Benutzer RunAs-Rollen zuordnen

In diesem Artikel wird erläutert, wie Sie Benutzer den RunAs-Rollen für Ihre Anwendung zuordnen können.

Vorbereitende Schritte

Führen Sie die folgenden Tasks aus:
  • Schützen Sie die Webanwendungen und EJB-Anwendungen, wenn neue RunAs-Rollen erstellt und den Webressourcen und EJB-Ressourcen zugeordnet werden.
  • Erstellen Sie alle RunAS-Rollen für Ihre Anwendung. Der Benutzer in der RunAs-Rolle kann nur dann eingegeben werden, wenn er oder eine Gruppe, zu der er gehört, bereits zur regulären Rolle gehört.
  • Ordnen Sie Sicherheitsrollen Benutzer und Gruppen zu. Weitere Informationen hierzu finden Sie im Artikel Benutzer und Gruppen Rollen zuordnen.
  • Vergewissern Sie sich, dass die Voraussetzungen für die Benutzerregistry erfüllt sind. Diese Voraussetzungen sind dieselben, die auch im Artikel Benutzer und Gruppen Rollen zuordnen beschrieben sind. Wenn Rolle1 beispielsweise eine Rolle ist, die auch als RunAs-Rolle verwendet wird, kann der Benutzer Benutzer1 zur RunAs-Rolle hinugefügt werden. Die Administrationskonsole überprüft diese Logik, wenn Sie auf Anwenden oder OK klicken. Sollte die Prüfung fehlschlagen, wird die Änderung nicht vorgenommen und es wird eine Fehlernachricht angezeigt.

Wenn eine Benutzer-ID und ein Kennwort einer RunAs-Rolle zugeordnet werden, wird die Validierung mit der konfigurierten aktiven Benutzerregistry durchgeführt. Standardmäßig wird als aktive Benutzerregistry LocalOS festgelegt. Wenn eine Anwendung installiert und die Sicherheit auf dem Server inaktiviert ist, wird daher die Benutzerregistry LocalOS verwendet, um die Benutzer-ID und das Kennwort, die bzw. das der RunAs-Rolle zugeordnet ist, zu validieren. Wenn als Benutzerregistry nicht LocalOS verwendet wird, schlägt die Validierung fehl. Ordnen Sie daher RunAs-Rollen Benutzern zu, wenn die Sicherheitseinrichtung auf dem Server aktiviert ist. Wenn die aktive Benutzerregistry und die geplante Registry nach dem Aktivieren der Sicherheit jedoch identisch sind, können Sie den Benutzer einer RunAs-Rolle zuordnen, wenn die Sicherheit inaktiviert ist.

Ist einer Rolle das Sondersubjekt "Jeder" oder "Alle Authentifizierten" zugeordnet, wird diese Rolle nicht geprüft.

Die Validierung wird jedes Mal durchgeführt, wenn Sie in dieser Anzeige auf Anwenden oder in der Anzeige "Sicherheitsrollen Benutzern/Gruppen zuordnen" auf OKklicken. Während der Prüfung wird sichergestellt, dass alle Benutzer in allen Rollen, die als RunAs-Rollen definiert sind, direkt oder indirekt über eine Gruppe in der Anzeige "Sicherheitsrollen Benutzern/Gruppen zuordnen" in diesen Rollen vorhanden sind. Falls eine Rolle sowohl einem Benutzer als auch einer Gruppe zugeordnet ist, zu der der Benutzer gehört, können Sie den Benutzer oder die Gruppe in der Anzeige "Sicherheitsrollen Benutzern/Gruppen zuordnen" löschen.

