[z/OS]

当使用本地操作系统注册表时,控制对控制台用户的访问

添加控制台用户并对单元向这些用户授权涉及调整用户注册表和授权设置。 用户注册表定制属性管理对控制台用户授权的形式。 无论使用哪种授权形式,结果都是WebSphere®管理员身份的 MVS 用户 ID 能够访问所有管理控制台功能,并在首次启用安全性时使用管理脚本工具。

有关此任务

如果使用非本地操作系统注册表和系统授权工具 (SAF) 授权,那么必须使用身份映射将 WebSphere Application Server 身份映射到 SAF 用户标识。 要让 SAF 管理控制台角色,必须对单元启用 SAF 授权。 要启用 SAF 授权,请单击安全性 > 全局安全性 > 外部授权提供程序 >,然后单击系统授权工具 (SAF) 授权以启用 SAF 授权。 如果启用该选项,那么将使用 SAF EJBROLE 概要文件对控制台用户进行授权。 否则在缺省情况下,管理控制台将用于对控制台用户和组授权。

无论选择哪种类型的注册表或授权设置,配置过程都会授权 WebSphere 配置组 (允许所有 WebSphere Server 身份使用该组) 以及 WebSphere 管理员身份的 MVS 用户标识执行以下任务:
  • 访问所有管理控制台功能
  • 当首次启用安全性时,使用管理脚本工具
在 z/OS®上选择 SAF 授权时,服务器的特殊主体集不会用作管理用户标识。 (请注意,使用 WebSphere z/OS Profile Management Tool 或 zpmt 命令将生成管理用户,该用户是管理组的成员,可用于授权。)

使用 SAF 授权控制对管理功能的访问

在系统定制期间选择 SAF 授权时,所有管理角色的管理 EJBROLE 概要文件由使用 z/OS 概要文件管理工具生成的 RACF® 作业定义。 如果随后选择了 SAF 授权,请发出以下 RACF 命令 (或等效的安全服务器命令) 以使服务器和管理员能够管理 WebSphere Application Server:
注: 您还可以为 SAF 概要文件前缀 (先前称为 z/OS 安全域) 指定值。
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor       UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator  UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)deployer      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)adminsecuritymanager      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor      UACC(NONE)

PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(adminGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)monitor       CLASS(EJBROLE) ID(monitorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)configurator  CLASS(EJBROLE) ID(configuratorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)operator      CLASS(EJBROLE) ID(operatorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)deployer      CLASS(EJBROLE) ID(deployerGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)adminsecuritymanager  CLASS(EJBROLE) ID(adminSecurityGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)auditor  CLASS(EJBROLE) ID(auditorGroup) ACCESS(READ)
如果其他用户需要访问管理功能,那么可以通过发出以下 RACF 命令来允许用户访问任何先前角色:
PERMIT (optionalSAFProfilePrefix.)rolename   CLASS(EJBROLE)  ID(mvsid) ACCESS(READ)
通过将用户连接到配置组,您可以让该用户访问所有管理功能:
CONNECT  mvsid  GROUP(configGroup)

使用 WebSphere 授权来控制对管理功能的访问:

要将用户指定给管理角色,请完成以下步骤。

过程

  1. 在管理控制台中,展开 系统管理> 控制台设置
  2. 单击 控制台用户> 添加控制台组> 添加
  3. 根据需要添加用户标识。
    注:
    • 当 SAF 授权生效时,将忽略管理控制台中指定的 WebSphere Application Server 授权。
    • SAF 角色名是区分大小写的。