IBM MQ 用の Windows ドメイン・アカウントの作成とセットアップ

以下の情報は、ドメイン管理者を対象としたものです。ローカル・アカウントがドメイン・ユーザー・アカウントのグループ・メンバーシップを照会する権限を持たない Windows ドメインに IBM® MQ をインストールする場合、この情報を使用して IBM MQ サービス用の特別ドメイン・アカウントを作成およびセットアップします。

このタスクについて

ローカル・ユーザーを mqm グループに追加すると、ユーザーはシステム上の IBM MQ を管理できます。この作業は、Windows ドメイン・ユーザー ID を使用して同じことを行う方法を説明しています。

IBM MQ には、インストール時に IBM MQ によって作成される、ローカル・ユーザー・アカウントで Windows サービスとして実行されるコンポーネントが含まれており、これによって IBM MQ サービスを実行するアカウントにドメイン・アカウントのグループ・メンバーシップを照会する権限があること、および IBM MQ を管理する権限があることが検査されます。グループ・メンバーシップを照会することができない場合、サービスによって実行されるアクセス検査は失敗します。

Windows Active Directory を実行する Windows ドメイン・コントローラーは、ドメイン・ユーザー・アカウントのグループ・メンバーシップを照会する権限をローカル・アカウントに持たせないようにセットアップできます。これによって、 IBM MQ は検査を実行できなくなり、アクセスは失敗します。このようにしてセットアップされたドメイン・コントローラーで Windows を使用する場合、代わりに必要な許可を持つ特別ドメイン・ユーザー・アカウントを使用する必要があります。

ネットワーク上の各 IBM MQ のインストールを、ドメイン上で定義されたユーザーがキュー・マネージャーまたはキューにアクセスする権限を持っていることを検査するのに必要な権限を持つドメイン・ユーザー・アカウントの下でサービスを実行するように構成する必要があります。通常、この特別アカウントには、ドメイン・グループ DOMAIN¥Domain mqm のメンバーシップを通して IBM MQ 管理者権限が与えられます。このドメイン・グループは、IBM MQ のインストール場所となるシステムのローカル mqm グループの下でインストール・プログラムによって自動的にネストされます。

重要: 本製品のインストール後にこの特別ドメイン・ユーザー・アカウントのユーザー ID とパスワードの詳細情報を使って IBM MQ サービスを構成するためには、これらの詳細を IBM MQ インストーラーで提供する必要があります。インストーラーが続行され、特別なアカウントを使用せずに IBM MQ を構成した場合、使用された特定のユーザー・アカウントによっては、IBM MQ の多くまたはすべての部分が動作しません。その例を以下に示します。

他のコンピューター上の Windows ドメイン・ユーザー・アカウントで実行しているキュー・マネージャーとの IBM MQ 接続は失敗する可能性があります。
代表的なエラーには、「AMQ8066: Local mqm group not found (ローカル mqm グループが見つかりませんでした)」や「AMQ8079: Access was denied when attempting to retrieve group membership information for user 'abc@xyz' (ユーザー「abc@xyz」のグループ・メンバーシップ情報を検索しようとしてアクセスが拒否されました)」があります。

IBM MQ を管理するユーザー名が属するドメインごとに以下の手順のステップ 1 と 2 を繰り返し、各ドメインに IBM MQ のアカウントを作成する必要があります。

