WebSphere Application Server - Express, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

管理の役割

Java 2 Platform, Enterprise Edition (J2EE) 役割ベースの許可の概念は、WebSphere Application Server の管理サブシステムを保護するように拡張されています。

いくつかの管理の役割が定義されており、Web ベースの管理コンソールまたはシステム管理スクリプト・インターフェースのいずれかから、 特定の管理機能を実行するために必要なさまざまなレベルの権限が提供されています。 許可ポリシーは、管理セキュリティー が使用可能になっている場合にのみ有効です。次の表は、管理の役割についての説明です。

管理の役割
役割 説明
モニター モニター役割を使用する個々のユーザーまたはグループの持つ特権は最少となります。モニターは、以下のタスクを実行できます。
  • WebSphere Application Server の構成を表示します。
  • Application Server の現在の状態を表示します。
コンフィギュレーター コンフィギュレーター役割を使用する個々のユーザーまたはグループは、モニター特権に加え、WebSphere Application Server 構成を変更できる権限を持ちます。コンフィギュレーターは日常的な構成タスクをすべて行うことができます。例えば、コンフィギュレーターは、以下のタスクを実行できます。
  • リソースを作成します。
  • アプリケーション・サーバーをマップします。
  • アプリケーションをインストールおよびアンインストールします。
  • アプリケーションをデプロイします。
  • アプリケーションに、ユーザーおよびグループから役割へのマッピングを割り当てます。
  • アプリケーションの Java 2 セキュリティー許可をセットアップします。
  • Common Secure Interoperability バージョン 2 (CSIv2)、Security Authentication Service (SAS)、および Secure Sockets Layer (SSL) の構成をカスタマイズします。
    重要: SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
オペレーター オペレーター役割を使用する個々のユーザーまたはグループは、モニター特権に加え、ランタイムの状態を変更できる権限を持ちます。例えば、オペレーターは、以下のタスクを実行できます。
  • サーバーを停止および開始します。
  • 管理コンソールでサーバーの状態をモニターします。
管理者 管理者役割を使用する個々のユーザーまたはグループは、オペレーター特権とコンフィギュレーター特権に加え、管理者役割にのみ与えられる追加特権を持ちます。例えば、管理者は、以下のタスクを実行できます。
  • サーバーのユーザー ID およびパスワードを変更します。
  • 認証メカニズムおよび許可メカニズムを構成します。
  • 管理セキュリティー セキュリティーを使用可能または使用不可にします。
  • Java 2 セキュリティーを使用可能または使用不可にします。
  • Lightweight Third Party Authentication (LTPA) のパスワード変更、および鍵の生成を行います。
  • 統合リポジトリー構成のユーザーを作成、更新、または削除します。
  • 統合リポジトリー構成のグループを作成、更新、または削除します。
注: 管理者は、ユーザーおよびグループを管理者の役割にマップできません。
iscadmins この役割は、管理コンソールのユーザーのみ使用可能です。 wsadmin ユーザーは使用できません。この役割を付与されたユーザーには、統合リポジトリー内でユーザーおよびグループを管理する管理者特権が付与されます。 例えば、iscadmins の役割のユーザーは、以下のタスクを実行できます。
  • 統合リポジトリー構成のユーザーを作成、更新、または削除します。
  • 統合リポジトリー構成のグループを作成、更新、または削除します。
デプロイヤー この役割を付与されたユーザーは、 アプリケーション対し、構成操作、および実行時の操作の両方を実行できます。詳しくは、デプロイヤー役割 セクションを参照してください。
Adminsecuritymanager wsadmin のみを使用した、きめ細かい管理セキュリティーが使用可能です。 ただし、wsadmin スクリプトおよび管理コンソールを使用して、ユーザーおよびグループをセル・レベルの adminsecuritymanager 役割に割り当てることができます。 adminsecuritymanager 役割を使用すると、ユーザーおよびグループを管理ユーザー役割および管理グループ役割に割り当てることができます。 ただし、管理者は、ユーザーおよびグループを、adminsecuritymanager を含む管理ユーザー役割および管理グループ役割に割り当てることはできません。 詳しくは、Adminsecuritymanager 役割 セクションを参照してください。

管理セキュリティーを使用可能にする際に指定されたサーバー ID および管理 ID (指定された場合) は、自動的に管理者役割にマップされます。

ユーザーおよびはグループは、 WebSphere Application Server 管理コンソールを使用して、 いつでも管理の役割に追加したり、管理の役割から除去したりすることができます。 管理ユーザー役割および管理グループ役割を変更するには、1 次管理ユーザー名を使用して管理コンソールにログオンする必要があります。 ベスト・プラクティスは、 特定のユーザーではなくグループ (複数も可) を、管理の役割にマップする ことです。これは、グループを管理する方が柔軟性があり、容易であるた めです。

