[Windows]

IBM MQWindows 도메인 계정 작성 및 설정

다음 정보는 도메인 관리자용입니다. 로컬 계정에 도메인 사용자 계정의 그룹 멤버십을 조회할 권한이 없는 도메인에 IBM® MQWindows 도메인에 설치되는 경우 이 정보를 사용하여 IBM MQ의 특수 도메인 계정을 작성하고 설정합니다.

이 태스크 정보

로컬 사용자를 mqm 그룹에 추가할 경우 이는 사용자가 시스템에서 IBM MQ를 관리하도록 허용합니다. 이 태스크는 Windows 도메인 사용자 ID를 사용하여 동일한 작업을 수행하는 방법을 설명합니다.

IBM MQ에는 설치 시 IBM MQ에서 작성한 로컬 사용자 계정으로 Windows 서비스로 실행되는 컴포넌트가 있으며 이 컴포넌트는 IBM MQ 서비스가 실행되는 계정에서 도메인 계정의 그룹 멤버십을 조회할 수 있는 기능과 IBM MQ를 관리할 권한이 있는지 확인합니다. 그룹 멤버십을 조회할 수 있는 기능이 없으면 서비스에서 작성한 액세스 검사가 실패합니다.

Windows Active Directory가 실행되는 Windows 도메인 제어기가 설정되어 로컬 계정에는 도메인 사용자 계정의 그룹 멤버십을 조회할 수 있는 권한이 없습니다. 이로 인해 IBM MQ에서 해당 검사를 완료할 수 없으며 액세스에 실패합니다. 이 방법으로 설정된 도메인 제어기에서 Windows를 사용하는 경우 필수 권한이 있는 특수 도메인 계정이 대신 사용되어야 합니다.

네트워크에 IBM MQ를 설치할 때마다 도메인에 정의된 사용자가 큐 관리자 또는 큐에 대한 액세스 권한이 부여되어 있는지 확인하는 데 필요한 권한이 있는 도메인 사용자 계정에서 서비스를 실행하도록 구성해야 합니다. 일반적으로 이 특수 계정에는 도메인 그룹 DOMAIN\Domain mqm의 멤버십을 통해 IBM MQ 관리자 권한이 있습니다. 도메인 그룹은 IBM MQ가 설치된 시스템의 로컬 mqm 그룹 아래 설치 프로그램에 의해 자동으로 중첩됩니다.

중요사항: IBM MQ 설치 프로그램은 이 특수 도메인 사용자 계정의 사용자 ID 및 비밀번호 세부사항이 제공되어야 제품 설치 후 이 정보를 사용하여 IBM MQ 서비스를 구성할 수 있습니다. 특수 계정 없이 설치 프로그램이 진행되어 IBM MQ를 구성하는 경우 연관되는 특정 사용자 계정에 따라 IBM MQ의 대부분 또는 모든 부분이 작동하지 않습니다.
  • 다른 컴퓨터에서 Windows 도메인 계정으로 실행 중인 큐 매니저에 대한 IBM MQ 연결에 실패할 수 있습니다.
  • 일반적인 오류에는 AMQ8066: 로컬 mqm 그룹을 찾을 수 없음AMQ8079: 'abc@xyz' 사용자에 대한 그룹 멤버십 정보를 검색하려 했으나 액세스가 거부됨이 포함됩니다.

IBM MQ를 관리할 사용자 이름이 있는 각 도메인에 대해 다음 프로시저의 12 단계를 반복하여 각 도메인에서 IBM MQ의 계정을 작성하십시오.

