Création et configuration de comptes de domaine Windows pour IBM MQ

Les informations ci-dessous sont destinées aux administrateurs de domaine. Utilisez-les afin de créer et de configurer un compte de domaine spécial pour le service IBM® MQ si IBM MQ doit être installé dans un domaine Windows où les comptes locaux ne disposent pas des droits requis permettant de déterminer l'appartenance au groupe des comptes utilisateur de domaine.

Pourquoi et quand exécuter cette tâche

Lorsque vous ajoutez un utilisateur local au groupe mqm, vous autorisez cet utilisateur à administrer IBM MQ sur le système. Cette tâche explique comment effectuer la même opération avec des ID utilisateur de domaine Windows.

IBM MQ possède un composant qui s'exécute en tant que service Windows sous un compte utilisateur local créé par IBM MQ lors de l'installation et qui vérifie que le compte sous lequel les services IBM MQ sont exécutés peut déterminer les appartenances au groupe des comptes de domaine et dispose des droits permettant d'administrer IBM MQ. Si le compte n'est pas en mesure de déterminer les appartenances au groupe, les contrôles d'accès effectués par les services échouent.

Les contrôleurs de domaine Windows qui exécutent Windows Active Directory peuvent être configurés de sorte que les comptes locaux ne disposent pas des droits permettant de déterminer l'appartenance au groupe des comptes utilisateur de domaine. Dans ce cas, IBM MQ ne peut pas effectuer ses contrôles et l'accès échoue. Si vous utilisez Windows dans un contrôleur de domaine qui a été configuré ainsi, un compte utilisateur de domaine spécial disposant des droits requis doit être utilisé à la place.

Chaque installation d'IBM MQ sur le réseau doit être configurée de sorte que son service s'exécute sous un compte utilisateur de domaine qui dispose des droits requis pour vérifier que les utilisateurs qui sont définis dans les domaines peuvent accéder aux gestionnaires de files d'attente ou aux files d'attente. En règle générale, ce compte spécial détient les droits d'administrateur IBM MQ par le biais de l'appartenance du groupe de domaine DOMAIN\Domain mqm. Le groupe de domaine est automatiquement imbriqué par le programme d'installation sous le groupe mqm local sur lequel IBM MQ est installé.

Important : Les informations d'ID utilisateur et de mot de passe de ce compte utilisateur de domaine spécial doivent être fournies au programme d'installation d'IBM MQ afin de pouvoir être utilisées pour la configuration du service IBM MQ une fois le produit installé. Si un programme d'installation continue et configure IBM MQ sans compte spécial, de nombreux modules d'IBM MQ, voire la totalité, ne fonctionneront pas selon les comptes utilisateur particuliers concernés, notamment :

Les connexions IBM MQ à des gestionnaires de files d'attente exécutés sous des comptes de domaines Windows sur d'autres systèmes peuvent échouer.
Les erreurs les plus courantes sont AMQ8066 : Groupe local mqm introuvable et AMQ8079 : L'accès a été refusé lors d'une tentative d'extraction des informations sur l'appartenance à un groupe pour l'utilisateur 'abc@xyz'.

Vous devez réexécuter les étapes 1 et 2 de la procédure ci-après pour chaque domaine comportant des noms d'utilisateur qui administreront IBM MQ, afin de créer un compte pour IBM MQ dans chaque domaine.

