WebSphere Application Server Network Deployment for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

詳細な管理セキュリティー

WebSphere Application Server バージョン 6.1 より前のリリースでは、 管理役割を付与されたユーザーが、セルの下のすべてのリソース・インスタンスを管理できました。 現在、WebSphere Application Server では、設定がより詳細になっています。 つまり、それぞれのユーザーに、リソース・インスタンスごとにアクセス権が付与されます。

例えば、ユーザーには、リソースの特定のインスタンスのみ (アプリケーション、 アプリケーション・サーバーまたはノード) へのコンフィギュレーター・アクセスが付与されます。 ユーザーは、割り当てられたリソース以外の、ほかのどのリソースへもアクセスできません。 管理役割は現在、セル全体ではなく、リソース・インスタンスごとになっています。 ただし、後方互換性のためにセル全体の許可グループがあります。 セル全体の許可グループ内の管理役割に割り当てられたユーザーは、 これまでどおり、セル内のすべてのリソースにアクセスできます。

このインスタンス・ベースのセキュリティー、つまり詳細なセキュリティーを実現するには、 同じ特権を必要とするリソースを、管理許可グループ または許可グループ と呼ばれるグループに入れます。 ユーザーに必要な管理役割を割り当てることによって、許可グループへのアクセス権を付与できます。

詳細な管理セキュリティーは、単一サーバー環境でも使用できます。 単一サーバー内の各種アプリケーションをグループ化して、さまざまな許可グループに入れることができます。 したがって、アプリケーションが異なる場合は、許可制約も異なります。 サーバー自体を、許可グループの一部にすることはできないので注意してください。

詳細な管理セキュリティーは、wsadmin を使用してのみ可能になります。ただし、wsadmin スクリプトおよび管理コンソールを使用して、セル・レベルでユーザーおよびグループを adminsecuritymanager 役割に割り当てることができます。adminsecuritymanager 役割を使用して、ユーザーおよびグループを、管理ユーザー役割および管理グループ役割に割り当てることができます。しかし、管理者は、ユーザーおよびグループを、adminsecuritymanager 役割を含む管理ユーザー役割および管理グループ役割に割り当てることはできません。 詳しくは、管理の役割 を参照してください。

詳細な管理セキュリティーが使用されている場合、この役割を付与されたユーザーは、許可グループ を管理することができます。すべての管理役割の詳細な説明については、 管理役割およびネーミング・サービスの許可 を参照してください。

許可グループ作成、許可グループへのリソースのマップ、および許可グループ内の管理役割へのユーザーの割り当てに使用できる、 管理セキュリティー・コマンドがいくつかあります。 以下にいくつかの例を挙げます。

許可グループに追加できるリソース

許可グループに追加できるのは、以下のタイプのリソース・インスタンスだけです。

リソース・インスタンスが前述のリストにあるタイプのいずれでもない場合は、 その親リソースが使用されます。

1 つのリソース・インスタンスは、1 つの許可グループにのみ属します。 ただし、リソース・インスタンス間には包含関係があります。 親リソースが子リソース・インスタンスの許可グループとは異なる許可グループに属している場合、 子リソース・インスタンスは、暗黙的に複数の許可グループに属すことになります。 同じリソース・インスタンスを複数の許可グループに追加することはできません。

次の図は、リソース・インスタンス間の包含関係を示しています。

包含の図

リソース・インスタンスについてのアクションに必要な特権は、以下の 2 つの要因によって決まります。
以下の表に、さまざまな管理リソース・インスタンスへのアクセスに必要な特権を示します。
リソース アクション 必要な役割
サーバー 開始、停止、ランタイム操作 サーバー・オペレーター、ノード・オペレーター、セル・オペレーター
サーバー 新規作成、削除 ノード・コンフィギュレーター、セル・コンフィギュレーター
サーバー 構成の編集 サーバー・コンフィギュレーター、ノード・コンフィギュレーター、セル・コンフィギュレーター
サーバー 構成、ランタイムの状況の表示 サーバー・モニター、ノード・モニター、セル・モニター
ノード 再始動、停止、同期 ノード・オペレーター、セル・オペレーター
ノード 追加、削除 セル・コンフィギュレーター
ノード 構成の編集 ノード・コンフィギュレーター、セル・コンフィギュレーター
ノード 構成、ランタイムの状況の表示 ノード・モニター、セル・モニター
クラスター 開始、停止、ランタイム操作 クラスター・オペレーター、セル・オペレーター
クラスター 新規作成、削除 セル・コンフィギュレーター
クラスター 構成の編集 クラスター・コンフィギュレーター、セル・コンフィギュレーター
クラスター 構成、ランタイムの状況の表示 クラスター・モニター、セル・モニター
クラスター・メンバー 開始、停止、ランタイム操作 サーバー・オペレーター、クラスター・オペレーター、ノード・オペレーター、セル・オペレーター
クラスター・メンバー 新規作成、削除 ノード・コンフィギュレーター、セル・コンフィギュレーター
クラスター・メンバー 構成の編集 サーバー・コンフィギュレーター、クラスター・コンフィギュレーター、ノード・コンフィギュレーター、セル・コンフィギュレーター
クラスター・メンバー 構成、ランタイムの状況の表示 サーバー・モニター、クラスター・モニター、ノード・モニター、セル・モニター
アプリケーション すべての操作 管理の役割 の 『デプロイヤーの役割 (Deployer roles)』のセクションを参照してください。
ノード、クラスター 追加、削除 セル・コンフィギュレーター

サーバー・オペレーター 役割は、サーバー・インスタンスが一部を構成する許可グループのオペレーター役割です。 同様に、ノード・オペレーター 役割は、ノード・インスタンスが一部を構成する許可グループのオペレーター役割です。

詳細な管理セキュリティーを使用できるのは、wsadmin ユーザーだけです。 管理コンソール・ユーザーはこれを使用できません。 管理コンソールにログインするには、ユーザーに最低限、セル・レベルでのモニター役割が付与されていなければなりません。 しかし、wsadmin を使用してログインする場合は、 ユーザーに、許可グループに対するモニター役割が付与されている必要があります。

セル・レベルの管理者、adminsecuritymanager、デプロイヤー、オペレーター、モニター、またはコンフィギュレーターとして、 管理コンソールにログインすると、 その役割で実行が許可されているすべての操作を実行できます。 しかし、ユーザーに特定の許可グループのみへのアクセス権を与える場合や、 セル以外の許可グループへの許可を与える場合には、wsadmin を使用する必要があります。




関連概念
異機種および単一サーバー環境における詳細な管理セキュリティー
管理役割およびネーミング・サービスの許可
役割ベースの許可
関連資料
管理の役割
例: きめ細かいセキュリティーの使用
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 8:28:52 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.iseries.doc/info/iseriesnd/ae/csec_fineg_admsec.html