WebSphere MQ ha un componente, in esecuzione come servizio Windows, che controlla se l'account utente che prova ad accedere a WebSphere MQ è autorizzato.
Come parte di questo controllo, il servizio deve richiedere il gruppo di cui fa parte tale account. Il servizio stesso viene eseguito con un'utenza locale (MUSR_MQADMIN), creata durante l'installazione di WebSphere MQ.
Se si utilizza Windows 2000
o Windows 2003 su un qualsiasi controller di dominio sulla rete, è possibile impostare gli account utente locali in modo che non abbiano le autorizzazioni per eseguire interrogazioni sull'appartenenza ai gruppi degli account del suo dominio. Per far ciò:
- Ogni installazione di WebSphere MQ sulla rete deve essere configurata in modo da eseguire il servizio con un account utente del dominio che dispone dell'autorizzazione richiesta (fare riferimento alle istruzioni riportate di seguito per crearne uno).
Note: Se si continua a installare e configurare WebSphere MQ senza un account speciale, molti componenti di WebSphere MQ (o anche tutti) non funzioneranno, a seconda degli account utente implicati, e si verifica:
- Un programma di installazione collegato a un controller di dominio Windows 2000 o Windows 2003 non potrà completare la configurazione predefinita e l'applicazione Postcard e l'API Exerciser non funzioneranno.
- Le connessioni di WebSphere MQ ai gestori code in esecuzione su account di dominio Windows 2000
o Windows 2003 su altri computer potrebbero non essere stabilite.
- Tra gli errori tipici vi sono: "AMQ8066: Gruppo mqm locale non trovato" e "AMQ8079:
Accesso negato durante il tentativo di richiamo delle informazioni di appartenenza al gruppo per l'utente 'abc@xyz'".
Le istruzioni dettagliate riportate di seguito consentono a un amministratore del dominio di:
- Creare un gruppo di dominio globale o universale e assegnare ai membri di questo gruppo l'autorizzazione per richiedere l'appartenenza al gruppo per ogni account
- Creare uno o più account utente e aggiungerli al gruppo
- Ripetere i passi da 2 a 4 per ogni dominio
- Utilizzare gli account per configurare ogni installazione di WebSphere MQ
- Impostare i periodi di scadenza password.
Le seguenti informazioni sono utili per gli amministratori del dominio. Ripetere i passi da 2 a 4 per ciascun dominio in cui sono presenti i nomi utente che installeranno WebSphere MQ per creare un account per WebSphere MQ su ogni dominio:
- Creare un gruppo di dominio con un nome speciale noto a WebSphere MQ e assegnare ai membri di questo gruppo l'autorizzazione per richiedere l'appartenenza al gruppo per ogni account:
Su Windows 2000 Server:
- Collegarsi al controller del dominio con un'utenza che dispone di autorizzazioni da amministratore del dominio.
- Dal menu Start, aprire Utenti e computer di Active Directory.
- Individuare il nome del dominio nel riquadro di navigazione sulla sinistra, fare clic con il tastino destro del mouse su tale nome e selezionare Nuovo gruppo.
- Immettere domain mqm (è necessario utilizzare questa stringa esatta perché è nota e può essere utilizzata da WebSphere MQ).
- Nel campo Ambito gruppo, selezionare Globale o Universale.
- Nel campo Tipo di gruppo, selezionare Sicurezza e fare clic su OK.
- Individuare il nome del dominio nel riquadro di navigazione sulla sinistra, fare clic con il tastino destro del mouse, selezionare Delega controllo..., quindi fare clic su Avanti.
- Nella finestra Gruppi e utenti selezionati, fare clic su Aggiungi, selezionare domain
mqm e fare clic su Aggiungi. Fare clic su OK.
- Selezionare domain mqm e fare clic su Avanti.
- Selezionare Crea un'attività personalizzata da delegare e fare clic su Avanti.
- Selezionare Solo i seguenti oggetti nella cartella, quindi dall'elenco in ordine alfabetico selezionare Oggetti utente. Fare clic su Avanti.
- Selezionare la casella di spunta Specifico della proprietà, quindi selezionare dall'elenco (in ordine alfabetico, sulla seconda parola) le seguenti opzioni:
- Leggi appartenenza al gruppo
- Leggi MembershipSAM al gruppo
- Fare clic su OK per chiudere le finestre.
