WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御

コンソール・ユーザーを追加することと、コンソール・ユーザーにセルを許可することには、ユーザー・レジストリーと許可設定の調整が伴います。 ユーザー・レジストリーのカスタム・プロパティーにより、コンソール・ユーザーに対する許可の形式が決まります。 使用される許可の形式に関係なく、WebSphere 管理者の識別用 MVS ユーザー ID では、 セキュリティーが最初に有効になると、すべての管理コンソール機能にアクセスでき、 管理スクリプト・ツールを使用することができるようになります。

このタスクについて

ローカル以外のオペレーティング・システムのレジストリーおよび SAF 許可が使用されている場合は、ID マッピングを使用して WebSphere Application Server ID を SAF ユーザー ID にマップする必要があります。コンソールの役割を SAF 許可によって管理するには、セルに対して SAF 許可をオンにする必要があります。SAF 許可を使用可能にするには、 「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」>「外部許可プロバイダー」とクリックして、次に「System Authorization Facility (SAF) の許可」をクリックします。 このオプションを使用可能にすると、SAF EJBROLE プロファイルはコンソール・ユーザーの許可に使用されます。 このオプションが使用可能になっていない場合には、コンソール・ユーザーおよびグループを許可するために、 デフォルトで管理コンソールが使用されます。

選択されているレジストリーまたは許可の設定のタイプにかかわらず、構成プロセスは WebSphere 構成グループ (すべての WebSphere サーバー ID が許可されている) および WebSphere 管理者 ID の MVS ユーザー ID を許可して、 次のタスクを実行します。
  • すべての管理コンソール機能にアクセスします
  • 最初にセキュリティーが使用可能になったとき、管理スクリプト・ツールを使用します
z/OS で SAF 許可が選択されている場合、サーバーの特別なサブジェクトは管理ユーザー ID として使用されません。(カスタマイズ・ダイアログは、許可に使用できる管理グループのメンバーとなる、管理ユーザーを生成することに注意してください。)

SAF 許可を使用した管理機能へのアクセスの制御

システムのカスタマイズ中に SAF 許可が選択された場合、すべての管理役割の管理 EJBROLE プロファイルは、Configuration Dialog を使用して生成された RACF ジョブにより定義されます。 その後、SAF 許可が選択された場合、以下の RACF コマンド (または、同等のセキュリティー・サーバー・コマンド) を発行して、サーバーおよび管理者が WebSphere Application Server を管理できるようにします。
RDEFINE EJBROLE (optionalSecurityDomainName.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)monitor       UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)configurator  UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)operator      UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)deployer      UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)adminsecuritymanager      UACC(NONE)

PERMIT (optionalSecurityDomainName.)administrator CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)monitor       CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)configurator  CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)operator      CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)deployer      CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)adminsecuritymanager  CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
追加ユーザーが管理機能へのアクセスを必要とする場合、次の RACF コマンドを発行することによって、ユーザーを上記の任意の役割に許可することができます。
PERMIT (optionalSecurityDomainName.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
次のように、構成グループに接続することによって、すべての管理機能にユーザー・アクセスを付与することができます。
CONNECT  mvsid  GROUP(configGroup)

WebSphere 許可を使用した管理機能へのアクセスの制御:

管理の役割にユーザーを割り当てるには、以下のステップを行います。

プロシージャー

  1. 管理コンソールで、「システム管理」>「コンソール設定」を展開します。
  2. Console Users」>「追加」または「Console Groups」>「追加」とクリックします。
  3. ユーザー ID を必要に応じて追加します。 コンソールのユーザーの役割について詳しくは、 管理役割およびネーミング・サービスの許可 を参照してください。
    注:
    • SAF 許可が有効になっている場合、管理コンソールで指定された WebSphere Application Server 許可は無視されます。
    • SAF の役割名は、大/小文字の区別があります。



関連概念
管理役割およびネーミング・サービスの許可
関連資料
制御の要約
セキュリティー・カスタマイズ・ダイアログの設定
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/tsec_addconsole.html