프로시저

  1. IBM MQ에 알려진 특수한 이름으로 도메인 그룹을 작성하고(1.d 참조) 이 그룹의 구성원에 권한을 지정하여 계정의 그룹 멤버십을 조회하십시오.
    1. 도메인 관리자 권한을 가진 계정으로 도메인 제어기에 로그온하십시오.
    2. 시작 메뉴에서 Active Directory 사용자 및 컴퓨터를 여십시오.
    3. 도움말 탐색창에서 도메인 이름을 찾아 마우스의 오른쪽 단추로 클릭하고 새 그룹을 선택하십시오.
    4. 그룹 이름 필드에 그룹 이름을 입력하십시오.
      참고: 선호되는 그룹 이름은 Domain mqm입니다. 표시된 대로 정확히 입력하십시오.
      • Domain mqm 그룹을 호출하면 도메인 워크스테이션 또는 서버에서 IBM MQ 준비 마법사의 동작이 수정됩니다. 이로 인해 IBM MQ 준비 마법사가 도메인에서 IBM MQ의 새로운 각 설치마다 Domain mqm 그룹을 로컬 mqm 그룹에 자동으로 추가합니다.
      • 도메인에서 Domain mqm 글로벌 그룹 없이 워크스테이션 또는 서버를 설치할 수 있습니다. 이를 위해서는 Domain mqm 그룹과 동일한 특성으로 그룹을 정의해야 합니다. IBM MQ가 도메인에 설치되는 모든 경우에 해당 그룹 또는 해당 그룹의 구성원인 사용자를 로컬 mqm 그룹의 구성원으로 설정해야 합니다. 여러 그룹에 도메인 사용자를 배치할 수 있습니다. 각 도메인 그룹이 별도로 관리하려는 설치 세트에 해당하는 다중 도메인 그룹을 작성하십시오. 관리하는 설치에 따라 도메인 사용자를 여러 도메인 그룹으로 분할하십시오. 각 도메인 그룹 또는 여러 그룹을 서로 다른 IBM MQ 설치의 로컬 mqm 그룹에 추가하십시오. 도메인 그룹에서 특정 로컬 mqm 그룹의 구성원인 도메인 사용자만 해당 설치를 위한 큐 관리자를 작성하고 관리하고 실행할 수 있습니다.
      • 도메인의 워크스테이션 또는 서버에서 IBM MQ를 설치할 때 지정하는 도메인 사용자는 Domain mqm 그룹의 구성원이거나 Domain mqm 그룹과 같은 특성으로 정의한 대체 그룹의 구성원이어야 합니다.
    5. 글로벌그룹 범위로 클릭한 상태로 두거나 범용으로 변경하십시오. 보안그룹 유형으로 클릭한 상태로 두십시오. 확인을 클릭하십시오.
    6. 다음 단계를 수행하여 도메인 제어기의 Windows 버전에 따라 그룹에 권한을 지정하십시오.
      Windows Server 2012, Windows Server 2012 R2, Windows Server 2016에서:
      1. 서버 관리자에서 도구를 클릭한 후 목록 상자에서 Active Directory 사용자 및 컴퓨터를 선택하십시오.
      2. 보기 > 고급 기능을 선택하십시오.
      3. 도메인 이름을 펼친 후 사용자를 클릭하십시오.
      4. 사용자 창에서 Domain mqm > 특성을 마우스 오른쪽 단추로 클릭하십시오.
      5. 보안 탭에서 고급 > 추가...를 클릭하십시오.
      6. 원칙 선택을 클릭한 후 도메인 mqm을 입력하고 이름 확인 > 확인을 클릭하십시오.

        이름 필드는 문자열 도메인 mqm(도메인 이름\Domain mqm)으로 미리 채워져 있습니다.

      7. 적용 대상 목록에서 하위 사용자 오브젝트를 선택하십시오.
      8. 권한 목록에서 그룹 멤버십 읽기groupMembershipSAM 읽기 선택란을 선택하십시오.
      9. 확인 > 적용 > 확인 > 확인을 클릭하십시오.
      Windows Server 2008Windows 2008 R2
      1. 서버 관리자 탐색 트리에서 사용자를 클릭하십시오.
      2. 서버 관리자 조치 막대에서 보기 > 고급 기능을 클릭하십시오.
      3. 사용자 창에서 Domain mqm > 특성을 마우스 오른쪽 단추로 클릭하십시오.
      4. 보안 탭에서 고급 > 추가를 클릭한 후 도메인 mqm을 입력하고 이름 확인 > 확인을 클릭하십시오.

        이름 필드는 Domain mqm (domain name\Domain mqm) 문자열로 미리 채워져 있습니다.