ユーザーまたはグループのマッピングに加えて、 特別な対象も管理の役割にマップすることができます。 特別な対象とは、特定クラスのユーザーを一般化したものです。特別な対象が AllAuthenticated である場合、 管理の役割のアクセス検査によって、要求を出しているユーザーが少なくとも認証済みであることを意味します。 特別な対象が Everyone である場合、認証されているか否かにかかわらず、 セキュリティーが使用可能になっていない場合と同様に、すべてのユーザーがアクションを実行できることを意味します。

デプロイヤー役割

デプロイヤーの役割を付与されたユーザーは、アプリケーションの構成、および実行時の操作のすべてを実行できます。デプロイヤーの役割は、コンフィギュレーターおよびオペレーターの両方の役割の一部を含みます。ただし、デプロイヤーの役割を付与された ユーザーは、他のリソース (サーバー、ノード) を構成、または操作することはできません。

非常に細かな管理セキュリティーが使用されている場合、 アプリケーションの構成、および操作をできるのは、そのアプリケーションのデプロイヤーの役割を付与されたユーザーのみです。

セル・レベルのコンフィギュレーターは、 アプリケーションを構成 (インストール、編集、デプロイ、およびアンインストール) できます。また、 セル・レベルのオペレーターは、アプリケーションを操作 (開始および停止) できます。 ただし、セル・レベルでデプロイヤーの役割を付与された ユーザーも、すべてのアプリケーションの構成および操作を行うことができます。

次の表には、非常に細かな管理セキュリティーが使用されている場合のデプロイヤーの役割の機能を示します。
オペレーション 必要な役割 (いずれか 1 つ)
アプリケーションを インストール セル・コンフィギュレーター、ターゲット・デプロイヤー
アプリケーションをアンインストール セル・コンフィギュレーター、アプリケーション・デプロイヤー
アプリケーションをリスト セル・モニター、アプリケーション・モニター
アプリケーションを編集、更新、再デプロイ セル・コンフィギュレーター、アプリケーション・デプロイヤー
アプリケーションをエクスポート セル・モニター、アプリケーション・モニター
アプリケーションを開始、停止 セル・オペレーター、アプリケーション・デプロイヤー
各部の意味は、次のとおりです。
セル・コンフィギュレーター
セル・レベルでのコンフィギュレーターの役割です。
アプリケーション・デプロイヤー
管理されるアプリケーションに対するデプロイヤーの役割です。
ターゲット・デプロイヤー
アプリケーションがターゲットとなっているすべてのサーバー、またはクラスターに対するデプロイヤーの役割です。 ターゲット・デプロイヤーの役割を付与されている場合は、ターゲット上に新しいアプリケーションをインストールできます。 ただし、インストールされたアプリケーションを編集または更新する場合は、インストールされたアプリケーション・デプロイヤーの許可グループに含まれている必要があります。

ターゲット・デプロイヤーは、新しいアプリケーションを明示的に開始または停止することができません。 ただし、ターゲット・デプロイヤーがターゲット上でサーバーを開始した場合、自動開始属性が yes に設定されているすべてのアプリケーションが、サーバーの開始と同時に開始されます。

アプリケーション・デプロイヤーは、ターゲット・デプロイヤーによってアプリケーションが開始されないようにする場合、この属性を true に設定することをお勧めします。

Adminsecuritymanager 役割

AdminSecurityManager 役割では、管理セキュリティーの管理と、それ以外のアプリケーションの管理が分離されます。

デフォルトで、serverId および adminID (指定された場合) は、セル・レベルの許可テーブルでこの役割に割り当てられます。 この役割は、モニターの役割を含みます。ただし、管理者の役割は、 adminSecurityManager 役割を含みません。

非常に細かな管理セキュリティーが使用されている場合、 セル・レベルでこの役割を付与されたユーザーのみが、 管理許可グループを管理できます。ただし、各管理許可グループでこの役割を 付与されたユーザーは、ユーザーをそのグループの管理の役割にマップすることができます。 次のリストに、adminSecurityManager 役割の機能のレベル (セルおよび管理許可グループ) による違いを示します。
アクション 実行できるユーザー
セル・レベルの管理の役割にユーザーをマップする セルの adminsecuritymanager のみ
特定の許可グループの管理の役割にユーザーをマップする その許可グループの adminSecurityManager、またはセルの adminSecurityManager のみ
許可グループを管理する (作成、削除、許可グループへのリソースの追加、 または許可グループやリストからのリソースの除去) セルの adminsecuritymanager のみ



関連概念
許可テクノロジー
関連タスク
ネーミング役割へのユーザーの割り当て
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 6:25:35 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/rsec_adminroles.html