Procédure

Créez un groupe de domaines avec un nom spécial connu d'IBM MQ (voir 1.d) et accordez aux membres de ce groupe le droit de rechercher l'appartenance à un groupe d'un compte :
1. Connectez-vous au contrôleur de domaine sous un compte disposant des droits d'accès de l'administrateur de domaine.
2. A partir du menu Démarrer, ouvrez Active Directory Users and Computers.
3. Recherchez le nom de domaine dans la sous-fenêtre de navigation, cliquez dessus avec le bouton droit de la souris et sélectionnez New Group.
4. Entrez un nom de groupe dans la zone Group name.
  Remarque : Le nom du groupe préféré est Domain mqm. Tapez-le exactement comme indiqué.
  - L'appel du groupe Domain mqm modifie le comportement de l'assistant de préparation d'IBM MQ sur un poste de travail ou un serveur du domaine. Il permet automatiquement à l'assistant de préparation d'IBM MQ d'ajouter le groupe Domain mqm local du groupe mqm dans chaque nouvelle installation d'IBM MQ dans le domaine.
  - Vous pouvez installer des postes de travail ou des serveurs dans un domaine sans aucun groupe global Domain mqm. Dans ce cas, vous devez définir un groupe avec les mêmes propriétés que Domain mqm du groupe. Vous devez rendre ce groupe, ou les utilisateurs qui en sont membres, membres du groupe local mqm lorsqu'IBM MQ est installé dans un domaine. Vous pouvez placer les utilisateurs de domaine dans plusieurs groupes. Créez plusieurs groupes de domaine, chaque groupe correspondant à un ensemble d'installations que vous souhaitez gérer séparément. Séparez les utilisateurs de domaine, selon les installations qu'ils gèrent, dans des groupes de domaine différents. Ajoutez tout ou partie des groupes de domaines au groupe local mqm de différentes installations IBM MQ. Seuls les utilisateurs de domaine dans les groupes de domaines qui sont membres d'un groupe local mqm spécifique peuvent créer, administrer et exécuter les gestionnaires de files d'attente pour cette installation.
  - L'utilisateur de domaine que vous désignez lors de l'installation d'IBM MQ sur un poste de travail ou un serveur dans un domaine doit être membre du groupe Domain mqm ou d'un autre groupe que vous avez défini avec les mêmes propriétés que le groupe mqm de domaine.
5. Conservez la valeur Global sélectionnée pour Group scope ou remplacez-la par Universal. Conservez la valeur Security sélectionnée pour Group type. Cliquez sur OK.
6. Procédez comme suit pour affecter des droits d'accès au groupe en fonction de la version Windows du contrôleur de domaine :
  Sous Windows Server 2012, Windows Server 2012 R2 et Windows Server 2016 :
  1. Dans Server Manager, cliquez sur Tools, puis sélectionnez Active Directory Users and Computers dans la zone de liste.
  2. Sélectionnez View > Advanced Features.
  3. Développez votre nom de domaine, puis cliquez sur Users.
  4. Dans la fenêtre Users, cliquez sur Domain mqm > Properties avec le bouton droit de la souris.
  5. Dans l'onglet Security, cliquez sur Advanced > Add....
  6. Cliquez sur Select principle, puis entrez Domain mqm et cliquez sur Check names > OK.
    La zone Name est préremplie avec la chaîne Domaine mqm (nom de domaine\Domain mqm).
  7. Dans la liste Applies to, sélectionnez Descendant User Objects.
  8. Dans la liste Permissions, cochez les cases Read group membership et Read groupMembershipSAM.
  9. Cliquez sur OK > Apply > OK > OK.
  Sous Windows Server 2008 et Windows 2008 R2 :
  1. Dans l'arborescence de navigation du gestionnaire de serveur, cliquez sur Users.
  2. Dans la barre d'actions du gestionnaire de serveurs, cliquez sur View > Advanced features.
  3. Dans la fenêtre Users, cliquez sur Domain mqm > Properties avec le bouton droit de la souris.
  4. Dans l'onglet Security, cliquez sur Advanced > Add, puis entrez Domain mqm et cliquez sur Check names > OK.
    La zone Name est préremplie avec la chaîne Domain mqm (nom_domaine\Domain mqm).
  5. Cliquez sur Properties. Dans la liste Apply to, sélectionnez Descendant User Objects.
  6. Dans la liste Permissions, cochez les cases Read group membership et Read groupMembershipSAM.