      5. 특성을 클릭하십시오. 적용 대상 목록에서 하위 사용자 오브젝트를 선택하십시오.
      6. 권한 목록에서 그룹 멤버십 읽기groupMembershipSAM 읽기 선택란을 선택하십시오.
      7. 확인 > 적용 > 확인 > 확인을 클릭하십시오.
  2. 하나 이상의 계정을 작성한 후 다음과 같이 그룹에 추가하십시오.
    1. Active Directory 사용자 및 컴퓨터에서 선택하는 이름이 있는 사용자 계정을 작성하고 Domain mqm(또는 로컬 mqm 그룹의 구성원인 그룹) 그룹에 추가하십시오.
    2. 작성할 모든 계정에 대해 반복하십시오.
    주의: Windows에서는 mqm라는 사용자 도메인을 사용할 수 없습니다.
  3. IBM MQ를 관리하는 사용자 이름이 있는 각 도메인에 대해 12단계를 반복하여 각 도메인에서 IBM MQ의 계정을 작성하십시오.
  4. 해당 계정을 사용하여 IBM MQ의 각 설치를 구성하십시오.
    1. IBM MQ의 각 설치에 대해 같은 도메인 사용자 계정을 사용하거나 (1단계에서 작성한 대로) 별도의 계정을 작성하면 Domain mqm 그룹(또는 로컬 mqm 그룹의 구성원인 그룹)에 추가됩니다.
    2. 계정을 작성한 경우 IBM MQ의 설치를 구성하는 사용자에게 하나씩 제공하십시오. 계정 세부사항(도메인 이름, 사용자 이름, 비밀번호)을 IBM MQ 준비 마법사에 입력해야 합니다. 설치 사용자 ID와 같은 도메인에 계정을 제공하십시오.
    3. 도메인에 있는 임의의 시스템에 IBM MQ 설치 시, IBM MQ 설치 프로그램은 LAN에서 Domain mqm 그룹의 존재를 발견하여 이를 로컬 mqm 그룹에 자동으로 추가합니다. (로컬 mqm 그룹은 설치 도중 작성되며 그룹의 모든 사용자 계정에는 IBM MQ를 사용할 권한이 부여됩니다.) 그러므로 Domain mqm 그룹의 모든 구성원에 이 시스템에서 IBM MQ를 관리할 수 있는 권한을 부여해야 합니다.
    4. 그러나 여전히 각 설치에 대해 도메인 사용자 계정을 제공하고 (1단계에서 작성한 대로) 조회를 작성할 때 이를 사용하도록 IBM MQ를 구성해야 합니다. 설치 종료 시에 자동으로 실행되는 IBM MQ 준비 마법사에 계정 세부사항을 입력해야 합니다(시작 메뉴에서 언제든지 마법사를 실행할 수도 있음).
  5. 비밀번호 만기 기간을 설정하십시오.
    • IBM MQ의 모든 사용자에 대해 하나의 계정만 사용하는 경우에는 해당 계정의 비밀번호가 만기되지 않도록 해야 합니다. 그렇지 않으면 IBM MQ의 모든 인스턴스가 비밀번호 만기와 동시에 작동을 멈추게 됩니다.
    • IBM MQ 사용자마다 각각 사용자 계정을 제공하는 경우에는 작성 및 관리할 사용자 계정이 많아지게 되지만, 비밀번호가 만기될 때 IBM MQ 인스턴스는 하나만 작동을 멈추게 됩니다.

    비밀번호가 만기되도록 설정하면 만기될 때마다 IBM MQ에서 경고 메시지가 나타납니다. 이 메시지는 비밀번호가 만기되었음을 경고하고 다시 설정하는 방법을 설명합니다.

  6. Windows 도메인 계정을 IBM MQ 서비스의 사용자 ID로 사용하려면 다음 단계를 완료하십시오.
    1. 시작 > 실행...을 클릭하십시오.
      명령 secpol.msc를 입력하고 확인을 클릭하십시오.
    2. 보안 설정 > 로컬 정책 > 사용자 권한 지정을 여십시오.
      정책 목록에서 서비스로 로그온 > 특성을 마우스의 오른쪽 단추로 클릭하십시오.
    3. 사용자 및 그룹 추가...를 클릭하십시오.
      도메인 관리자로부터 확보한 사용자의 이름을 입력하고 이름 확인을 클릭하십시오.
    4. Windows 보안 창에 의해 프롬프트되는 경우에는 충분한 권한이 있는 계정 사용자 또는 관리자의 사용자 이름 및 비밀번호를 입력하고 확인 > 적용 > 확인을 클릭하십시오.
      로컬 보안 정책 창을 닫으십시오.
    참고: 사용자 계정 제어(UAC)는 기본적으로 사용으로 설정됩니다. UAC 기능은 사용자가 관리자 그룹의 구성원인 경우에도 특정 운영 체제 기능에 대해 사용자가 수행할 수 있는 조치를 제한합니다. 이러한 제한을 극복하려면 적절한 단계를 거쳐야 합니다.