O WebSphere MQ em execução na conta/grupo local não pode ler associações de grupo para o usuário do Active Directory. Solução alternativa ou resolução alternativa?

O WebSphere MQ em execução na conta/grupo local não pode ler associações de grupo para o usuário do Active Directory. Solução alternativa ou resolução alternativa?

Estou desenvolvendo um aplicativo que usa o WebSphere MQ v6.0. O WebSphere MQ não está funcionando no momento devido ao seguinte problema:

  • O serviço WebSphere MQ é executado sob o usuário local "MUSR_MQADMIN" no grupo local "mqm"
  • Tento usar o serviço usando minha própria conta, BIZ\noahz
  • MUSR_MQADMIN precisa verificar se BIZ\noahz está no grupo local "mqm"
  • MUSR_MQADMIN não tem permissão para ler a associação do grupo Active Directory de BIZ\noahz
  • O seguinte erro aparece no arquivo de log do MQ:

----- amqzfubn.c: 3582 ---------------------------------------- ---------------

31/01/2011 18:51:32 - Processo (704.1105) Usuário (MUSR_MQADMIN) Programa (amqzlaa0.exe) AMQ8079: O acesso foi negado ao tentar recuperar informações de associação ao grupo para o usuário 'noahz@biz'.

EXPLICAÇÃO: O WebSphere MQ, em execução com a autoridade do usuário 'musr_mqadmin@noahz-biz', não conseguiu recuperar informações de associação ao grupo para o usuário especificado. AÇÃO: Garanta que as permissões de acesso do Active Directory permitam que o usuário 'musr_mqadmin@noahz-biz' leia as associações de grupo do usuário 'noahz@biz'. Para recuperar informações de associação de grupo para um usuário de domínio, o MQ deve ser executado com a autoridade de um usuário de domínio.

----- amqzfubn.c: 3582 ---------------------------------------- ---------------

Encontrei mais informações aqui no site da IBM: http://publib.boulder.ibm.com/infocenter/wmqv7/v7r0/index.jsp?topic=/com.ibm.mq.amqtac.doc/wq10830_.htm

Não tenho direitos de administrador do Active Directory para minha máquina Windows, então minha pergunta é:

Há mais alguma coisa que eu possa fazer para resolver (ou contornar) esse problema e fazer com que o WebSphere MQ funcione novamente para mim? Por exemplo, posso desativar esta verificação de segurança no WebSphere MQ?

ATUALIZARAqui está a resposta que recebi do suporte da IBM:

Geralmente, esses erros indicam um problema com o ID do usuário sob o qual o serviço MQ está configurado para ser executado no dcom. Se você não tiver certeza de qual é esse ID de usuário, verifique o seguinte:

Abra um prompt de comando e digite: dcomcnfg. Assim que o MMC de serviços de componentes for aberto, clique duas vezes em "Serviços de componentes", clique duas vezes em "Computadores", clique duas vezes em "Meu computador", clique duas vezes em "Configuração DCOM". Na janela, procure por "IBM MQSeries Services", clique com o botão direito e escolha propriedades. Clique na guia "Identidade". Deve mostrar "este usuário" seguido de um id.

Certifique-se de que o ID dos serviços MQ (da guia Identidade acima) tenha os direitos necessários localmente. Conceda-lhe quaisquer direitos que estejam faltando para o seguinte:

Abra Iniciar->Programas->Ferramentas Administrativas->Configurações de Segurança Local.

Abra Políticas locais e depois Atribuições de direitos de usuário, clique duas vezes para verificar se os seguintes direitos estão definidos:
- Fazer logon como trabalho em lote
- Fazer logon como serviço
- Desligar o sistema
- Depurar programas
- Aumentar cotas
- Atuar como parte do sistema operacional
- Ignorar verificação transversal
- Substitua um token de nível de processo

O resultado final foi que meu departamento de TI e a InfoSec decidiram que o WebSphere MQ é um "software de servidor" e, portanto, não é permitido em estações de trabalho individuais, então nem cheguei a testar a solução acima!