  7. Cliquez sur OK > Apply > OK > OK.
Créez un ou plusieurs comptes et ajoutez-les au groupe :
1. Dans Active Directory Users and Computers, créez un compte utilisateur sous le nom de votre choix et ajoutez-le à Domain mqm (ou un groupe membre du groupe mqm).
2. Répétez cette opération pour tous les comptes à créer.
Avertissement : Vous ne pouvez pas utiliser de domaine utilisateur nommé mqm sous Windows.
Répétez les étapes 1 et 2 pour chaque domaine comportant des noms d'utilisateur qui administreront IBM MQ, afin de créer un compte pour IBM MQ dans chaque domaine.
Utilisez les comptes pour configurer chaque installation d'IBM MQ:
1. Vous pouvez vous servir du même compte utilisateur de domaine (créé à l'étape 1) pour chaque installation d'IBM MQ ou créer pour chacun d'eux un compte distinct à ajouter au groupe Domain mqm (ou à un groupe membre du groupe mqm local).
2. Une fois le ou les comptes créés, attribuez-en un à chaque personne configurant une installation d'IBM MQ. Ils doivent entrer les détails du compte (nom de domaine, d'utilisateur et mot de passe) dans l'assistant de préparation d'IBM MQ. Attribuez-leur le compte existant sur le même domaine que leur ID utilisateur d'installation.
3. Lorsque vous installez IBM MQ sur un système du domaine, le programme d'installation d'IBM MQ détecte l'existence du groupe Domain mqm dans le réseau local et l'ajoute automatiquement au groupe mqm local. (Le groupe mqm local est créé au cours de l'installation ; tous les comptes utilisateur qui en font partie sont autorisés à gérer IBM MQ). Ainsi, tous les membres du groupe Domain mqm sont autorisés à gérer IBM MQ sur ce système.
4. Cependant, vous devez fournir un compte d'utilisateur de domaine (créé à l'étape 1) pour chaque installation et configurer IBM MQ pour l'utiliser lors de la réalisation de ses requêtes. Les détails du compte doivent être entrés dans l'assistant de préparation d'IBM MQ qui s'exécute automatiquement à la fin de l'installation (l'assistant peut aussi être lancé à tout moment depuis le menu Démarrer).
Définissez les périodes d'expiration du mot de passe :
- Si vous utilisez un seul compte pour tous les utilisateurs d'IBM MQ, pensez à faire en sorte que le mot de passe n'expire jamais, sinon toutes les instances d'IBM MQ cesseront de fonctionner simultanément lorsque le mot de passe ne sera plus valide.
- Si vous attribuez un compte à chaque utilisateur d'IBM MQ, vous aurez un plus grand nombre de comptes à créer et gérer, mais une seule instance d'IBM MQ cessera de fonctionner au moment de l'expiration du mot de passe.
Si vous définissez une date de fin de validité du mot de passe, mettez en garde les utilisateurs qu'un message s'affichera émis par IBM MQ à chaque fois qu'il expirera (ce message avertit que le mot de passe a expiré et décrit comment le restaurer).
Pour utiliser un compte de domaine Windows comme ID utilisateur pour le service IBM MQ, procédez comme suit :
1. Cliquez sur Démarrer > Exécuter....
  Tapez la commande secpol.msc, puis cliquez sur OK.
2. Ouvrez Paramètres de sécurité > Stratégies locales > Affectation des droits utilisateur.
  Dans la liste des règles, cliquez avec le bouton droit sur Ouvrir une session en tant que service > Propriétés.
3. Cliquez sur Ajouter un utilisateur ou un groupe....
  Entrez le nom de l'utilisateur que vous avez obtenu de l'administrateur de domaine et cliquez sur Vérifier les noms.
4. A l'invite éventuelle d'une fenêtre de sécurité Windows, entrez le nom d'utilisateur et le mot de passe d'un utilisateur de compte ou d'un administrateur ayant des droits d'accès suffisants, puis cliquez sur OK > Appliquer > OK.
  Fermez la fenêtre Stratégie de sécurité locale.
Remarque : Le contrôle de compte utilisateur est activé par défaut. Cette fonction restreint les actions pouvant être menées par les utilisateurs sur certaines fonctions du système d'exploitation, même s'ils sont membres du groupe administrateur. Vous devez prendre les mesures appropriées pour contourner cette restriction.