WebSphere MQ에는 Windows 서비스로 실행되며
WebSphere MQ에 액세스하려는 사용자 계정이 권한 부여된 것인지를 점검하는 구성요소가 있습니다.
점검의 일환으로, 서비스는 계정이 구성원으로 있는 그룹을 조회해야 합니다.
설치 시 서비스는 WebSphere MQ에서 작성한 로컬 사용자 계정(MUSR_MQADMIN)으로 실행됩니다.
네트워크의 도메인 컨트롤러에서 Windows 2000 또는 Windows 2003을 사용하는 경우
해당 도메인 사용자 계정의 그룹 멤버쉽을 조회할 권한이 없는 로컬 사용자 계정으로 설치될 수 있으며
이러한 경우 WebSphere MQ는 점검을 완료하지 못하고 액세스에 실패합니다.
이를 핸들링하려면 다음을 수행하십시오.
- 네트워크에 있는 각각의 WebSphere MQ 설치는 필수 권한이 있는
도메인 사용자 계정 하에서 해당 서비스를 실행하도록 구성되어야 합니다(계정 작성은 아래 지시사항 참조).
주: 설치 프로그램에서 특수 계정 없이 WebSphere MQ를 수행하고
구성하면 연관된 특정 사용자 계정에 따라 WebSphere MQ 대부분 또는 전체가 다음과 같이 작동하지 않게 됩니다.
- 현재 Windows 2000 또는 Windows 2003 도메인
사용자 계정으로 로그온한 설치 프로그램이 디폴트 구성을 완료할 수 없으며
Postcard 및 API 연습기가 작동하지 않게 됩니다.
- 다른 컴퓨터에 있는 Windows 2000 또는 Windows 2003 도메인 계정으로 실행 중인 큐 관리자로의
WebSphere MQ 연결이 실패합니다.
- "AMQ8066: 로컬 mqm 그룹이 없습니다" 및 "AMQ8079:
사용자 'abc@xyz'에 대한 그룹 맴버쉽 정보 검색 시 액세스가 거부되었습니다."등의 일반적인 오류가 발생합니다.
수반되는 세부 지시사항에서 도메인 관리자가 다음을 수행하도록 안내합니다.
- 전역 또는 범용 도메인 그룹을 작성하고 해당 그룹의 구성원에게
모든 계정의 그룹 멤버쉽을 조회할 수 있는 권한 부여
- 하나 이상의 사용자 계정을 작성한 후 해당 그룹에 추가
- 각 도메인에서 2단계 - 4단계 반복
- 계정을 사용하여 각각의 WebSphere MQ 설치 구성
- 암호 만기 기간 설정
다음 정보는 도메인 관리자를 위한 것입니다. WebSphere MQ를 설치할 사용자
이름이 있는 각 도메인에 대해 아래의 2 - 4단계를 반복하여 다음과 같이
각 도메인에 WebSphere MQ용 계정을 작성하십시오.
- 다음과 같이 WebSphere MQ에서 인식하는 고유 이름으로 도메인 그룹을 작성하고
해당 그룹의 구성원에게 모든 계정의 그룹 멤버쉽을 조회할 수 있는
권한을 부여하십시오.
Windows 2000 서버의 경우:
- 도메인 관리자 권한을 가진 계정으로 도메인 컨트롤러에 로그온하십시오.
- 시작 메뉴에서 Active Directory 사용자 및 컴퓨터를 여십시오.
- 왼쪽의 도움말 탐색창에서 도메인 이름을 찾아 마우스 오른쪽 단추로 누르고
그룹 새로 작성을 선택하십시오.
- domain mqm을 입력하십시오(WebSphere MQ에서
인식하고 사용하는 것이므로 정확한 문자열을 사용해야 함).
- 그룹 범위에서 전역 또는 범용을 선택하십시오.
- 그룹 유형에서 보안을 선택한 후 확인을 누르십시오.
- 왼쪽의 도움말 탐색창에서 도메인 이름을 찾아 마우스 오른쪽 단추로 누르고
제어 위임...을 선택한 후 다음을 누르십시오.
- 선택한 그룹 및 사용자에서 추가를 누르고 domain
mqm을 선택한 후 추가를 누르십시오. 확인을 누르십시오.
- domain mqm을 선택하고 다음을 누르십시오.
- 위임할 사용자 정의 작업 작성을 선택하고 다음을 누르십시오.
- 폴더에 있는 다음 오브젝트 전용을 선택한 후
영문자순의 목록에서 사용자 오브젝트를 점검하십시오.
다음을 누르십시오.
- 등록 정보 특정을 선택한 후
목록(두 번째 단어의 알파벳 순서로 되어 있음)에서 다음 옵션을 선택하십시오.
- Read Group Membership
- Read Group MembershipSAM
- 확인을 눌러 각 창을 닫으십시오.
