs du répertoire actif.
    3. Recherchez le nom de domaine dans la sous-fenêtre de navigation de gauche, cliquez sur celui-ci avec le bouton droit de la souris et sélectionnez Nouveau groupe.
    4. Saisissez domain mqm ; il convient d'employer exactement cette chaîne car elle est identifiée et utilisée par WebSphere MQ.
    5. Comme Etendue du groupe, sélectionnez Global ou Universel.
    6. Dans Type de groupe, sélectionnez Sécurité et cliquez sur OK.
    7. Affichez les utilisateurs et les ordinateurs du répertoire actif en mode Fonctionnalités avancées.
    8. Recherchez le nom de domaine dans la sous-fenêtre de gauche, cliquez sur celui-ci avec le bouton droit de la souris, puis cliquez sur Propriétés.
    9. Cliquez sur l'onglet Sécurité.
    10. Cliquez sur Avancé.
    11. Cliquez sur Ajouter, puis saisissez domain mqm et cliquez sur OK. Une nouvelle boîte de dialogue s'affiche.
    12. Cliquez sur l'onglet Propriétés.
    13. Dans la zone Applique à, choisissez la vue Objets utilisateur.
    14. Cochez la case autoriser pour les options suivantes :
      • Lecture de l'appartenance à un groupe (Read Group Membership)
      • Lecture de l'appartenance à un groupe
    15. Cliquez sur OK pour fermer chaque fenêtre.
  2. Créez un ou plusieurs comptes et ajoutez-les au groupe comme suit :
    1. Dans la boîte de dialogue des utilisateurs et ordinateurs du répertoire actif, créez un compte utilisateur avec un nom de votre choix et ajoutez-le au groupe "domain mqm".
    2. Répétez l'opération pour tous les comptes à créer.
  3. Répétez les étapes 1 et 2 pour chaque domaine comportant des noms d'utilisateurs devant installer WebSphere MQ, afin de créer un compte pour WebSphere MQ sur chaque domaine .
  4. Utilisez les comptes pour configurer chaque installation de WebSphere MQ :
    1. Employez le même compte utilisateur de domaine (créé selon la procédure décrite à l'étape 1 ci-dessus) pour chaque installation de WebSphere MQ, ou créez un compte distinct pour chaque installation, en l'ajoutant au groupe "domain mqm".
    2. Une fois le(s) compte(s) créé(s), affectez-en un à chaque personne configurant une installation de WebSphere MQ ; elle doit indiquer les détails relatifs au compte (nom de domaine, nom d'utilisateur et mot de passe) dans l'assistant de préparation de WebSphere MQ. Attribuez-lui le compte existant dans le même domaine que celui de son ID d'installateur.
    3. Lorsque vous installez WebSphere MQ sur un ordinateur du domaine, le programme d'installation de WebSphere MQ détecte l'existence du groupe "domain mqm" sur le réseau local et l'ajoute automatiquement au groupe "mqm" local. (Le groupe "mqm" local est créé lors de l'installation ; tous les comptes utilisateur qu'il comporte disposent des droits d'utilisation de WebSphere MQ.) Par conséquent, tous les membres du groupe "domain mqm" pourront utiliser WebSphere MQ sur cet ordinateur.
    4. Cependant, vous devez fournir un compte utilisateur de domaine (conformément à la procédure décrite à l'étape 1 ci-dessus) pour chaque installation et configurer WebSphere MQ pour utiliser le compte lors de requêtes. Les détails relatifs au compte doivent être indiqués dans l'assistant de préparation de WebSphere MQ qui s'exécute automatiquement à la fin de l'installation ; l'assistant peut également être exécuté à tout moment à partir du menu Démarrer.
  5. Définissez la période de validité des mots de passe comme suit :
    • Si vous n'utilisez qu'un compte pour tous les utilisateurs de WebSphere MQ, faites en sorte que le mot de passe du compte n'expire jamais, sinon toutes les instances de WebSphere MQ s'arrêteront simultanément à son expiration.
    • Si vous affectez à chaque utilisateur de WebSphere MQ son propre compte, vous devrez créer et gérer davantage de comptes, mais une seule instance de WebSphere MQ s'arrêtera à l'expiration du mot de passe.
    Si vous définissez une durée de validité pour le mot de passe, avertissez les utilisateurs qu'un message WebSphere MQ s'affichera à chaque expiration. Ce message leur indique que le mot de passe a expiré et comment le redéfinir.

Pour plus d'informations, reportez-vous au guide d'administration système.

Sujet parent : Configuration des comptes WebSphere MQ dans l'assistant de préparation de WebSphere MQ