手順

IBM MQ が認識する特殊名 (1.d を参照) を使用してドメイン・グループを作成し、このグループのメンバーに、任意のアカウントのグループ・メンバーシップを照会する権限を付与します。
1. ドメイン管理者権限をもったアカウントで、ドメイン・コントローラーにログオンします。
2. 「スタート」メニューで「Active Directory ユーザーとコンピュータ」を開きます。
3. ナビゲーション・ペインでドメイン名を見つけ、それを右クリックして「新しいグループ」を選択します。
4. 「グループ名」フィールドにグループ名を入力します。
  注: 優先的に使用するべきグループ名は、Domain mqm です。このとおりに入力してください。
  - このグループに Domain mqm という名前を付けると、ドメイン・ワークステーションまたはドメイン・サーバーでの IBM MQ 準備ウィザードの動作が変更されます。つまり、IBM MQ をドメインに新しくインストールするたびに、IBM MQ 準備ウィザードによってローカル mqm グループに Domain mqm グループが自動的に追加されるようになります。
  - Domain mqm というグローバル・グループがないドメインに、ワークステーションやサーバーをインストールすることもできます。その場合は、Domain mqm グループと同じプロパティーでグループを定義する必要があります。 IBM MQ をドメインにインストールする場合は、必ずそのグループ、またはそのグループのメンバーであるユーザーをローカル mqm グループのメンバーにする必要があります。ドメイン・ユーザーを複数のグループに組み込むことも可能です。複数のドメイン・グループを作成し、別々に管理するインストール環境のセットごとに、それぞれのグループを対応させます。管理対象のインストール環境に基づいて、ドメイン・ユーザーをそれぞれのドメイン・グループに振り分けます。それぞれのドメイン・グループをそれぞれの対応する IBM MQ インストール環境のローカル mqm グループに追加します。特定のローカル mqm グループのメンバーになっているドメイン・グループのドメイン・ユーザーだけが、そのインストール環境のキュー・マネージャーを作成し、管理し、実行できます。
  - ドメインに含まれているワークステーションまたはサーバーに IBM MQ をインストールするときに指名するドメイン・ユーザーは、Domain mqm グループのメンバーであるか、Domain mqm グループと同じプロパティーで定義した代替グループのメンバーでなければなりません。
5. 「グループのスコープ」では、「グローバル」がクリックされたままの状態にしておくか、設定を「ユニバーサル」に変更します。「グループの種類」では、「セキュリティ」がクリックされたままの状態にしておきます。「OK」をクリックします。
6. Windows バージョンのドメイン・コントローラーに基づいてグループに権限を割り当てるには、以下の手順に従います。
  Windows Server 2012、Windows Server 2012 R2、および Windows Server 2016 の場合:
  1. サーバー・マネージャーで「Tools (ツール)」をクリックし、リスト・ボックスから「Active Directory Users and Computers (Active Directory ユーザーとコンピューター)」を選択します。
  2. 「表示」 > 「Advanced Features (拡張機能)」を選択します。
  3. 対象のドメイン名を展開し、「Users (ユーザー)」をクリックします。
  4. 「Users (ユーザー)」ウィンドウで「Domain mqm (ドメイン mqm)」 > 「Properties (プロパティー)」を右クリックします。
  5. 「セキュリティー」タブで、「詳細設定」 > 「追加...」をクリックします。
  6. 「Select principle (プリンシパルの選択)」をクリックし、Domain mqm と入力し、「Check names (名前の確認)」 > 「OK」をクリックします。
    「Name (名前)」フィールドに Domain mqm (domain name¥Domain mqm) というストリングが表示されます。
  7. 「Applies to (適用先)」リストで「Descendant User Objects (子ユーザー・オブジェクト)」を選択します。
  8. 「Permissions (アクセス許可)」リストで「Read group membership (グループ・メンバーシップを読み取る)」と「Read groupMembershipSAM (グループ・メンバーシップ SAM を読み取る)」のチェック・ボックスを選択します。
  9. 「OK」 > 「Apply (適用)」 > 「OK」 > 「OK」をクリックします。
  Windows Server 2008 および Windows 2008 R2 の場合:
  1. サーバー・マネージャーのナビゲーション・ツリーで、「ユーザー」をクリックします。
  2. サーバー・マネージャーのアクション・バーで、「表示」 > 「高度な機能」をクリックします。
  3. 「Users (ユーザー)」ウィンドウで「Domain mqm (ドメイン mqm)」 > 「Properties (プロパティー)」を右クリックします。
  4. 「セキュリティ」タブで、「詳細設定」 > 「追加」をクリックしてから、Domain mqm と入力し、「名前の確認」 > 「OK」をクリックします。
