ユーザーおよびグループを管理者の役割へ割り当て、
WebSphere Application Server の管理機能が実行可能なユーザーを識別できます。
始める前に
管理役割により、WebSphere Application Server の管理機能へのアクセスを制御できます。
管理の役割
にあるこれらの役割の説明を参照してください。
- System Authorization Facility
(SAF) 許可を使用した管理役割へのアクセスの制御: com.ibm.security.SAF.authorization を true に設定すると、管理役割へのアクセス制御に、SAF EJBROLE プロファイルが使用されます。
- Customization Dialog で、
セキュリティー・ドメイン・セットアップ時に「Use SAF EJBROLE profiles to enforce Java 2 Platform, Enterprise Edition (J2EE) roles」を選択した場合、カスタマイズ・ジョブによって次の管理役割が定義されます。
セキュリティー・ドメイン・セットアップ時に、
セキュリティー・ドメイン名が指定される場合があります。また、configGroup は選択した WebSphere
Application Server 構成グループ名を表します。SAF 役割名では、大/小文字が区別されます。
RDEFINE EJBROLE (optionalSecurityDomainName.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)monitor UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)configurator UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)operator UACC(NONE)
PERMIT (optionalSecurityDomainName.)administrator CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)monitor CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)configurator CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)operator CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
- 将来 SAF 許可を使用することを決定した場合は、適切な WebSphere Application Server 操作を使用可能にするため、上記の Resource Access Control Facility (RACF) コマンドを実行する必要があります。
次のように、構成グループに接続することによって、すべての管理機能にユーザー・アクセスを付与することができます。
CONNECT mvsid GROUP(configGroup)
- 次の RACF コマンドを発行して、
個々のユーザーに特定の役割を割り当てることもできます。
PERMIT (optionalSecurityDomainName.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
- SAF EJBROLE の変更を有効にする場合、
サーバーを再始動する必要はありません。ただし、SAF が変更されたら、
次の RACF コマンド (またはセキュリティー・システムの同等のコマンド) を発行して、
セキュリティー・テーブルを更新する必要があります。
SETROPTS RACLIST(EJBROLE) REFRESH
- WebSphere 許可を使用した管理役割へのアクセスの制御: com.ibm.security.SAF.authorization を false に設定すると、
管理役割へのアクセス制御に、WebSphere Application Server 許可と管理コンソールが使用されます。
プロシージャー
- 「ユーザーおよびグループ」をクリックします。「Administrative User Roles」または「Administrative Group Roles」のいずれかをクリックします。
- ユーザーまたはグループを追加するには、「Console users」または「Console groups」パネルで「追加」をクリックします。
- 新規の管理者ユーザーを追加するために、「ユーザー」フィールドにユーザー ID を入力し、
「管理者」を強調表示して、「OK」をクリックします。検証エラーが発生しない場合は、指定したユーザーが、
割り当てられたセキュリティー役割とともに表示されます。
- 新規の管理グループを追加するには、「Specify group」フィールドにグループ名を入力するか、
「特別な対象」メニューから EVERYONE または ALL AUTHENTICATED を選択し、「管理者」を強調表示にして「OK」をクリックします。妥当性検査エラーが発生しなければ、指定したグループまたは特別な対象が、割り当てられたセキュリティー役割と共に表示されます。
- ユーザーまたはグループの割り当てを除去するには、「Console User」または「Console Group」パネルで「除去」をクリックします。「Console Users」または「Console Groups」パネル
で、除去するユーザーまたはグループのチェック・ボックスを選択してから、「OK」をクリックします。
- ユーザーまたはグループのセットの表示を管理するには、
「User Roles」または「Group Roles」のパネルで、
「フィルター機能を表示」をクリックします。
「検索項目」ボックスに、値を入力して「実行」をクリックします。
例えば、user* は、user という接頭部を持つユーザーのみを表示します。
- 変更が完了したら、「保管」をクリックしてマッピングを保管します。
- アプリケーション・サーバーを再始動して変更を有効にします。