詳細な管理セキュリティーが使用されている場合、管理リソースは複数の許可グループに分割されます。 許可グループごとに、独自の許可テーブルが含まれています。 このテーブルは、その許可グループに対する、ユーザーから管理者への役割マッピングを表しています。
すべての許可グループに対して同一の管理役割のセットが存在します。 しかし、管理役割にマップされるユーザーは、さまざまです。 これまでどおり、セル内のすべてのリソースへのアクセスを表すセル・レベルの管理役割があります。
Resource Access Control Facility (RACF) または System Authorization Facility (SAF) を使用して、 ユーザーから役割へのマッピングを構成する場合、以前に定義されたセル・レベルの管理者役割用の EJBROLE プロファイルとともに、 各許可グループの役割ごとに 1 つの EJBROLE プロファイルを定義する必要があります。 管理許可用の RACF EJBROLE クラスで定義されるプロファイルは 6 つあります。 管理者、コンフィギュレーター、モニター、オペレーター、デプロイヤーおよび adminsecuritymanager です。
許可グループは、WebSphere Application Server 構成ツール (wsadmin) を使用して作成できます。 許可グループを作成したら、wsadmin を使用して許可グループ内のユーザーから役割へのマッピングを行うこともできます。 しかし、RACF を使用してユーザーから管理役割へのマッピングを保管した場合、 RACF 管理者は、追加のステップを実行して、ユーザーから役割へのマッピングを行う必要があります。 新規に作成された許可グループ内の管理者役割ごとに、EJBROLE プロファイルを定義する必要があります。 その後で、ユーザーに、新規に作成された EJBROLE プロファイルへのアクセス権を付与する必要があります。
group1 | administrator=user1 | コンフィギュレーター | オペレーター | モニター | deployer=user3 | adminsecuritymanager |
group2 | administrator=user2 | コンフィギュレーター | operator=user4 | モニター | デプロイヤー (deployer) | adminsecuritymanager |
/* activate EJBROLE class */ SETROPTS CLASSACT(EJBROLE) /* Defining EJBROLE profiles for admin roles in group1 and group2 */ /* define the roles in RACF for group1 */ RDEFINE EJBROLE domainName.group1.administrator UACC(NONE) RDEFINE EJBROLE domainName.group1.configurator UACC(NONE) RDEFINE EJBROLE domainName.group1.operator UACC(NONE) RDEFINE EJBROLE domainName.group1.monitor UACC(NONE) RDEFINE EJBROLE domainName.group1.deployer UACC(NONE) RDEFINE EJBROLE domainName.group1.adminsecuritymanager UACC(NONE) /* define the roles in RACF for group2 */ RDEFINE EJBROLE domainName.group2.administrator UACC(NONE) RDEFINE EJBROLE domainName.group2.configurator UACC(NONE) RDEFINE EJBROLE domainName.group2.operator UACC(NONE) RDEFINE EJBROLE domainName.group2.monitor UACC(NONE) RDEFINE EJBROLE domainName.group2.deployer UACC(NONE) RDEFINE EJBROLE domainName.group2.adminsecuritymanager UACC(NONE) /* Mapping users to roles in group1 and group2 */ /* map user1 to administrator role in group1 */ PERMIT domainName.group1.administrator CLASS(EJBROLE) ID(USER1) ACCESS(READ) /* map user3 to deployer role in group1 */ PERMIT domainName.group1.deployer CLASS(EJBROLE) ID(USER3) ACCESS(READ) /* map user2 to administrator role in group2 */ PERMIT domainName.group2.administrator CLASS(EJBROLE) ID(USER2) ACCESS(READ) /* map user4 to operator role in group2 */ PERMIT domainName.group2.operator CLASS(EJBROLE) ID(USER4) ACCESS(READ) /* refresh the EJBROLE class in RACF */ SETROPTS RACLIST(EJBROLE) REFRESH"
ここで、domainName は、WebSphere Application Server セルのセキュリティー・ドメインを表します。
各許可グループ内のすべての役割の EJBROLE プロファイルは、 ユーザーがその役割にマップされているかどうかにかかわらず、作成する必要があることに注意してください。