Windows 2003 서버의 경우:
- 도메인 관리자 권한을 가진 계정으로 도메인 컨트롤러에 로그온하십시오.
- 시작 메뉴에서 Active Directory 사용자 및 컴퓨터를 여십시오.
- 왼쪽의 도움말 탐색창에서 도메인 이름을 찾아 마우스 오른쪽 단추로 누르고
그룹 새로 작성을 선택하십시오.
- domain mqm을 입력하십시오(WebSphere MQ에서
인식하고 사용하는 것이므로 정확한 문자열을 사용해야 함).
- 그룹 범위에서 전역 또는 범용을 선택하십시오.
- 그룹 유형에서 보안을 선택한 후 확인을 누르십시오.
- 고급 기능 모드에서 Active Directory 사용자 및 컴퓨터를 보십시오.
- 왼쪽 패널에서 도메인 이름을 찾아 마우스 오른쪽 단추로 누른 후 등록 정보를 누르십시오.
- 보안 탭을 누르십시오.
- 고급을 누르십시오.
- 추가를 누른 후 domain mqm을 입력하고 확인을 누르십시오. 새 대화 상자가 표시됩니다.
- 등록 정보 탭을 누르십시오.
- 적용 상자에서 보기를 사용자 오브젝트로 변경하십시오.
- 다음 옵션에서 허용 선택란을 선택하십시오.
- Read Group Membership
- Read Group MembershipSAM
- 확인을 눌러 각 창을 닫으십시오.
- 하나 이상의 계정을 작성한 후 다음과 같이 그룹에 추가하십시오.
- Active Directory 사용자 및 컴퓨터에서 선택한 이름으로 사용자 계정을 작성하고
"domain mqm" 그룹에 추가하십시오.
- 작성할 모든 계정에 대해 반복하십시오.
- WebSphere MQ를 설치할 사용자 이름이 있는 각 도메인에 대해 1단계와 2단계를 반복하여
각 도메인에 WebSphere MQ용 계정을 작성하십시오.
- 다음과 같이 해당 계정을 사용하여 각각의 WebSphere MQ 설치를 구성하십시오.
- 위의 1단계에서 작성한 것과 같이 각각의 WebSphere MQ 설치에 대해 동일한
도메인 사용자 계정을 사용하거나 각각의 계정을 "domain mqm" 그룹에 추가하여
각 설치에 대해 별도의 계정을 작성하십시오.
- 계정을 작성한 후, WebSphere MQ 설치를 구성하며 WebSphere MQ 준비 마법사에
계정 세부사항(도메인 이름, 사용자 이름 및 암호)을 입력해야 하는
각 사용자에게 계정을 부여하십시오. 설치에 사용한 사용자 ID와 동일한 도메인에 있는 계정을 부여하십시오.
- 도메인에 있는 임의의 컴퓨터에 WebSphere MQ를 설치하는 경우 WebSphere
MQ 설치 프로그램은 LAN에서 "domain mqm" 그룹이 있는지 감지한 후 이를
로컬 "mqm" 그룹에 자동으로 추가합니다. (로컬 "mqm"
그룹은 설치하는 동안 작성되며 이 그룹에 속하는 모든 사용자 계정에는 WebSphere MQ
사용 권한이 있습니다.) 따라서 "domain mqm" 그룹의 모든 구성원은
해당 컴퓨터의 WebSphere MQ를 사용할 수 있는 권한을 갖게 됩니다.
- 그러나 각각의 설치에 대해 위의 1단계에서 작성한 대로 도메인 사용자 계정을
제공해야 하며 조회 작성 시 도메인 사용자 계정을 사용하도록 WebSphere MQ를 구성해야 합니다.
설치 종료 시 자동으로 실행되는 WebSphere MQ 준비 마법사에 계정 세부사항을
입력해야 합니다(마법사는 시작 메뉴에서도 언제든지 실행 가능).
- 암호 만기 기간을 다음과 같이 설정하십시오.
- 모든 WebSphere MQ 사용자에 하나의 계정만을 사용하는 경우
계정의 암호가 만기되지 않도록 주의하십시오. 그렇지 않으면 암호 만기 시
WebSphere MQ의 모든 인스턴스가 동시에 작동이 정지됩니다.
- 각각의 WebSphere MQ 사용자에게 자체 사용자 계정을 부여하면
작성하고 관리해야 할 사용자 계정이 많아지게 되지만 암호 만기 시 단 하나의 WebSphere
MQ 인스턴스만 작동이 정지됩니다.
암호가 만기되도록 설정하면 암호가 만기될 때마다 WebSphere MQ에서
메시지를 표시함을 사용자에게 알리십시오. 이 메시지는 암호가 만기되었음을 알리고
암호를 재설정하는 방법을 설명합니다.
자세한 정보는 System Administration
Guide를 참조하십시오.