Java 2 Platform, Enterprise Edition (J2EE) 役割ベースの許可の概念は、WebSphere Application Server の管理サブシステムを保護するように拡張されています。
いくつかの管理の役割が定義されており、Web ベースの管理コンソールまたはシステム管理スクリプト・インターフェースのいずれかから、 特定の管理機能を実行するために必要なさまざまなレベルの権限が提供されています。 許可ポリシーは、管理セキュリティー が使用可能になっている場合にのみ有効です。次の表は、管理の役割についての説明です。
役割 | 説明 |
モニター | モニター役割を使用する個々のユーザーまたはグループの持つ特権は最少となります。モニターは、以下のタスクを実行できます。
|
コンフィギュレーター | コンフィギュレーター役割を使用する個々のユーザーまたはグループは、モニター特権に加え、WebSphere Application Server 構成を変更できる権限を持ちます。コンフィギュレーターは日常的な構成タスクをすべて行うことができます。例えば、コンフィギュレーターは、以下のタスクを実行できます。
|
オペレーター | オペレーター役割を使用する個々のユーザーまたはグループは、モニター特権に加え、ランタイムの状態を変更できる権限を持ちます。例えば、オペレーターは、以下のタスクを実行できます。
|
管理者 | 管理者役割を使用する個々のユーザーまたはグループは、オペレーター特権とコンフィギュレーター特権に加え、管理者役割にのみ与えられる追加特権を持ちます。例えば、管理者は、以下のタスクを実行できます。
注: 管理者は、ユーザーおよびグループを管理者の役割にマップできません。
|
iscadmins | この役割は、管理コンソールのユーザーのみ使用可能です。
wsadmin ユーザーは使用できません。この役割を付与されたユーザーには、統合リポジトリー内でユーザーおよびグループを管理する管理者特権が付与されます。
例えば、iscadmins の役割のユーザーは、以下のタスクを実行できます。
|
デプロイヤー | この役割を付与されたユーザーは、 アプリケーション対し、構成操作、および実行時の操作の両方を実行できます。詳しくは、デプロイヤー役割 セクションを参照してください。 |
Adminsecuritymanager | wsadmin のみを使用した、きめ細かい管理セキュリティーが使用可能です。 ただし、wsadmin スクリプトおよび管理コンソールを使用して、ユーザーおよびグループをセル・レベルの adminsecuritymanager 役割に割り当てることができます。 adminsecuritymanager 役割を使用すると、ユーザーおよびグループを管理ユーザー役割および管理グループ役割に割り当てることができます。 ただし、管理者は、ユーザーおよびグループを、adminsecuritymanager を含む管理ユーザー役割および管理グループ役割に割り当てることはできません。 詳しくは、Adminsecuritymanager 役割 セクションを参照してください。 |
管理セキュリティーを使用可能にする際に指定されたサーバー ID および管理 ID (指定された場合) は、自動的に管理者役割にマップされます。
ユーザーおよびはグループは、 WebSphere Application Server 管理コンソールを使用して、 いつでも管理の役割に追加したり、管理の役割から除去したりすることができます。 管理ユーザー役割および管理グループ役割を変更するには、1 次管理ユーザー名を使用して管理コンソールにログオンする必要があります。 ベスト・プラクティスは、 特定のユーザーではなくグループ (複数も可) を、管理の役割にマップする ことです。これは、グループを管理する方が柔軟性があり、容易であるた めです。
ユーザーまたはグループのマッピングに加えて、 特別な対象も管理の役割にマップすることができます。 特別な対象とは、特定クラスのユーザーを一般化したものです。特別な対象が AllAuthenticated である場合、 管理の役割のアクセス検査によって、要求を出しているユーザーが少なくとも認証済みであることを意味します。 特別な対象が Everyone である場合、認証されているか否かにかかわらず、 セキュリティーが使用可能になっていない場合と同様に、すべてのユーザーがアクションを実行できることを意味します。
デプロイヤーの役割を付与されたユーザーは、アプリケーションの構成、および実行時の操作のすべてを実行できます。デプロイヤーの役割は、コンフィギュレーターおよびオペレーターの両方の役割の一部を含みます。ただし、デプロイヤーの役割を付与された ユーザーは、他のリソース (サーバー、ノード) を構成、または操作することはできません。
非常に細かな管理セキュリティーが使用されている場合、 アプリケーションの構成、および操作をできるのは、そのアプリケーションのデプロイヤーの役割を付与されたユーザーのみです。
セル・レベルのコンフィギュレーターは、 アプリケーションを構成 (インストール、編集、デプロイ、およびアンインストール) できます。また、 セル・レベルのオペレーターは、アプリケーションを操作 (開始および停止) できます。 ただし、セル・レベルでデプロイヤーの役割を付与された ユーザーも、すべてのアプリケーションの構成および操作を行うことができます。
オペレーション | 必要な役割 (いずれか 1 つ) |
---|---|
アプリケーションを インストール | セル・コンフィギュレーター、ターゲット・デプロイヤー |
アプリケーションをアンインストール | セル・コンフィギュレーター、アプリケーション・デプロイヤー |
アプリケーションをリスト | セル・モニター、アプリケーション・モニター |
アプリケーションを編集、更新、再デプロイ | セル・コンフィギュレーター、アプリケーション・デプロイヤー |
アプリケーションをエクスポート | セル・モニター、アプリケーション・モニター |
アプリケーションを開始、停止 | セル・オペレーター、アプリケーション・デプロイヤー |
ターゲット・デプロイヤーは、新しいアプリケーションを明示的に開始または停止することができません。 ただし、ターゲット・デプロイヤーがターゲット上でサーバーを開始した場合、自動開始属性が yes に設定されているすべてのアプリケーションが、サーバーの開始と同時に開始されます。
アプリケーション・デプロイヤーは、ターゲット・デプロイヤーによってアプリケーションが開始されないようにする場合、この属性を true に設定することをお勧めします。
AdminSecurityManager 役割では、管理セキュリティーの管理と、それ以外のアプリケーションの管理が分離されます。
デフォルトで、serverId および adminID (指定された場合) は、セル・レベルの許可テーブルでこの役割に割り当てられます。 この役割は、モニターの役割を含みます。ただし、管理者の役割は、 adminSecurityManager 役割を含みません。
アクション | 実行できるユーザー |
---|---|
セル・レベルの管理の役割にユーザーをマップする | セルの adminsecuritymanager のみ |
特定の許可グループの管理の役割にユーザーをマップする | その許可グループの adminSecurityManager、またはセルの adminSecurityManager のみ |
許可グループを管理する (作成、削除、許可グループへのリソースの追加、 または許可グループやリストからのリソースの除去) | セルの adminsecuritymanager のみ |