O WebSphere MQ tem um componente, em execução como um serviço do Windows,
que verifica se a tentativa de qualquer conta do usuário de acessar o WebSphere MQ
está autorizada. Como parte da verificação, o serviço deve verificar de quais
grupos a conta é membro. O próprio serviço é executado em uma conta de usuário local (MUSR_MQADMIN) criada pelo
WebSphere MQ na instalação.
Se você estiver utilizando o Windows 2000 ou o Windows 2003 em qualquer
controlador de domínio em sua rede, ele poderá ser configurado de modo que as contas de usuário locais não
tenham autoridade para consultar as associações do grupo das contas de usuário do domínio, isso impedirá que
o WebSphere MQ conclua sua verificação e o acesso falhará. Para lidar com isso:
- Cada instalação do WebSphere MQ na rede deve ser configurada para
executar seu serviço sob uma conta de usuário do domínio que tenha a
autoridade necessária (consulte as instruções a seguir para criar uma).
Nota: Se um instalador continuar e configurar o WebSphere MQ sem uma conta especial, muitas ou
todas as partes do WebSphere MQ não funcionarão, dependendo das contas de usuários envolvidas, como a seguir:
- Um instalador com sessão iniciada atualmente com uma conta de usuário de domínio do Windows 2000 ou do Windows 2003 não poderá concluir a Configuração Padrão e o Postcard e o API Exerciser não funcionarão.
- As conexões do WebSphere MQ com gerenciadores de filas em execução nas contas de domínio do Windows 2000 ou do Windows 2003 em outros computadores poderão falhar.
- Erros comuns incluem "AMQ8066: Grupo mqm local não encontrado" e "AMQ8079:
Acesso negado ao tentar recuperar informações sobre a associação de grupos do usuário 'abc@xyz' ".
As instruções detalhadas abaixo orientam um administrador de domínio a:
- Criar um grupo de domínio global ou universal e conceder aos membros desse grupo autoridade para consultar a associação do grupo de qualquer conta
- Criar uma ou mais contas de usuários e incluí-las no grupo
- Repetir as Etapas de 2 a 4 para cada domínio
- Utilizar as contas para configurar cada instalação do WebSphere MQ
- Definir os períodos de expiração de senhas.
As informações a seguir destinam-se aos Administradores de Domínio. Repita as Etapas de 2 a 4 abaixo para cada domínio que possua nomes de usuários que instalação o WebSphere MQ para criar uma conta do WebSphere MQ em cada domínio:
- Crie um grupo de domínio com um nome especial que seja conhecido pelo WebSphere MQ e conceda aos membros desse grupo autoridade para consultar a associação do grupo de qualquer conta:
No Windows 2000 Server:
- Inicie sessão no controlador de domínio como uma conta com autoridade de
administrador de domínio.
- No menu iniciar, abra Usuários e Computadores do Active Directory.
- Procure o nome de domínio no painel de navegação à
esquerda, clique nele com o botão direito do mouse e selecione Novo Grupo.
- Digite mqm de domínio (esta cadeia exata deve ser utilizada, pois ela é entendida e utilizada pelo WebSphere MQ).
- Em Escopo de grupo, selecione Global
ou Universal.
- Em Tipo de grupo selecione Segurança e
clique em OK.
- Localize o nome de domínio na área de janela de navegação esquerda, clique nele com o botão direito do mouse e selecione Delegar Controle.... Em seguida, clique em Avançar.
- Em Grupos e Usuários Selecionados, clique em Incluir, selecione mqm de domínio e clique em Incluir. Clique em OK.
- Selecione mqm de domínio e clique em Avançar.
- Selecione Criar uma Tarefa Personalizada para Delegar e clique em Avançar.
- Selecione Somente os Seguintes Objetos na Pasta e marque Objetos do Usuário na lista alfabética.
Clique em Avançar.
- Marque Específico da Propriedade e selecione as seguintes opções na lista (ela está em ordem alfabética a partir da segunda palavra):
- Ler Associação do Grupo
- Ler SAM de Associação do Grupo
- Clique em OK para fechar cada janela.
