WebSphere MQ est doté d'un composant qui s'exécute en tant que
service Windows et qui vérifie si les comptes utilisateur qui tentent
d'accéder à WebSphere MQ sont autorisés à le faire.
Pour opérer cette vérification, le service doit rechercher
les groupes dont le compte est membre. Ce service s'exécute sous
un compte utilisateur local (MUSR_MQADMIN) créé par WebSphere MQ au
moment de l'installation.
Si vous utilisez Windows 2000
ou Windows 2003 sur un contrôleur de domaine du
réseau, la configuration peut être telle que les comptes utilisateur
locaux ne disposent pas des droits de recherche de l'appartenance à
un groupe des comptes utilisateur de domaine ; WebSphere MQ ne pourra
alors pas effectuer sa vérification et les tentatives d'accès
échoueront.
Pour gérer ce problème, respectez les points suivants :
- Chaque installation de WebSphere MQ sur le réseau doit donc être
configurée de sorte que son service s'exécute sous un compte
utilisateur de domaine qui dispose des droits requis (reportez-vous
aux instructions ci-dessous pour en créer un).
Remarque : Si l'installation se poursuit néanmoins et que vous
configurez WebSphere MQ sans affecter
de compte spécial, de nombreux modules de WebSphere MQ, voire la
totalité, ne fonctionneront pas, selon les comptes utilisateur
concernés :
- Un installateur connecté sous un compte utilisateur de domaine
Windows 2000 ou Windows 2003 ne pourra pas effectuer la configuration
par défaut, et l'application
Postcard et le Testeur d'API ne fonctionneront pas correctement.
- Les connexions WebSphere MQ aux gestionnaires de files d'attente
qui s'exécutent sous des comptes de domaine Windows 2000
ou Windows 2003 sur d'autres ordinateurs peuvent échouer.
- Les messages d'erreur généralement émis sont "AMQ8066 : Groupe
local mqm introuvable" et "AMQ8079 : L'accès a été refusé lors d'une
tentative d'extraction des informations sur l'appartenance à un
groupe pour l'utilisateur 'abc@xyz'".
Les instructions détaillées ci-dessous indiquent à un
administrateur de domaine comment :
- Créer un groupe de domaines global ou universel
et affecter à ses membres le droit de recherche de
l'appartenance de tout compte à
un groupe
- Créer un ou plusieurs comptes utilisateur et les ajouter au groupe
- Répéter les étapes 2 à 4 pour chaque domaine
- Utiliser les comptes pour configurer chaque installation de
WebSphere MQ
- Définir la période de validité des mots de passe
Les informations ci-dessous sont destinées aux
administrateurs de domaine. Répétez les étapes
2 à 4 ci-dessous pour chaque domaine comportant des noms
d'utilisateurs devant installer WebSphere
MQ, afin de créer un compte pour WebSphere MQ sur chaque domaine :
- Créez un groupe de domaines avec un nom spécial identifié par
WebSphere MQ
et attribuez à ses membres le droit de rechercher l'appartenance
de tout compte à un groupe :
Sous Windows 2000 Server :
- Connectez-vous au contrôleur de domaine sous un compte doté des
droits d'administrateur de domaine.
- A partir du menu Démarrer, sélectionnez l'option des utilisateurs et ordinateurs
du répertoire actif.
- Recherchez le nom de domaine dans la sous-fenêtre de navigation
de gauche, cliquez sur celui-ci avec le bouton droit de la souris
et sélectionnez Nouveau groupe.
- Saisissez domain mqm ; il convient
d'employer exactement cette chaîne car elle est identifiée et utilisée par WebSphere
MQ.
- Comme Etendue du groupe, sélectionnez
Global ou Universel.
- Dans Type de grouope, sélectionnez
Sécurité
et cliquez sur OK.
- Recherchez le nom de domaine dans la sous-fenêtre de navigation
de gauche, cliquez sur celui-ci avec le bouton droit de la souris,
sélectionnez Déléguer contrôle, puis cliquez
sur Suivant.
- Dans Groupes et utilisateurs sélectionnés, cliquez sur
Ajouter,
sélectionnez domain
mqm, puis cliquez sur Ajouter. Cliquez sur OK.
- Sélectionnez domain mqm et cliquez sur
Suivant.
- Cliquez sur Créer une tâche personnalisée à
déléguer, puis sur
Suivant.
- Cliquez sur Seulement des objets suivants
dans le dossier,
puis sélectionnez Objets utilisateur dans la
liste alphabétique.
Cliquez sur Suivant.
- Sélectionnez Spécifique à la propriété, puis
choisissez les options suivantes dans la liste
(triée par ordre alphabétique sur le deuxième mot) :
- Lecture de l'appartenance à un groupe (Read Group Membership)
- Lecture de l'appartenance à un groupe
- Cliquez sur OK pour fermer chaque fenêtre.
