WebSphere MQ que se ejecuta en una cuenta/grupo local no puede leer las membresías de grupo para el usuario de Active Directory. ¿Solución alternativa o solución alternativa?

WebSphere MQ que se ejecuta en una cuenta/grupo local no puede leer las membresías de grupo para el usuario de Active Directory. ¿Solución alternativa o solución alternativa?

Estoy desarrollando una aplicación que utiliza WebSphere MQ v6.0. WebSphere MQ no funciona actualmente debido al siguiente problema:

  • El servicio WebSphere MQ se ejecuta bajo el usuario local "MUSR_MQADMIN" en el grupo local "mqm"
  • Intento utilizar el servicio usando mi propia cuenta, BIZ\noahz
  • MUSR_MQADMIN necesita verificar si BIZ\noahz está en el grupo local "mqm"
  • MUSR_MQADMIN no tiene permiso para leer la membresía del grupo Active Directory de BIZ\noahz
  • Aparece el siguiente error en el archivo de registro de MQ:

----- amqzfubn.c : 3582 ---------------------------------------- ---------------

31/01/2011 18:51:32 - Proceso (704.1105) Usuario (MUSR_MQADMIN) Programa (amqzlaa0.exe) AMQ8079: Se denegó el acceso al intentar recuperar información de membresía del grupo para el usuario 'noahz@biz'.

EXPLICACIÓN: WebSphere MQ, ejecutándose con la autoridad del usuario 'musr_mqadmin@noahz-biz', no pudo recuperar la información de membresía del grupo para el usuario especificado. ACCIÓN: Asegúrese de que los permisos de acceso a Active Directory permitan al usuario 'musr_mqadmin@noahz-biz' leer las membresías de grupo del usuario 'noahz@biz'. Para recuperar información de membresía de grupo para un usuario de dominio, MQ debe ejecutarse con la autoridad de un usuario de dominio.

----- amqzfubn.c : 3582 ---------------------------------------- ---------------

Encontré más información aquí en el sitio web de IBM: http://publib.boulder.ibm.com/infocenter/wmqv7/v7r0/index.jsp?topic=/com.ibm.mq.amqtac.doc/wq10830_.htm

No tengo derechos de administrador de Active Directory para mi máquina con Windows, entonces mi pregunta es:

¿Hay algo más que pueda hacer para resolver (o solucionar) este problema y lograr que WebSphere MQ vuelva a funcionar? Por ejemplo, ¿puedo desactivar esta comprobación de seguridad en WebSphere MQ?

ACTUALIZARAquí está la respuesta que recibí del soporte de IBM:

Por lo general, estos errores indican un problema con el ID de usuario con el que está configurado el servicio MQ para ejecutarse en dcom. Si no está seguro de qué ID de usuario es, puede consultar lo siguiente:

Abra un símbolo del sistema y escriba: dcomcnfg. Una vez que se abre la MMC de Servicios de componentes, haga doble clic en "Servicios de componentes", haga doble clic en "Equipos", haga doble clic en "Mi PC", haga doble clic en "Configuración DCOM". En la ventana, busque "Servicios IBM MQSeries", haga clic derecho en él y luego elija propiedades. Haga clic en la pestaña "Identidad". Debería mostrar "este usuario" seguido de una identificación.

Asegúrese de que la identificación de los servicios MQ (de la pestaña Identidad anterior) tenga los derechos necesarios localmente. Concédele los derechos que faltan para lo siguiente:

Abra Inicio->Programas->Herramientas administrativas->Configuración de seguridad local.

Abra Políticas locales y luego Asignaciones de derechos de usuario, haga doble clic para verificar que los siguientes derechos estén configurados:
- Iniciar sesión como trabajo por lotes
- Iniciar sesión como servicio
- Apagar el sistema
- Depurar programas
- Aumentar cuotas
- Actuar como parte del sistema operativo
- Omitir comprobación transversal
: reemplazar un token de nivel de proceso

El resultado final fue que mi departamento de TI e InfoSec decidieron que WebSphere MQ es un "software de servidor" y, por lo tanto, no está permitido en estaciones de trabajo individuales, por lo que ni siquiera pude probar la solución anterior.