Su Windows 2003 Server:
- Collegarsi al controller del dominio con un'utenza che dispone di autorizzazioni da amministratore del dominio.
- Dal menu Start, aprire Utenti e computer di Active Directory.
- Individuare il nome del dominio nel riquadro di navigazione sulla sinistra, fare clic con il tastino destro del mouse su tale nome e selezionare Nuovo gruppo.
- Immettere domain mqm (è necessario utilizzare questa stringa esatta perché è nota e può essere utilizzata da WebSphere MQ).
- Nel campo Ambito gruppo, selezionare Globale o Universale.
- Nel campo Tipo di gruppo, selezionare Sicurezza e fare clic su OK.
- Visualizzare la finestra Utenti e computer di Active Directory in modalità Funzioni avanzate.
- Individuare il nome del dominio nel riquadro di navigazione sulla sinistra, fare clic con il tastino destro del mouse sul nome e selezionare Proprietà.
- Selezionare la scheda Sicurezza.
- Fare clic su Avanzate.
- Fare clic su Aggiungi, quindi immettere domain mqm e fare clic su OK. Verrà visualizzata una nuova finestra di dialogo.
- Selezionare la scheda Proprietà.
- Nella casella Applica a, cambiare la vista in Oggetti utente.
- Selezionare la casella di spunta Consenti per le seguenti opzioni:
- Leggi appartenenza al gruppo
- Leggi MembershipSAM al gruppo
- Fare clic su OK per chiudere le finestre.
- Creare uno o più account utente e aggiungerli al gruppo.
- Nella finestra Utenti e computer di Active Directory, creare un account utente e aggiungerlo al gruppo "domain mqm".
- Ripetere queste operazioni per tutti gli account che si desidera creare.
- Ripetere i passi 1 e 2 per ogni dominio in cui sono presenti i nomi utente che installeranno WebSphere MQ, per creare un account per WebSphere MQ su ogni dominio.
- Utilizzare gli account per configurare tutte le installazioni di WebSphere MQ:
- Utilizzare lo stesso account utente del dominio creato nel passo 1 per tutte le installazioni di WebSphere MQ oppure creare un account separato per ogni installazione, aggiungendo ognuno di essi al gruppo "domain mqm".
- Una volta creati gli account, assegnarli a ogni persona che configura un'installazione di WebSphere MQ, che a sua volta dovrà specificare i dettagli dell'account (nome dominio, nome utente e password) nella procedura guidata Prepara WebSphere MQ. Assegnare a tali persone un account che esiste nello stesso dominio degli ID utente di installazione.
- Quando si installa WebSphere MQ su un qualsiasi computer del dominio, il programma di installazione rileva la presenza del gruppo "domain mqm" sulla LAN e e lo aggiunge automaticamente al gruppo locale "mqm".
Il gruppo locale "mqm" viene creato durante l'installazione; tutti gli account utente del gruppo hanno l'autorizzazione per utilizzare WebSphere MQ. Tutti i membri del gruppo "domain mqm" hanno le autorizzazioni necessarie per utilizzare WebSphere
MQ su questo computer.
- Tuttavia, è necessario comunque fornire un account utente del dominio (fare riferimento al passo 1) per ogni installazione e configurare WebSphere MQ in modo da utilizzare questo account per le query. I dettagli dell'account devono essere immessi nella procedura guidata
Prepara WebSphere MQ che viene eseguita automaticamente alla fine del processo di installazione (la procedura guidata può essere eseguita in qualsiasi momento dal menu Start).
- Impostare i periodi di scadenza password:
- Se si utilizza soltanto un account per tutti gli utenti di WebSphere MQ, non impostare alcuna scadenza per la password altrimenti, una volta raggiunto questo valore, tutte le istanze di WebSphere MQ non funzioneranno più.
- Se si assegna a ogni utente di WebSphere MQ il proprio account utente, sarà necessario creare e gestire più account ma in questo caso, soltanto un'istanza di WebSphere MQ verrà arrestata alla scadenza della password.
Se si imposta un valore per la scadenza della password, sarà necessario avvisare gli utenti che ogni volta che la password scade verrà visualizzato un messaggio di avvertenza di WebSphere MQ.
Per ulteriori informazioni, fare riferimento al manuale Guida alla gestione del sistema.