管理角色

扩展了 Java™ Platform, Enterprise Edition (Java EE) 基于角色的授权概念,以保护 WebSphere® Application Server 管理子系统。

定义多个管理角色的目的是,提供从基于 Web 的管理控制台或系统管理脚本编制接口执行某些管理功能所需的安全程度。 仅当启用了 管理安全性 时,才会实施授权策略。 下表对管理角色作了描述:

表 1. 管理角色 管理角色
角色 描述
监视员 使用监视员角色的个人或组拥有最少的特权。 监视员可以完成下列任务:
  • 查看 WebSphere Application Server 配置。
  • 查看 Application Server 的当前状态。
配置员 使用配置员角色的个人或组具有监视员特权以及更改 WebSphere Application Server 配置的能力。 配置员可以执行所有日常配置任务。 例如,配置员可以完成下列任务:
  • 创建资源。
  • 映射应用程序服务器。
  • 安装和卸载应用程序。
  • 部署应用程序。
  • 为应用程序指定从用户和组到角色的映射。
  • 为应用程序设置 Java 2 安全许可权。
操作员 使用操作员角色的个人或组拥有监视员特权以及更改运行时状态的能力。 例如,操作员可以完成下列任务:
  • 停止和启动服务器。
  • 在管理控制台中监视服务器状态。
管理员 使用管理员角色的个人或组拥有操作员和配置员特权以及单独授予管理员角色的特权。 例如,管理员可以完成下列任务:
  • 修改服务器用户标识和密码。
  • 配置认证和授权机制。
  • 启用或禁用 管理安全性
  • 启用或禁用 Java 2 安全性。
  • 更改轻量级第三方认证 (LTPA) 密码并生成密钥。
  • 在联合存储库配置中创建、更新或删除用户。
  • 在联合存储库配置中创建、更新或删除组。
  • 定制公共安全互操作性 V2 (CSIv2)、安全认证服务 (SAS) 和安全套接字层 (SSL) 配置。
    重要信息: SAS 仅在版本 6.0.x 和已在 V6.1 单元中联合的先前版本服务器之间受支持。
重要信息: 管理员不能在不具有 adminsecuritymanager 角色的情况下将用户和组映射到管理员角色。
iscadmins 此角色仅适用于管理控制台用户,而不适用于 wsadmin 用户。 被授予此角色的用户拥有管理员特权,能够管理联合存储库中的用户和组。 例如,iscadmins 角色的用户可以完成下列任务:
  • 在联合存储库配置中创建、更新或删除用户。
  • 在联合存储库配置中创建、更新或删除组。
部署员 被授予此角色的用户可以对应用程序执行配置操作和运行时操作。 请参阅 部署者角色 部分以获取更多详细信息。
管理安全管理员 您可以通过 wsadmin 脚本或管理控制台在单元级别对用户和组指定 Admin 安全管理员角色。 通过使用 Admin 安全管理员角色,可以对用户和组指定管理用户角色和管理组角色。 但是,管理员不能对用户和组指定包括 Admin 安全管理员角色在内的管理用户角色和管理组角色。 有关更多详细信息,请参阅 管理安全管理员角色 部分。
审计员 被授予此角色的用户可以查看和修改安全性审计子系统的配置设置。 例如,具有审计员角色的用户可以完成下列任务:
  • 启用和禁用安全性审计子系统。
  • 选择要与事件工厂插件点配合使用的事件工厂实现。
  • 选择并配置服务提供者或发射器。 或两者都将与服务提供者插件点配合使用。
  • 设置审计策略,此策略描述应用程序服务器在遇到与安全性审计子系统相关的错误时的行为。
  • 定义所要审计的安全性事件。
审计员角色包含监视员角色。 这允许审计员查看其余安全性配置,但不允许其更改这些配置。 有关更多详细信息,请参阅 审计员角色 部分。

当启用 管理安全性 时,指定的服务器标识和管理标识 (如果指定) 将自动映射到管理员角色。

被授予适当权限的用户可以使用 WebSphere Application Server 管理控制台对用户和组添加或移除管理角色。 要更改除审计员角色以外的管理用户和管理组角色,您必须使用主管理用户名来登录管理控制台。 只有具有审计员角色的用户才能更改审计员用户和组角色。 最初启用安全性审计时,主管理用户还具有审计员角色,并可以管理所有管理用户和组角色,包括具有审计员角色的管理用户和组角色。 最好的做法是,将一个或多个组(而非特定用户)映射至管理角色,这样更灵活并且更易于管理。

