Creación y configuración de cuentas de dominio de Windows para IBM MQ

La siguiente información va dirigida a los administradores del dominio. Utilice esta información para crear y configurar una cuenta de dominio especial para el servicio IBM® MQ si IBM MQ se va a instalar en un dominio de Windows donde las cuentas locales no tienen autoridad para consultar la pertenencia a grupos de las cuentas de usuario de dominio.

Acerca de esta tarea

Cuando añade un usuario local al grupo mqm, esto permite a ese usuario administrar IBM MQ en el sistema. Esta tarea describe cómo hacer lo mismo utilizando los ID de usuario del dominio Windows.

IBM MQ tiene un componente, que se ejecuta como un servicio Windows bajo una cuenta de usuario local creada por IBM MQ en la instalación, que comprueba que la cuenta bajo la que se ejecutan los servicios IBM MQ tiene la capacidad de consultar la pertenencia a grupos de cuentas de dominio y tiene autoridad para administrar IBM MQ. Sin la capacidad de consultar la pertenencia a grupos, las comprobaciones de acceso realizadas por los servicios fallan.

Los controladores de dominio de Windows que ejecutan Windows Active Directory se pueden configurar para que las cuentas locales no tengan autoridad para consultar la pertenencia a grupos de las cuentas de usuario de dominio. Esto impide que IBM MQ complete sus comprobaciones y fallará el acceso. Si utiliza Windows en un controlador de dominio que se ha establecido de este modo, se debe usar una cuenta de usuario de dominio especial con los permisos necesarios en su lugar.

Cada instalación de IBM MQ en la red se debe configurar para ejecutar su servicio bajo una cuenta de usuario de dominio que tenga la autorización necesaria para comprobar que los usuarios que están definidos en los dominios están autorizados para acceder a las colas o los gestores de colas. Por lo general, esta cuenta especial tiene los derechos de administrador de IBM MQ a través de la pertenencia del grupo de dominio DOMAIN\Domain mqm. El programa de instalación anida automáticamente el grupo de dominio en el grupo local mqm del sistema en el que se está instalando IBM MQ.

Importante: se deben proporcionar al instalador de IBM MQ los detalles de ID de usuario y contraseña de esta cuenta de usuario de dominio especial para que pueda utilizar esta información para configurar el servicio IBM MQ después de que se instale el producto. Si un instalador continúa y configura IBM MQ sin una cuenta especial, no funcionará ninguna o varias partes de IBM MQ, dependiendo de las cuentas de usuario concretas implicadas, como se indica:

Es posible que fallen las conexiones de IBM MQ a los gestores de colas que se ejecutan bajo las cuentas de dominio de Windows en otros sistemas.
Los errores más habituales son AMQ8066: No se ha encontrado el grupo mqm local y AMQ8079: Se ha denegado el acceso al intentar recuperar información de pertenencia a grupos para el usuario 'abc@xyz'.

Debe repetir los pasos de 1 a 2 del procedimiento siguiente para cada dominio que tenga nombres de usuario que administrarán IBM MQ, para crear una cuenta para IBM MQ en cada dominio.

