WebSphere Enterprise Service Bus for z/OS バージョン 6.2.0 オペレーティング・システム: z/OS


ロールとユーザーの割り当てを実装するためのコマンド (SAF 指示)

以下の例を使用して、ロールとユーザーの割り当てを実装するために必要な RACF コマンドを構成できます。

RDEFINE EJBROLE (optionalSecurityDomain).WebClientUser UACC(READ) 
RDEFINE EJBROLE (optionalSecurityDomain).BPEAPIUser UACC(READ) 
RDEFINE EJBROLE (optionalSecurityDomain).BPESystemAdministrator UACC(NONE) 
PERMIT (optionalSecurityDomain).BPESystemAdministrator CLASS(EJBROLE)
ID(WSADMIN) ACCESS(READ)
RDEFINE EJBROLE (optionalSecurityDomain).BPESystemMonitor UACC(NONE) 
PERMIT (optionalSecurityDomain).BPESystemMonitor CLASS(EJBROLE)
ID(WSADMIN) ACCESS(READ)
RDEFINE EJBROLE (optionalSecurityDomain).JMSAPIUser UACC(READ)
APPLDATA(RACFUserIdentity) 
RDEFINE EJBROLE (optionalSecurityDomain).TaskAPIUser UACC(READ) 
RDEFINE EJBROLE (optionalSecurityDomain).TaskSystemAdministrator UACC(NONE) 
PERMIT (optionalSecurityDomain).TaskSystemAdministrator CLASS(EJBROLE)
ID(WSADMIN) ACCESS(READ)
RDEFINE EJBROLE (optionalSecurityDomain).TaskSystemMonitor UACC(NONE) 
PERMIT (optionalSecurityDomain).TaskSystemMonitor CLASS(EJBROLE)
ID(WSADMIN) ACCESS(READ)
RDEFINE EJBROLE (optionalSecurityDomain).EscalationUser UACC(READ)
APPLDATA(RACFUserIdentity) 
RDEFINE EJBROLE (optionalSecurityDomain).CleanupUser UACC(READ)
APPLDATA(RACFUserIdentity) 
RDEFINE EJBROLE (optionalSecurityDomain).Administrator UACC(READ) 
RDEFINE EJBROLE (optionalSecurityDomain).RestServicesUser UACC(READ) 
RDEFINE EJBROLE (optionalSecurityDomain).WBIOperator UACC(READ) 
PERMIT (optionalSecurityDomain).WBIOperator CLASS(EJBROLE)
ID(WSGUEST) ACCESS(READ) 
RDEFINE EJBROLE (optionalSecurityDomain).eventAdministrator UACC(READ) 
RDEFINE EJBROLE (optionalSecurityDomain).eventConsumer UACC(READ) 
RDEFINE EJBROLE (optionalSecurityDomain).eventUpdater UACC(READ) 
RDEFINE EJBROLE (optionalSecurityDomain).eventCreator UACC(READ) 
RDEFINE EJBROLE (optionalSecurityDomain).catalogAdministrator UACC(READ) 
RDEFINE EJBROLE (optionalSecurityDomain).catalogReader UACC(READ)

これらのロールによって保護されているアプリケーションを利用するユーザーは、ロールに対する Read アクセス権限を付与されている必要があります。注意すべき重要な点は、無保護のアプリケーションが WebSphere® Application Server 非認証ユーザー ID (デフォルトでは WSGUEST) の下で実行されることです。このユーザー ID は通常、RESTRICTED オプション付きで定義されるので、無保護のアプリケーションで、上記の J2EE ロールによって保護されたアプリケーション機能、例えば、Performing Installation Verification for WPS on z/OS V6.1 から入手可能な WebSphere Enterprise Service Bus IVP を使用する場合、WSGUEST には、ロールの EVERYONE ユーザー・マッピングに相当するものを実装する関連プロファイルに対する読み取りアクセス権限が与えられていなければなりません。

注: SAF ベースの許可を使用する場合、ロールへのユーザーの割り当てには微妙な点があります。everyone アクセスをエミュレートするには、読み取りの UACC 付きで EJBROLE プロファイルを定義する必要があり、WebSphere Application Server 非認証ユーザー ID (デフォルト WSGUEST) に Read アクセス権限が付与されていなければなりません。all 認証アクセスをエミュレートするには、Read の UACC 付きで EJBROLE プロファイルが定義されていなければなりません。詳細については、WebSphere Application Server インフォメーション・センター: System Authorization Facility (SAF) のオペレーティング・システムおよびアプリケーション・レベルに関する考慮事項を参照してください。

securityIdentity ロールまたは RunAs ロールを使用するアプリケーションも、SAF セキュリティー製品用の特別な構成を必要とします。RACF では、これは EJBROLE APPLDATA パラメーターを使用して RACF ユーザー ID (上記の例では RACFUserIdentity) をロールに割り当てることによって行われます。詳細については、WebSphere Application Serverインフォメーション・センター: System Authorization Facility (SAF) 代行を参照してください。


concept 概念トピック

ご利用条件 | フィードバック


タイムスタンプ・アイコン 最終更新: 2010/07/05


http://publib.boulder.ibm.com/infocenter/dmndhelp/v6r2mx/topic//com.ibm.websphere.wesb620.zseries.doc/doc/csec_commandsrolesassign.html
Copyright IBM Corporation 2005, 2010. All Rights Reserved.
このインフォメーション・センターでは Eclipse テクノロジーが採用されています (http://www.eclipse.org)。