    「Name (名前)」フィールドに Domain mqm (domain name¥Domain mqm) というストリングが表示されます。
  5. 「プロパティー」をクリックします。「適用先」リストの「下位のユーザーオブジェクト」を選択します。
  6. 「Permissions (アクセス許可)」リストで「Read group membership (グループ・メンバーシップを読み取る)」と「Read groupMembershipSAM (グループ・メンバーシップ SAM を読み取る)」のチェック・ボックスを選択します。
  7. 「OK」 > 「Apply (適用)」 > 「OK」 > 「OK」をクリックします。
次のようにして、1 つ以上のアカウントを作成してグループに追加します。
1. 「Active Directory ユーザーとコンピューター」で、任意の名前でユーザー・アカウントを作成し、Domain mqm グループ (またはローカル mqm グループのメンバーであるグループ) に追加します。
2. 作成するすべてのアカウントについてこれを繰り返します。
重要: mqm という名前のユーザー・ドメインを Windows で使用することはできません。
IBM MQ を管理するユーザー名が属するドメインごとにステップ 1 と 2 を繰り返し、各ドメインに IBM MQ のアカウントを作成します。
このアカウントを使用して、IBM MQ の各インストール・システムを構成します。
1. IBM MQ のそれぞれのインストールで同じドメイン・ユーザー・アカウント (手順 1 で作成したアカウント) を使用するか、インストールごとに別々のアカウントを作成して、Domain mqm グループ (またはローカル mqm グループのメンバーであるグループ) に追加します。
2. アカウントを作成したら、IBM MQ インストール環境を構成する担当者ごとに 1 つずつ与えます。それらの構成者は、アカウントの詳細 (ドメイン名、ユーザー名、パスワード) を IBM MQ 準備ウィザードに入力する必要があります。構成者には、それぞれのインストール・ユーザー ID と同じドメインに存在するアカウントを与えてください。
3. ドメイン上のシステムに IBM MQ をインストールする時、IBM MQ インストール・プログラムが、Domain mqm グループが LAN に存在していることを検出し、自動的にそれをローカルの mqm グループに追加します。(インストール中にローカルの mqm グループが作成され、そのグループ内のすべてのユーザー・アカウントは、IBM MQ を管理する権限を持っています。) したがって、 Domain mqm グループのすべてのメンバーは、このシステム上で IBM MQ を管理する権限を持ちます。
4. しかし、この場合でも、インストールごとに (ステップ 1 で作成された) ドメイン・ユーザー・アカウントを提供し、照会を行う際にはそのアカウントを使用するよう IBM MQ を構成する必要があります。インストールの最後に自動的に実行される IBM MQ 準備ウィザードにアカウントの詳細を入力しなければなりません (さらに、このウィザードは、「スタート」メニューからいつでも実行できます)。
次のようにして、パスワードの有効期限を設定します。
- IBM MQ の全てのユーザーに 1 つのアカウントだけを使用する場合は、アカウントのパスワードの有効期限が切れることがないようにしてください。そうでないと、パスワードの有効期限が切れると同時に、IBM MQ のすべてのインスタンスが動作を停止します。
- IBM MQ の各ユーザーに独自のユーザー・アカウントを与えると、作成および管理するユーザー・アカウントの数が多くなります。ただし、パスワードの有効期限が切れた時に作業を停止する IBM MQ のインスタンスは 1 つだけになります。
パスワードの有効期限が切れるように設定している場合は、その有効期限が切れるたびに、IBM MQ からメッセージが表示されることをユーザーに警告してください。メッセージは、パスワードの有効期限が切れたことを警告し、そのリセット方法を説明します。
Windows ドメイン・アカウントを IBM MQ サービスのユーザー ID として使用するために、以下のステップを実行します。
1. 「スタート」 > 「実行...」をクリックします。
  コマンド secpol.msc を入力して「OK」をクリックします。
2. 「セキュリティの設定」 > 「ローカルポリシー」 > 「ユーザー権利の割り当て」を開きます。
  ポリシーのリストで、「サービスとしてログオン」を右クリックして、「プロパティ」を選択します。
3. 「ユーザーまたはグループの追加...」をクリックします。
  ドメイン管理者から取得したユーザーの名前を入力し、「名前の確認」をクリックします。
4. 「Windows セキュリティ」ウィンドウが表示されたら、十分な権限を持つアカウント・ユーザーまたは管理者のユーザー名とパスワードを入力し、「OK」 > 「適用」 > 「OK」をクリックします。
  「ローカルセキュリティポリシー」ウィンドウを閉じます。
注: ユーザー・アカウント制御 (UAC) がデフォルトで有効です。 UAC 機能は、ユーザーが Administrators グループのメンバーである場合でも、特定のオペレーティング・システム機能に対してユーザーが実行できる操作を制限します。この制限に対応するため、適切な手段を講じる必要があります。