Respuesta1

Aunque no pude encontrar las entradas DCOM mencionadas anteriormente (¿relacionadas con V7.1?), Con la ayuda del runas-tip mencionado anteriormente pude crear, iniciar y conectarme a un Qmgr local de Windows V7.1 sin tener acceso a Active Directory. . Esto es lo que hice:

  • Cambiar la contraseña del usuario MUSR_MQADMIN en el lusrmgr de Windows
  • Compruebe que MQService se haya detenido
  • En la lista de servicios, cambie también la contraseña del usuario MUSR_MQADMIN.
  • Abra un DOSbox y ejecute: C:> runas /user:MUSR_MQADMIN "crtmqm QMGR1" C:> runas /user:MUSR_MQADMIN "strmqm QMGR1" (tenga en cuenta que para cada comando deberá proporcionar la contraseña)
  • Haga clic derecho en el icono MQ en la barra de tareas y seleccione "WebSphere MQ Explorer"
  • Se abre MQ Explorer y debería indicar Qmgr "QMGR1" con una flecha roja apuntando hacia abajo. Haga clic derecho en este icono y seleccione "Iniciar..."
  • En la ventana emergente, seleccione "Iniciar interactivo" y haga clic en "Aceptar".
  • El icono QMGR1 ahora debería tener una flecha verde apuntando hacia arriba (iniciado) y su cuadrado debería ser amarillo (conectado).
  • En MQ Explorer, cree una cola llamada TEST1 y haga persistente su persistencia predeterminada.
  • En DOSbox ejecute:
    C:> amqsput TEST1 QMGR1 Escriba un mensaje... y luego una línea vacía para finalizar el programa de muestra
  • ¡Ahora verifique en MQ Explorer que su mensaje esté allí!

Consejo: Los códigos de retorno de MQ se pueden comprobar rápidamente con el comando "mqrc, fi C:>mqrc 2085

Respuesta2

WebSphere MQ siempre necesitará obtener la membresía del grupo de cualquier ID que intente ejecutar sus componentes o autorizar el acceso a sus recursos. Si esos ID no son locales, entonces MQ necesitará derechos para realizar búsquedas de membresía de SAM en el dominio propietario del ID. Hay un par de soluciones disponibles:

  1. Utilice una identificación local. MQ siempre podrá realizar búsquedas en la base de datos SAM local porque debe haber sido instalado por un administrador y se habrá otorgado a sí mismo los derechos locales apropiados durante la instalación. No tiene que ser MUSR_MQADMIN pero debe estar en el grupo mqm si va a ejecutar QMgr.
  2. Utilice WMQ Explorer para iniciar QMgr. Cualquier versión reciente de WMQ Explorer solicitará diferentes opciones, una de las cuales es iniciar QMgr con el ID propietario del servicio. Una vez iniciado, puede utilizar su ID habitual para acceder a colas y temas.

ACTUALIZAR:
Ojalá hubiera pensado en esto antes de que su departamento de TI tomara medidas drásticas, pero es posible desactivar el Administrador de autoridad de objetos. Ese es el componente que realiza la búsqueda en el dominio AD. Sé que deshabilitarlo permite que cualquier cosa se conecte al QMgr sin problemas de permisos de dominio. Soybastante segurohacerlo también permite que su ID ejecute los procesos que ejecutan QMgr.

Respuesta3

También estoy desarrollando una aplicación con Websphere Message Broker. Actualmente tengo una edición "desarrollador". Encontré una manera de solucionar este problema instalando MQ con el control de membresía de SAM deshabilitado.

Para esto, ejecuté "Websphere MQ Launchpad" (ejecute Setup.exe en Windows) desde el directorio de instalación (Websphere_MQ_V7.5). En la pestaña "Configuración de red", hay una opción para deshabilitar la configuración de ID de usuario. Elija "No" y realice la instalación.

No es que esta no sea la mejor opción para entornos de producción y control de calidad.

Respuesta4

Supongo que la mejor opción es usarcorrer comopara ejecutar como usuario mq:

runas /user:MUSR_MQADMIN "strmqm <qmgr-name>"

información relacionada