Procedimiento

Cree un grupo de dominio con un nombre especial que IBM MQ conozca, (consulte 1.d), y proporcione a los miembros del grupo la autorización necesaria para consultar la pertenencia a grupos de cualquier cuenta:
1. Inicie la sesión en el controlador de dominio con una cuenta con autorización de administrador de dominio.
2. Desde el menú Inicio, abra Usuarios y sistemas de Active Directory.
3. Busque el nombre de dominio en el panel de navegación, pulse el botón derecho del ratón en el nombre de dominio y seleccione Nuevo grupo.
4. Escriba un nombre de grupo en el campo Nombre de grupo.
  Nota: El nombre de grupo preferido es Dominio mqm. Escríbalo tal como aparece.
  - Si se llama al grupo Domain mqm , se modifica el comportamiento del Asistente de preparación de IBM MQ en una estación de trabajo o servidor de dominio. Hace que el Asistente de preparación de IBM MQ añada automáticamente el grupo Domain mqm al grupo local mqm en cada instalación nueva de IBM MQ en el dominio.
  - Puede instalar estaciones de trabajo o servidores en un dominio sin ningún grupo global Dominio mqm. Si lo hace, debe definir un grupo con las mismas propiedades que el grupo Dominio mqm. Debe convertir dicho grupo o los usuarios que forman parte de él en miembros del grupo mqm local siempre que IBM MQ esté instalado en un dominio. Puede colocar usuarios de dominio en grupos múltiples. Cree grupos de dominio múltiples, donde cada grupo corresponde a un conjunto de instalaciones que desea gestionar por separado. Divida los usuarios de dominio, según las instalaciones que gestionan, en diferentes grupos de dominio. Añada cada grupo o grupos de dominio al grupo mqm local de diferentes instalaciones de IBM MQ. Solo los usuarios de dominio de los grupos de dominio que son miembros de un grupo local específico mqm pueden crear, administrar y gestionar gestores de colas para dicha instalación.
  - El usuario de dominio que nombre cuando instale IBM MQ en una estación de trabajo o servidor en un dominio debe ser miembro del grupo Dominio mqm o de un grupo alternativo que haya definido con las mismas propiedades que el grupo Dominio mqm.
5. Deje Global pulsado como el Ámbito del grupo o cámbielo por Universal. Deje Seguridad pulsada como Tipo de grupo. Pulse Aceptar.
6. Siga estos pasos para asignar permisos al grupo en función de la versión de Windows del controlador de dominio:
  En Windows Server 2012, Windows Server 2012 R2 y Windows Server 2016:
  1. En el Administrador de servidores, pulse Herramientas y seleccione Usuarios y sistemas de Active Directory en el recuadro de lista.
  2. Seleccione Ver > Características avanzadas.
  3. Expanda el nombre de dominio, a continuación, pulse Usuarios.
  4. En la ventana Usuarios, pulse el botón derecho (del ratón) en Dominio mqm > Propiedades.
  5. En la pestaña Seguridad, pulse Avanzada > Agregar....
  6. Pulse Seleccionar principio, a continuación, escriba Dominio mqm y pulse Comprobar nombres > Aceptar.
    El campo Nombre se rellena previamente con la serie, Dominio mqm (nombre de dominio\Domain mqm).
  7. En la lista Aplica a, seleccione Objetos de usuario descendientes.
  8. En la lista Permisos, marque los recuadros de selección Leer pertenencia a grupo y Leer pertenencia a grupo SAM.
  9. Pulse Aceptar > Aplicar > Aceptar > Aceptar.
  En Windows Server 2008 y Windows 2008 R2:
  1. En el árbol de navegación del Administrador de servidores, pulse Usuarios.
  2. En la barra de acciones del Administrador de servidores, pulse Ver > Características avanzadas.
  3. En la ventana Usuarios, pulse el botón derecho (del ratón) en Dominio mqm > Propiedades.
  4. En la pestaña Seguridad, pulse Avanzada > Agregar, a continuación, escriba Dominio mqm y pulse Comprobar nombres > Aceptar.
    El campo Nombre se rellena previamente con la serie Domain mqm (nombre dominio\Domain mqm)
  5. Pulse Propiedades. En la lista Aplicar a, seleccione Objetos de usuarios descendientes.
  6. En la lista Permisos, marque los recuadros de selección Leer pertenencia a grupo y Leer pertenencia a grupo SAM.
  7. Pulse Aceptar > Aplicar > Aceptar > Aceptar.
Cree una o más cuentas y añádalas al grupo:
1. En Usuarios y equipos de Active Directory, cree una cuenta de usuario con el nombre que desee y añádala al grupo Dominio mqm (o a un grupo que sea miembro del grupo mqm local).
2. Repita este procedimiento para todas las cuentas que desee crear.
Atención: No puede utilizar un dominio de usuario denominado mqm en Windows.
Repita los pasos de 1 al 2 para cada dominio que tenga nombres de usuario que administrarán IBM MQ, para crear una cuenta para IBM MQ en cada dominio.
Utilice las cuentas para configurar cada instalación de IBM MQ:
1. Utilice la misma cuenta de usuario de dominio (según se creó en el paso 1) para cada instalación de IBM MQ o cree una cuenta independiente para cada una, añadiendo el grupo Domain mqm (o un grupo que es un miembro de grupo mqm local).
2. Cuando haya creado la cuenta o cuentas, asigne una a cada persona que configure una instalación de IBM MQ. Deben especificar los detalles de cuenta (nombre de dominio, nombre de usuario y contraseña) en el Asistente de preparación de IBM MQ. Deles la cuenta que existe en el mismo dominio que su ID de usuario de instalación.
3. Cuando instale IBM MQ en cualquier sistema en el dominio, el programa de instalación de IBM MQ detecta la existencia del grupo Domain mqm en la LAN y lo añade automáticamente al grupo local mqm. (El grupo mqm local se crea durante la instalación; todas las cuentas de usuario de este grupo tienen autorización para gestionar IBM MQ). De este modo, todos los miembros del grupo Dominio mqm tendrán autoridad para gestionar IBM MQ en este sistema.
4. Sin embargo, sigue teniendo que proporcionar una cuenta de usuario de dominio (según se ha creado en el paso 1) para cada instalación y configurar IBM MQ para que la utilice cuando realice consultas. Los detalles de la cuenta deben especificarse en el Asistente de preparación de IBM MQ que se ejecuta automáticamente al final de la instalación (el asistente también puede ejecutarse en cualquier momento desde el menú Inicio).
Defina los periodos de caducidad de la contraseña:
- Si utiliza una sola cuenta para todos los usuarios de IBM MQ, considere la posibilidad de que la contraseña de la cuenta no caduque nunca, de lo contrario todas las instancias de IBM MQ dejarán de funcionar a la vez cuando caduque la contraseña.
- Si asigna a cada usuario de IBM MQ su propia cuenta de usuario, tendrá que crear y gestionar más cuentas de usuario, pero sólo una instancia de IBM MQ dejará de funcionar cuando caduque la contraseña.
Si establece la contraseña para que caduque, avise a los usuarios de que verán un mensaje de IBM MQ cada vez que caduque la contraseña. El mensaje avisa de que la contraseña ha caducado y describe cómo restablecerla.
Para utilizar una cuenta de dominio de Windows como el ID de usuario para el servicio de IBM MQ, siga estos pasos:
1. Pulse Iniciar > Ejecutar....
  Escriba el mandato secpol.msc y pulse Aceptar.
2. Abra Configuración de seguridad > Políticas locales > Asignaciones de derechos de usuario.
  En la lista de políticas, pulse el botón derecho (del ratón) en Iniciar sesión como servicio > Propiedades.
3. Pulse Añadir usuario o grupo...
  Escriba el nombre del usuario que ha obtenido del administrador del dominio y pulse Comprobar nombres.
4. Si se le solicita en una ventana de seguridad de Windows, escriba el nombre de usuario y la contraseña de un usuario o administrador de cuentas con autorización suficiente y pulse Aceptar > Aplicar > Aceptar.
  Cierre la ventana Política de seguridad local.
Nota: UAC (User Account Control) está habilitado de forma predeterminada. La característica UAC restringe las acciones que los usuarios pueden llevar a cabo en determinados recursos del sistema operativo, incluso si son miembros del grupo Administradores. Debe tomar las medidas apropiadas para superar esta restricción.