コンソール・ユーザーを追加することと、コンソール・ユーザーにセルを許可することには、ユーザー・レジストリーと許可設定の調整が伴います。 ユーザー・レジストリーのカスタム・プロパティーにより、コンソール・ユーザーに対する許可の形式が決まります。 使用される許可の形式に関係なく、WebSphere 管理者の識別用 MVS ユーザー ID では、 セキュリティーが最初に有効になると、すべての管理コンソール機能にアクセスでき、 管理スクリプト・ツールを使用することができるようになります。
ユーザー・レジストリーのカスタム・プロパティー com.ibm.security.SAF.authorization が true に設定されている場合は、 System Authorization Facility (SAF) EJBROLE プロファイルがコンソール・ユーザーの許可に使用されます。 ローカル以外のオペレーティング・システムのレジストリーおよび SAF 許可が使用されている場合は、ID マッピングを使用して WebSphere Application Server ID を SAF ユーザー ID にマップする必要があります。com.ibm.security.SAF.authorization が false に設定されている場合は、コンソール・ユーザーおよびグループの許可に管理コンソールが使用されます。
SAF 許可を使用した管理機能へのアクセスの制御
RDEFINE EJBROLE (optionalSecurityDomainName.)administrator UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)monitor UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)configurator UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)operator UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)deployer UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)adminsecuritymanager UACC(NONE) PERMIT (optionalSecurityDomainName.)administrator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSecurityDomainName.)monitor CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSecurityDomainName.)configurator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSecurityDomainName.)operator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSecurityDomainName.)deployer CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSecurityDomainName.)adminsecuritymanager CLASS(EJBROLE) ID(configGroup) ACCESS(READ)追加ユーザーが管理機能へのアクセスを必要とする場合、次の RACF コマンドを発行することによって、ユーザーを上記の任意の役割に許可することができます。
PERMIT (optionalSecurityDomainName.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
CONNECT mvsid GROUP(configGroup)
WebSphere 許可を使用した管理機能へのアクセスの制御:
管理の役割にユーザーを割り当てるには、以下のステップを行います。