No Windows 2003 Server:
- Inicie sessão no controlador de domínio como uma conta com autoridade de
administrador de domínio.
- No menu iniciar, abra Usuários e Computadores do Active Directory.
- Procure o nome de domínio no painel de navegação à
esquerda, clique nele com o botão direito do mouse e selecione Novo Grupo.
- Digite mqm de domínio (esta cadeia exata deve ser utilizada, pois ela é entendida e utilizada pelo WebSphere MQ).
- Em Escopo de grupo, selecione Global
ou Universal.
- Em Tipo de grupo selecione Segurança e
clique em OK.
- Visualize Usuários e Computadores do Active Directory no modo Recursos Avançados.
- Localize o nome do domínio no painel esquerdo, clique com o botão direito do mouse no nome do domínio e clique em Propriedades.
- Clique na guia Segurança.
- Clique em Avançada.
- Clique em Incluir, digite mqm de domínio e clique em OK. Um novo diálogo é exibido.
- Clique na guia Propriedades.
- Na caixa Aplicar em, altere a visualização para Objetos do Usuário.
- Selecione a caixa de opções Permitir para as seguintes opções:
- Ler Associação do Grupo
- Ler SAM de Associação do Grupo
- Clique em OK para fechar cada janela.
- Criar uma ou mais contas e incluí-las no grupo:
- Em Usuários e Computadores do Active Directory, crie uma conta de usuário com um nome de sua escolha e inclua essa conta no grupo "mqm de domínio".
- Repita esta etapa para todas as contas que deseja criar.
- Repita as Etapas 1 e 2 para cada domínio que possua nomes de usuários que instalação o WebSphere MQ para criar uma conta do WebSphere MQ em cada domínio.
- Utilize as contas para configurar cada instalação do WebSphere MQ:
- Utilize a mesma conta de usuário de domínio (criada na Etapa 1 acima) para cada instalação do WebSphere MQ ou crie uma conta separada para cada uma, incluindo cada uma delas no grupo "mqm de domínio".
- Depois de criar a(s) conta(s), conceda uma para cada pessoa que esteja configurando uma instalação do WebSphere MQ, que deverá digitar os detalhes da conta (nome de domínio, nome do usuário e senha) no Assistente para Preparação do WebSphere MQ. Conceda a elas
a conta que existe no mesmo domínio que seu ID de usuário de instalação.
- Ao instalar o WebSphere MQ em qualquer computador do domínio, o programa de instalação do WebSphere MQ detecta a existência do grupo "mqm de domínio" na LAN e, automaticamente, o inclui no grupo "mqm" local. (O grupo "mqm" local é criado durante a instalação; todas as contas de usuários contidas nele têm autoridade para utilizar o WebSphere MQ). Embora todos os membros do grupo "mqm de domínio" terão autoridade para utilizar o WebSphere MQ nesse computador.
- No entanto, ainda será necessário fornecer uma conta de usuário de domínio (criada na Etapa 1 acima) para cada instalação e configurar o WebSphere MQ para utilizá-la ao fazer consultas. Os detalhes da conta devem ser digitados no Assistente para Preparação do WebSphere MQ que é executado automaticamente no final da instalação (o assistente também pode ser executado a qualquer momento a partir do menu Iniciar).
- Definir os períodos de expiração de senhas:
- Se você utiliza apenas uma conta para todos os usuários do WebSphere MQ,
defina a senha da conta para nunca expirar, caso contrário, todas
as instâncias do WebSphere MQ deixarão de funcionar ao mesmo tempo, quando a
senha expirar.
- Se você conceder a cada usuário do WebSphere MQ sua própria
conta, terá mais contas de usuário para criar e gerenciar, mas
apenas uma instância do WebSphere MQ deixará de funcionar por vez
quando a senha expirar.
Se você definir a senha para expirar, avise os usuários
de que receberão uma mensagem do WebSphere MQ toda vez que ela expirar -
a mensagem avisa que a senha expirou e descreve como
redefini-la.
Para obter informações adicionais, consulte o System Administration Guide.