WebSphere MQ 有一个作为 Windows 服务来运行的组件,它检查尝试访问 WebSphere MQ 的任何用户帐户是否已授权。作为检查的一部分,此服务必须查询此帐户所属的组。此服务自身是在本地用户帐户(MUSR_MQADMIN)下运行的,在安装时,WebSphere MQ 创建了此帐户。
如果您正在您的网络中的任何域控制器上使用 Windows 2000
或 Windows 2003,则它可能被设置为本地用户帐户没有权限查询其域用户帐户的组成员资格 - 这会阻止 WebSphere MQ 完成其检查,并且访问将失败。要处理此问题:
- 必须将网络上的每个 WebSphere MQ 安装配置为在具有所需权限的域用户帐户下运行其服务(请参阅下面的指示信息来创建一个)。
注: 如果安装程序在没有特殊帐户的情况下执行操作并配置 WebSphere MQ,那么根据所涉及的特定用户帐户,WebSphere MQ 的许多部件或所有部件将不工作,如下所示:
- 当前以 Windows 2000 或 Windows 2003 域用户帐户登录的安装程序将不能完成缺省配置,并且明信片和 API 试验程序将不工作。
- 在其它机器上,与 Windows 2000
或 Windows 2003 域帐户下运行的队列管理器的 WebSphere MQ 连接可能失败。
- 典型的错误包括“AMQ8066: 未找到本地 mqm 组”以及“AMQ8079: 尝试检索用户“abc@xyz” 的组成员资格信息时拒绝访问”。
后面的详细指示信息会引导域管理员执行下列操作:
- 创建全局或通用域组,并为此组的成员提供查询任何帐户的组成员资格的权限:
- 创建一个或多个用户帐户,并将它们添加至组中
- 对每个域重复步骤 2 至步骤 4
- 使用这些帐户配置 WebSphere MQ 的每个安装
- 设置密码到期期限。
下列信息是针对域管理员的。对具有要安装 WebSphere MQ 的用户名的每个域重复下面的步骤 2 至步骤 4,以在每个域中创建 WebSphere MQ 帐户。
- 使用 WebSphere MQ 已知的特殊名称创建域组,并为此组的成员提供查询任何帐户的组成员资格的权限:
在 Windows 2000 Server 上:
- 使用具有域管理员权限的帐户登录到域控制器。
- 从“开始”菜单打开“Active Directory 用户和计算机”。
- 在左边的导航窗格中找到域名,右键单击此名称并选择新建组。
- 输入 domain mqm(应精确输入此字符串,因为 WebSphere MQ 要识别并使用它)。
- 在组作用域中选择全局或通用。
- 在组类型中选择安全性,并单击确定。
- 在左边的导航窗格中找到域名,右键单击此名称并选择将控制委托给...,然后单击下一步。
- 在“选中的组和用户”处,按下添加,选择 domain
mqm,然后单击添加。单击确定。
- 选择 domain mqm 并单击下一步。
- 选择创建要委托的定制任务并单击下一步。
- 选择只有下列对象在文件夹中,然后选中按字母顺序排列的列表中的用户对象。单击下一步。
- 选中特定于属性,然后从列表(它是按第二个词的字母顺序排序的)中选择下列选项:
- 读取组成员资格
- 读取组 MembershipSAM
- 单击确定以关闭每个窗口。
在 Windows 2003 Server 上:
- 使用具有域管理员权限的帐户登录到域控制器。
- 从“开始”菜单打开“Active Directory 用户和计算机”。
- 在左边的导航窗格中找到域名,右键单击此名称并选择新建组。
- 输入 domain mqm(应精确输入此字符串,因为 WebSphere MQ 要识别并使用它)。
- 在组作用域中选择全局或通用。
- 在组类型中选择安全性,并单击确定。
- 以高级功能部件方式查看“Active Directory 用户和计算机”。
- 在左边的面板中找到域名,右键单击此域名,然后单击属性。
- 单击安全性选项卡。
- 单击高级。
- 单击添加,然后输入 domain mqm 并单击确定。会显示一个新的对话框。
- 单击属性选项卡。
- 在应用于框中,将视图更改为用户对象。
- 对下列选项选择允许复选框:
- 读取组成员资格
- 读取组 MembershipSAM
- 单击确定以关闭每个窗口。
- 创建一个或多个帐户,并将它们添加到组中:
- 在“Active Directory 用户和计算机”中,使用您选择的名称创建一个用户帐户并将它添加至组“domain mqm”。
- 对要创建的所有帐户重复这些步骤。
- 对具有要安装 WebSphere MQ 的用户名的每个域重复步骤 1 和步骤 2,以在每个域中创建 WebSphere MQ 帐户。
- 使用这些帐户配置 WebSphere MQ 的每个安装:
- 或者将同域用户帐户(如上述步骤 1 所创建的)用于 WebSphere MQ 的每个安装,或者为每个安装创建单独的帐户,并将它们添加至“domain mqm”组。
- 当您创建了帐户时,为配置 WebSphere MQ 安装的每个人提供一个帐户,此人应在“准备 WebSphere MQ 向导”中输入帐户详细信息(域名、用户名和密码)。为他们提供存在于同域中的帐户来作为他们的安装用户标识。
- 当您在此域的任何计算机上安装 WebSphere MQ 时,WebSphere
MQ 安装程序会检测“domain mqm”组是否存在于 LAN 中,并自动将它添加至本地“mqm”组中。(本地“mqm”组是在安装期间创建的;其中的所有用户帐户都具有使用 WebSphere MQ 的权限)。因此,“domain mqm”组中的所有成员都将有在此计算机上使用 WebSphere MQ 的权限。
- 但是,您仍需要为每个安装提供域用户帐户(如上述步骤 1 中所创建的),并配置 WebSphere MQ 以在查询时使用它。应在“准备 WebSphere MQ 向导”中输入帐户详细信息,此向导在安装结束时自动运行(您也可在任何时候从“开始”菜单运行此向导)。
- 设置密码到期期限:
- 如果您对所有 WebSphere MQ 用户仅使用一个帐户,则考虑使此帐户的密码永不到期,否则,当密码到期时,所有 WebSphere
MQ 实例将会同时停止工作。
- 如果您为每个 WebSphere MQ 用户提供了其自己的用户帐户,则您将要创建和管理多个用户帐户,但在密码到期时,只有一个 WebSphere
MQ 实例会停止工作。
如果您将密码设置为到期,则警告用户:每次密码到期时,他们将看到来自 WebSphere MQ 的一个消息 - 此消息警告密码已到期并描述如何重新设置它。
有关更多信息,请参阅《系统管理指南》。