[z/OS]

Controllo dell'accesso agli utenti della console quando si utilizza un registro del sistema operativo locale

L'aggiunta di utenti della console e la loro autorizzazione per una cella implica la modifica del registro utenti e delle impostazioni di autorizzazione. Una proprietà personalizzata del registro utenti regola la forma di autorizzazione degli utenti della console. Indipendentemente dalla forma di autorizzazione utilizzata, il risultato è che un ID utente MVS per l'identità di amministratore WebSphere® è in grado di accedere a tutte le funzioni della console amministrativa e di utilizzare lo strumento di scripting amministrativo quando la sicurezza viene attivata per la prima volta.

Informazioni su questa attività

Se vengono utilizzati registri di sistemi operativi non locali e l'autorizzazione System Authorization Facility (SAF), è necessario utilizzare la mappatura delle identità per mappare WebSphere Application Server identità in ID utente SAF. Per far sì che i ruoli della console siano gestiti tramite l'autorizzazione SAF, è necessario attivare l'autorizzazione SAF per la cella. Per abilitare l'autorizzazione SAF, fare clic su Sicurezza > Sicurezza globale > Provider di autorizzazione esterni > e fare clic Autorizzazione System Authorization Facility (SAF). per abilitare l'autorizzazione SAF. Se si abilita l'opzione, i profili SAF EJBROLE vengono utilizzati per autorizzare gli utenti della console. Altrimenti, per impostazione predefinita, la console di gestione viene utilizzata per autorizzare utenti e gruppi della console.

Indipendentemente dal tipo di registro o impostazione di autorizzazione scelta, il processo di configurazione autorizza il WebSphere gruppo di configurazione (a cui all WebSphere sono consentite identità server) e un ID utente MVS per il file WebSphere identità di amministratore per eseguire le seguenti attività:
  • Accedi a tutte le funzioni della console amministrativa
  • Utilizzare lo strumento di scripting amministrativo quando la sicurezza viene abilitata per la prima volta
Quando l'autorizzazione SAF è selezionata z/OS®, l'oggetto speciale del server non viene utilizzato come ID utente amministrativo. (Nota che utilizzando il WebSphere z/OS Strumento di gestione dei profili o il zpmt il comando genera un utente amministrativo, che è un membro del gruppo amministrativo, che può essere utilizzato per l'autorizzazione.)

Utilizzo dell'autorizzazione SAF per controllare l'accesso alle funzioni amministrative

Quando viene selezionata l'autorizzazione SAF durante la personalizzazione dei sistemi, i profili amministrativi EJBROLE per tutti i ruoli amministrativi vengono definiti da RACF® posti di lavoro generati utilizzando il z/OS Strumento di gestione dei profili. Se l'autorizzazione SAF viene selezionata successivamente, emettere quanto segue RACF comandi (o comandi server di sicurezza equivalenti) per consentire ai server e all'amministratore di amministrare WebSphere Application Server:
Nota: È inoltre possibile specificare un valore per il prefisso del profilo SAF (precedentemente denominato z/OS dominio di sicurezza).
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor       UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator  UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)deployer      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)adminsecuritymanager      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor      UACC(NONE)

PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(adminGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)monitor       CLASS(EJBROLE) ID(monitorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)configurator  CLASS(EJBROLE) ID(configuratorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)operator      CLASS(EJBROLE) ID(operatorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)deployer      CLASS(EJBROLE) ID(deployerGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)adminsecuritymanager  CLASS(EJBROLE) ID(adminSecurityGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)auditor  CLASS(EJBROLE) ID(auditorGroup) ACCESS(READ)
Se ulteriori utenti richiedono l'accesso alle funzioni amministrative, è possibile consentire a un utente uno qualsiasi dei ruoli precedenti emettendo quanto segue RACF comando:
PERMIT (optionalSAFProfilePrefix.)rolename   CLASS(EJBROLE)  ID(mvsid) ACCESS(READ)
Puoi concedere a un utente l'accesso a tutte le funzioni amministrative collegandolo al gruppo di configurazione:
CONNECT  mvsid  GROUP(configGroup)

Utilizzando WebSphere Autorizzazione a controllare l'accesso alle funzioni amministrative:

Per assegnare gli utenti ai ruoli amministrativi, completare i passaggi seguenti.

Procedura

  1. Nella console di amministrazione, espandere Amministrazione del sistema > Impostazioni della console.
  2. Clic Utenti console > Aggiungi O Gruppi console > Aggiungi.
  3. Aggiungi le identità utente come desiderato.
    Per ulteriori informazioni sui ruoli utente della console, vedere Ruoli amministrativi e autorizzazione al servizio di naming.
    Nota:
    • Quando l'autorizzazione SAF è in vigore, WebSphere Application Server l'autorizzazione, come specificato nella console di gestione, viene ignorata.
    • I nomi dei ruoli SAF fanno distinzione tra maiuscole e minuscole.