WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

詳細な管理許可に使用する System Authorization Facility

詳細な管理セキュリティーが使用されている場合、管理リソースは複数の許可グループに分割されます。 許可グループごとに、独自の許可テーブルが含まれています。 このテーブルは、その許可グループに対する、ユーザーから管理者への役割マッピングを表しています。

すべての許可グループに対して同一の管理役割のセットが存在します。 しかし、管理役割にマップされるユーザーは、さまざまです。 これまでどおり、セル内のすべてのリソースへのアクセスを表すセル・レベルの管理役割があります。

Resource Access Control Facility (RACF) または System Authorization Facility (SAF) を使用して、 ユーザーから役割へのマッピングを構成する場合、以前に定義されたセル・レベルの管理者役割用の EJBROLE プロファイルとともに、 各許可グループの役割ごとに 1 つの EJBROLE プロファイルを定義する必要があります。 管理許可用の RACF EJBROLE クラスで定義されるプロファイルは 6 つあります。 管理者、コンフィギュレーター、モニター、オペレーター、デプロイヤーおよび adminsecuritymanager です。

許可グループは、WebSphere Application Server 構成ツール (wsadmin) を使用して作成できます。 許可グループを作成したら、wsadmin を使用して許可グループ内のユーザーから役割へのマッピングを行うこともできます。 しかし、RACF を使用してユーザーから管理役割へのマッピングを保管した場合、 RACF 管理者は、追加のステップを実行して、ユーザーから役割へのマッピングを行う必要があります。 新規に作成された許可グループ内の管理者役割ごとに、EJBROLE プロファイルを定義する必要があります。 その後で、ユーザーに、新規に作成された EJBROLE プロファイルへのアクセス権を付与する必要があります。

例えば、wsadmin を使用して、以下の許可グループ、 およびユーザーから役割へのマッピングがすでに作成されている場合は、次のようにします。
group1 administrator=user1 コンフィギュレーター オペレーター モニター deployer=user3 adminsecuritymanager
group2 administrator=user2 コンフィギュレーター operator=user4 モニター デプロイヤー (deployer) adminsecuritymanager
次に、次のスクリプトを使用して、同じ情報を RACF に反映できます。
/* activate EJBROLE class */
SETROPTS CLASSACT(EJBROLE)

/* Defining EJBROLE profiles for admin roles in group1 and group2 */

/* define the roles in RACF for group1 */
RDEFINE EJBROLE domainName.group1.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group1.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group1.operator UACC(NONE)
RDEFINE EJBROLE domainName.group1.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group1.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group1.adminsecuritymanager UACC(NONE)

/* define the roles in RACF for group2 */
RDEFINE EJBROLE domainName.group2.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group2.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group2.operator UACC(NONE)
RDEFINE EJBROLE domainName.group2.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group2.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group2.adminsecuritymanager UACC(NONE)

/* Mapping users to roles in group1 and group2 */

/* map user1 to administrator role in group1 */
PERMIT domainName.group1.administrator CLASS(EJBROLE)  ID(USER1) ACCESS(READ)
/* map user3 to deployer role in group1 */
PERMIT domainName.group1.deployer CLASS(EJBROLE)  ID(USER3) ACCESS(READ)

/* map user2 to administrator role in group2 */
PERMIT domainName.group2.administrator CLASS(EJBROLE)  ID(USER2) ACCESS(READ)
/* map user4 to operator role in group2 */
PERMIT domainName.group2.operator CLASS(EJBROLE)  ID(USER4) ACCESS(READ)


/* refresh the EJBROLE class in RACF */
SETROPTS RACLIST(EJBROLE) REFRESH"     

ここで、domainName は、WebSphere Application Server セルのセキュリティー・ドメインを表します。

各許可グループ内のすべての役割の EJBROLE プロファイルは、 ユーザーがその役割にマップされているかどうかにかかわらず、作成する必要があることに注意してください。




関連概念
詳細な管理セキュリティー
異機種および単一サーバー環境における詳細な管理セキュリティー
役割ベースの許可
関連資料
管理の役割
例: きめ細かいセキュリティーの使用
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/csec_fineg_saf.html