![[z/OS]](../images/ngzos.gif)
System Authorization Facility für differenzierte Verwaltungsberechtigungen
Wenn eine differenzierte Verwaltungssicherheit verwendet wird, können die Verwaltungsressourcen auf mehrere Berechtigungsgruppen verteilt werden. Jede Berechtigungsgruppe enthält eine eigene Berechtigungstabelle, die die Zuordnung von Benutzern zur Rolle "Verwaltung" (Administrator) für diese Gruppe repräsentiert.
Für alle Berechtigungsgruppen gibt es dieselben Verwaltungsrollen. Diesen Rollen können jedoch unterschiedliche Benutzer zugeordnet sein. Es gibt nach wie vor Verwaltungsrollen auf Zellenebene, die Zugriff auf alle Ressourcen innerhalb der Zelle haben.
Wenn Sie zum Konfigurieren der Zuordnung zwischen Benutzern und Rollen Resource Access Control Facility (RACF) oder System Authorization Facility (SAF) verwenden, muss zusätzlich zu den schon definierten EJBROLE-Profilen für die Administratorrollen auf Zellenebene pro Rolle in jeder Berechtigungsgruppe ein EJBROLE-Profil definiert werden. Es sind sechs Profile in der RACF-Klasse EJBROLE für Verwaltungsberechtigung definiert: administrator, configurator, monitor, operator, deployer und adminsecuritymanager.
Berechtigungsgruppen können mit dem Konfigurationstool (wsadmin) von WebSphere Application Server migriert werden. Anschließend können Sie mit wsadmin den Rollen innerhalb der Berechtigungsgruppe Benutzer zuordnen. Wenn Sie diese Zuordnung jedoch mit RACF speichern, muss der RACF-Administrator zusätzliche Schritte für die Zuordnung ausführen. Für jede Administratoraufgabenrolle in der neu erstellten Berechtigungsgruppe muss ein EJBROLE-Profil definiert werden. Anschließend müssen Benutzer die Zugriffsberechtigung für diese neu erstellten EJBROLE-Profile erhalten.
Gruppe | Zuordnung von Benutzer zu Rolle | Zuordnung von Benutzer zu Rolle | Zuordnung von Benutzer zu Rolle | Zuordnung von Benutzer zu Rolle | Zuordnung von Benutzer zu Rolle | Zuordnung von Benutzer zu Rolle |
---|---|---|---|---|---|---|
group1 | administrator=user1 | configurator | operator | monitor | deployer=user3 | adminsecuritymanager |
group2 | administrator=user2 | configurator | operator=user4 | monitor | deployer | adminsecuritymanager |
/* activate EJBROLE class */
SETROPTS CLASSACT(EJBROLE)
/* EJBROLE-Profile für Verwaltungsrollen in group1 und group2 definieren */
/* Rollen in RACF für group1 definieren */
RDEFINE EJBROLE domainName.group1.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group1.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group1.operator UACC(NONE)
RDEFINE EJBROLE domainName.group1.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group1.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group1.adminsecuritymanager UACC(NONE)
/* Rollen in RACF für group2 definieren */
jRDEFINE EJBROLE domainName.group2.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group2.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group2.operator UACC(NONE)
RDEFINE EJBROLE domainName.group2.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group2.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group2.adminsecuritymanager UACC(NONE)
/* Rollen in group1 und group2 Benutzer zuordnen */
/* user1 der Rolle administrator in group1 zuordnen */
PERMIT domainName.group1.administrator CLASS(EJBROLE) ID(USER1) ACCESS(READ)
/* user3 der Rolle deployer in group1 zuordnen */
PERMIT domainName.group1.deployer CLASS(EJBROLE) ID(USER3) ACCESS(READ)
/* user2 der Rolle administrator in group2 zuordnen */
PERMIT domainName.group2.administrator CLASS(EJBROLE) ID(USER2) ACCESS(READ)
/* user4 der Rolle operator in group2 zuordnen */
PERMIT domainName.group2.operator CLASS(EJBROLE) ID(USER4) ACCESS(READ)
/* Klasse EJBROLE in RACF aktualisieren */
SETROPTS RACLIST(EJBROLE) REFRESH"
Domänenname steht für die Sicherheitsdomäne der Zelle von WebSphere Application Server.
Das EJBROLE-Profil für alle Rollen der einzelnen Berechtigungsgruppen muss unabhängig davon erstellt werden, ob den Rollen Benutzer zugeordnet sind.