除了映射用户或组以外,还可以将特殊主体集映射至管理角色。 特殊主体集是特定用户类的一般化。 AllAuthenticated 特殊主体集表示对管理角色的访问检查确保发出请求的用户至少已经过认证。 Everyone 特殊主体集表示任何人(无论是否经过认证)都可以执行操作,就象是未启用安全性一样。

部署者角色

被授予部署者角色的用户可以对应用程序执行所有配置和运行时操作。 部署者角色可以是配置员和操作员角色的子集。 但是,被授予部署者角色的用户不能配置或操作任何其他资源(例如服务器和节点)。

在使用细颗粒度的管理安全性时,只有被授予应用程序部署者角色的用户才能配置和操作该应用程序。

单元级配置员可以配置应用程序。 单元级操作员还可以操作(启动和停止)应用程序。 但是,被授予单元级部署者角色的用户还可以对所有应用程序执行配置和操作。

表 2。 部署者角色功能

下表列示使用细化管理安全性时部署者角色的能力。
操作 必需的角色(任何人)
安装应用程序 单元配置员和目标部署者
卸载应用程序 单元配置员、应用程序部署者和目标部署者
列示应用程序 单元监视员和应用程序监视员
编辑、更新和部署应用程序 单元配置员和应用程序部署者
导出应用程序 单元监视员和应用程序监视员
启动或停止应用程序 单元操作员和应用程序部署者
其中:
单元配置员
在单元级别指定配置员角色。
应用程序部署者
指定要管理的应用程序的部署者角色。
目标部署者
指定应用程序所面向的所有服务器或集群的部署者角色。 如果您具有目标部署者角色,那么可以在目标上安装新应用程序。 但是,要编辑或更新已安装的应用程序,您就必须属于已安装应用程序部署者的授权组。

目标部署者无法显式地启动或停止新应用程序。 但是,当目标部署者在目标上启动服务器时,所有将自动启动属性设为的应用程序都会随该服务器一起启动。

如果应用程序部署者不想让目标部署者启动该应用程序,那么建议应用程序部署者将此属性设为 true

Admin 安全管理员角色

Admin 安全管理员角色将管理安全性与其他应用程序分开管理。

缺省情况下,如果指定了 serverId 和 adminID,在单元级授权表中就会对此角色指定他们。 此角色包含监视员角色。 但是,管理员角色未包含 Admin 安全管理员角色。

当使用细颗粒度的管理安全性时,只有在单元级被授予此角色的用户才能对管理授权组进行管理。 但是,在每个管理授权组中被授予此角色的用户可以将用户映射至那些组的管理角色。 以下列表概括了不同级别(例如单元级别和管理授权组级别)的 Admin 安全管理员角色的能力。
表 3。 Admin Security Manager 角色功能

下表列示 Admin 安全管理员角色的能力。
操作 角色
将用户映射至单元级的管理角色 仅该单元的 Admin 安全管理员
将用户映射至授权组的管理角色 仅该授权组的 Admin 安全管理员或者单元的 Admin 安全管理员
管理授权组、创建和删除授权组、对授权组添加资源以及从授权组或列表中移除资源 仅该单元的 Admin 安全管理员

审计员角色

审计员角色将安全性审计与管理安全性和其他应用程序分开管理。

添加审计员角色是为了使审计员的权限与管理员的权限截然不同。 可以将审计员角色授予管理员,以便对其权限进行组合。 最初启用安全性时,给主管理员指定了审计员角色。 如果您所处的情况要求将权限分开,那么管理员可以移除自己的审计员角色并将审计员角色指定给其他用户。

未实现审计员角色的细颗粒度安全性,这导致审计员角色需要监视员角色。 此过程允许审计员查看管理员所管理的面板,但不能进行修改。 审计员拥有查看和修改与安全性审计子系统相关联的面板所需的全部权限。 管理员将具有那些面板的监视员角色,但是,管理员无法修改那些面板。