Responder1

Embora não tenha conseguido encontrar as entradas DCOM mencionadas acima (relacionadas à V7.1?), consegui, com a ajuda do runas-tip mencionado anteriormente, criar, iniciar e conectar-se a um Qmgr local do Windows V7.1 sem ter acesso ao Active Directory . Isto é o que eu fiz:

  • Altere a senha do usuário MUSR_MQADMIN no lusrmgr do Windows
  • Verifique se o MQService parou
  • Na lista de serviços, altere também a senha do usuário MUSR_MQADMIN
  • Abra um DOSbox e execute: C:> runas /user:MUSR_MQADMIN "crtmqm QMGR1" C:> runas /user:MUSR_MQADMIN "strmqm QMGR1" (observe que para cada comando você terá que fornecer a senha)
  • Clique com o botão direito no ícone MQ na barra de tarefas e selecione "WebSphere MQ Explorer"
  • O MQ Explorer é aberto e deve indicar o Qmgr "QMGR1" com uma seta vermelha apontando para baixo. Clique com o botão direito neste ícone e selecione "Iniciar..."
  • No pop-up selecione "Iniciar interativo" e clique em "OK"
  • O ícone QMGR1 agora deve ter uma seta verde apontando para cima (iniciado) e seu quadrado deve estar amarelo (conectado).
  • No MQ Explorer crie uma fila chamada TEST1 e torne sua persistência padrão persistente
  • No DOSbox execute:
    C:> amqsput TEST1 QMGR1 Digite uma mensagem ... e depois uma linha vazia para finalizar o programa de exemplo
  • Agora verifique no MQ Explorer se sua mensagem está lá!

Dica: Os códigos de retorno do MQ podem ser verificados rapidamente com o comando "mqrc , fi C:>mqrc 2085

Responder2

O WebSphere MQ sempre precisará obter a associação ao grupo de qualquer ID que tente executar seus componentes ou autorizar o acesso a seus recursos. Se esses IDs não forem locais, o MQ precisará de direitos para executar pesquisas de associação ao SAM no domínio que possui o ID. Existem algumas soluções alternativas disponíveis:

  1. Use um ID local. O MQ sempre poderá executar pesquisas no banco de dados SAM local porque ele deve ter sido instalado por um administrador e terá concedido a si mesmo os direitos locais apropriados durante a instalação. Não precisa ser MUSR_MQADMIN, mas deve estar no grupo mqm se for executar o QMgr.
  2. Use o WMQ Explorer para iniciar o QMgr. Qualquer versão recente do WMQ Explorer solicitará opções diferentes, uma das quais é iniciar o QMgr sob o ID que possui o serviço. Depois de iniciado, você pode usar seu ID normal para acessar filas e tópicos.

ATUALIZAR:
Gostaria de ter pensado nisso antes de seu departamento de TI reprimir, mas é possível desabilitar o Object Authority Manager. Esse é o componente que realiza a pesquisa no domínio AD. Eu sei que desativá-lo permite que qualquer coisa se conecte ao QMgr sem problemas de permissão de domínio. Eu soucom certezaisso também permite que seu ID execute os processos que executam o QMgr.

Responder3

Também estou desenvolvendo aplicativos com Websphere Message Broker. Atualmente tenho uma edição "developer". Encontrei uma maneira de solucionar isso instalando o MQ com a observação de associação do SAM desabilitada.

Para isso, executei o "Websphere MQ Launchpad" (execute Setup.exe no Windows) no diretório de instalação (Websphere_MQ_V7.5). Na aba “Configuração de rede”, existe a opção de desabilitar a configuração do User Id. Escolha “Não” e execute a instalação.

Não que esta não seja a melhor opção para ambientes de produção e controle de qualidade.

Responder4

Eu acho que a melhor chance é usarcorrer comopara executar como o usuário mq:

runas /user:MUSR_MQADMIN "strmqm <qmgr-name>"

informação relacionada