Sous Windows 2003 Server :
- Connectez-vous au contrôleur de domaine sous un compte doté des
droits d'administrateur de domaine.
- A partir du menu Démarrer, sélectionnez l'option des utilisateurs et ordinateurs
du répertoire actif.
- Recherchez le nom de domaine dans la sous-fenêtre de navigation
de gauche, cliquez sur celui-ci avec le bouton droit de la souris et
sélectionnez Nouveau groupe.
- Saisissez domain mqm ; il convient
d'employer exactement cette chaîne car elle est identifiée et
utilisée par WebSphere MQ.
- Comme Etendue du groupe, sélectionnez
Global ou Universel.
- Dans Type de groupe, sélectionnez
Sécurité et cliquez sur
OK.
- Affichez les utilisateurs et les ordinateurs du répertoire actif en mode Fonctionnalités avancées.
- Recherchez le nom de domaine dans la sous-fenêtre
de gauche, cliquez sur celui-ci avec le bouton droit de la souris,
puis cliquez
sur Propriétés.
- Cliquez sur l'onglet Sécurité.
- Cliquez sur Avancé.
- Cliquez sur Ajouter, puis saisissez
domain mqm et cliquez sur OK. Une
nouvelle boîte de dialogue s'affiche.
- Cliquez sur l'onglet Propriétés.
- Dans la zone Applique à, choisissez la
vue Objets utilisateur.
- Cochez la case autoriser pour les options
suivantes :
- Lecture de l'appartenance à un groupe (Read Group Membership)
- Lecture de l'appartenance à un groupe
- Cliquez sur OK pour fermer chaque fenêtre.
- Créez un ou plusieurs comptes et ajoutez-les au groupe comme suit :
- Dans la boîte de dialogue des utilisateurs et ordinateurs du
répertoire actif, créez un compte utilisateur avec un nom de votre
choix et ajoutez-le au groupe "domain mqm".
- Répétez l'opération pour tous les comptes à créer.
- Répétez les étapes 1 et 2 pour chaque domaine
comportant des noms d'utilisateurs devant installer WebSphere MQ,
afin de créer un compte pour WebSphere MQ sur chaque domaine .
- Utilisez les comptes pour configurer chaque installation de
WebSphere MQ :
- Employez le même compte utilisateur de domaine (créé selon la
procédure décrite à l'étape 1 ci-dessus) pour chaque installation de
WebSphere MQ, ou créez un compte distinct pour chaque
installation, en l'ajoutant au groupe "domain mqm".
- Une fois le(s) compte(s) créé(s), affectez-en un à chaque personne
configurant
une installation de WebSphere MQ ; elle doit indiquer les détails
relatifs au compte (nom de domaine, nom d'utilisateur
et mot de passe) dans l'assistant de préparation de WebSphere MQ. Attribuez-lui
le compte existant dans le même domaine que celui de son ID
d'installateur.
- Lorsque vous installez WebSphere MQ sur un ordinateur du domaine,
le programme d'installation de WebSphere MQ détecte l'existence du
groupe "domain mqm" sur le réseau local et l'ajoute automatiquement au
groupe "mqm" local. (Le groupe "mqm" local
est créé lors de l'installation ; tous les comptes utilisateur
qu'il comporte disposent des droits d'utilisation de WebSphere MQ.) Par
conséquent, tous les membres du groupe "domain mqm" pourront utiliser
WebSphere MQ sur cet ordinateur.
- Cependant, vous devez fournir un compte utilisateur de domaine
(conformément à la procédure décrite à l'étape 1 ci-dessus) pour chaque
installation et configurer WebSphere MQ
pour utiliser le compte lors de requêtes. Les détails relatifs au
compte doivent être indiqués dans l'assistant de préparation de
WebSphere MQ qui s'exécute automatiquement à la fin de l'installation
; l'assistant peut également être exécuté à tout moment à partir du
menu Démarrer.
- Définissez la période de validité des mots de passe comme suit :
- Si vous n'utilisez qu'un compte pour tous les utilisateurs de
WebSphere MQ, faites en sorte que le mot de passe du compte n'expire
jamais, sinon toutes les instances de WebSphere MQ
s'arrêteront simultanément à son expiration.
- Si vous affectez à chaque utilisateur de WebSphere MQ son propre
compte, vous devrez créer et gérer davantage de comptes, mais une
seule instance de WebSphere MQ s'arrêtera à l'expiration du mot de
passe.
Si vous définissez une durée de validité pour le mot de
passe, avertissez les utilisateurs qu'un message WebSphere MQ
s'affichera à chaque expiration. Ce message leur indique que le mot
de passe a expiré et comment le redéfinir.
Pour plus d'informations, reportez-vous au guide
d'administration système.