In diesem Zusammenhang ist noch ein weiterer Punkt zu berücksichtigen. Wenn der Benutzer der RunAs-Rolle zu einer Gruppe gehört und diese Gruppe dieser Rolle zugeordnet wurde, müssen Sie sicherstellen, dass die Zuordnung dieser Gruppe zur Rolle über die Administrationskonsole und nicht in einem Assembliertool oder mit einer anderen Methode vorgenommen wird. Wenn Sie die Administrationskonsole verwenden, muss der vollständige Name der Gruppe angegeben werden (z. B. Hostname\Gruppenname auf Windows-Systemen und definierte Namen (DNs) in Lightweight Directory Access Protocol (LDAP)). Während der Prüfung werden alle Gruppen, zu denen der Benutzer der RunAs-Rolle gehört, aus der Benutzerregistry abgerufen. Da die Liste der Gruppen, die aus der Benutzerregistry abgerufen werden, die vollständigen Namen der Gruppen sind, funktioniert die Prüfung ordnungsgemäß. Falls der Kurzname einer Gruppe mit einem Assembliertool eingegeben wurde, z. B. Gruppe1 anstelle von CN=group1, o=myCompany.com, schlägt die Prüfung fehl.

Informationen zu diesem Vorgang

Diese Schritte sind bei der Installation einer Anwendung und beim Ändern einer vorhandenen Anwendung identisch. Wenn die Anwendung RunAs-Rollen enthält, sehen Sie den Link "RunAs-Rollen des Benutzers" während der Installation sowie während der Anwendungsverwaltung im Abschnitt "Weitere Eigenschaften".

Vorgehensweise

  1. Klicken Sie auf Anwendungen > Unternehmensanwendungen > Anwendungsname.
  2. Klicken Sie unter "Detaileigenschaften" auf Zuordnung von Sicherheitsrollen zu Benutzern/Gruppen. Daraufhin wird eine Liste aller RunAs-Rollen für diese Anwendung angezeigt. Wurden den Rollen bereits Benutzer zugeordnet, werden diese hier angezeigt.
  3. Wählen Sie die Rolle aus, den Sie zu einem Benutzer zuordnen möchten. Sie können mehrere Rollen gleichzeitig auswählen, denen derselbe Benutzer zugeordnet werden soll.
  4. Geben Sie Namen und Kennwort des Benutzers in die dafür vorgesehenen Felder ein. Sie können für den Benutzernamen entweder den Kurznamen, was empfohlen wird, oder den vollständigen Namen, der angezeigt wird, wenn Benutzer und Gruppen aus der Benutzerregistry abgerufen werden, angeben.
  5. Klicken Sie auf Anwenden. Der Benutzer wird anhand der aktiven Benutzerregistry authentifiziert. Wenn die Authentifizierung erfolgreich ist, wird geprüft, ob der Benutzer oder die Gruppe in der Anzeige Sicherheitsrollen Benutzern/Gruppen zuordnen der Rolle zugeordnet wurde. Sollte die Authentifizierung fehlschlagen, überprüfen Sie, ob Benutzername und Kennwort korrekt eingegeben wurden und die aktive Registry-Konfiguration korrekt ist.
  6. Wenn Sie einen Benutzer aus einer RunAs-Rolle entfernen möchten, wählen Sie die Rolle aus und klicken Sie dann auf Entfernen.

Ergebnisse

Der Benutzer der RunAs-Rolle wird der Bindungsdatei der Anwendung hinzugefügt. Diese Datei wird beim Zugriff auf Java EE-Ressourcen für Delegationszwecke verwendet. Dieser Schritt ist erforderlich, um Benutzer RunAs-Rollen zuzuordnen, damit während der Delegation der richtige Benutzer für den Aufruf der EJB-Methoden verwendet wird.

Nächste Schritte

Falls Sie eine Anwendung installieren, schließen Sie die Installation ab. Sobald die Anwendung installiert und aktiv ist, können Sie entsprechend der in dieser Task vorgenommen Zuordnung für die RunAs-Rolle auf die Ressourcen zugreifen. Speichern Sie die Konfiguration.

Wenn Sie Anwendungen verwalten und die Zuordnung von RunAs-Rollen für Benutzer ändern, müssen Sie die Anwendung speichern, stoppen und erneut starten, damit die Änderungen wirksam werden. Versuchen Sie, auf einige Java EE-Ressourcen (Java Platform, Enterprise Edition) zuzugreifen, um sicherzustellen, dass die neuen Änderungen wirksam sind.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_taurunas
Dateiname:tsec_taurunas.html