Zugriff auf Verwaltungsrollen berechtigen
Sie können Benutzer und Gruppen Verwaltungsrollen zuordnen, um die Benutzer zu definieren, die Verwaltungsfunktionen von WebSphere Application Server ausführen können.
Vorbereitende Schritte
Über Verwaltungsrollen können Sie den Zugriff auf die Verwaltungsfunktionen von WebSphere Application Server steuern. Sehen Sie sich die Beschreibung dieser Rollen im Artikel Verwaltungsrollen an.
![[z/OS]](../images/ngzos.gif)
- Steuerung des Zugriffs auf Verwaltungsrollen mit der SAF-Berechtigung: Wenn com.ibm.security.SAF.authorization auf "true" gesetzt ist, werden SAF-EJBROLE-Profile für die Steuerung des Zugriffs auf Administratorrollen verwendet. Nähere Informationen finden Sie im Artikel System Authorization Facility (SAF) für rollenbasierte Berechtigung.
- Wenn Sie während der Profilerstellung in z/OS Profile Management Tool z/OS-Sicherheitsprodukt verwenden ausgewählt haben und zusätzlich einen Wert
für das SAF-Profilpräfix angeben (das bisher als
z/OS-Sicherheitsdomäne bezeichnet wurde), werden von den Anpassungsjobs die folgenden Verwaltungsrollen definiert. Das SAF-Profilpräfix kann während der Profilerstellung angegeben werden und
configGroup repräsentiert den von Ihnen ausgewählten Namen der WAS-Konfigurationsgruppe.
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor UACC(NONE) PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)monitor CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)configurator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)operator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)auditor CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
- Sollten Sie die SAF-Autorisierung zu einem späteren Zeitpunkt aktivieren wollen, müssen Sie diese
RACF-Befehle absetzen, um ein fehlerfreies Arbeiten von WebSphere Application Server zu gewährleisten. Sie können einem Benutzer Zugriff auf alle Verwaltungsfunktionen geben, indem Sie ihn mit der Konfigurationsgruppe
verbinden:
CONNECT mvsid GROUP(configGroup)
- Sie können einzelne Benutzer auch mit dem folgenden RACF-Befehl bestimmten
Rollen zuordnen:
PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
- Es ist nicht erforderlich,
den Server erneut zu starten, damit die SAF-EJBROLE-Änderungen wirksam werden. Sie müssen nach
SAF-Änderungen jedoch den folgenden RACF-Befehl (oder einen entsprechenden Befehl Ihres Sicherheitssystems)
absetzen, um die Sicherheitstabellen zu aktualisieren:
SETROPTS RACLIST(EJBROLE) REFRESH
- Steuerung des Zugriffs auf Verwaltungsrollen mit WebSphere-Berechtigung: Wenn com.ibm.security.SAF.authorization auf false gesetzt ist, werden WebSphere-Berechtigung und die Administrationskonsole für die Steuerung des Zugriffs auf die Verwaltungsrollen verwendet.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
- Damit Sie Benutzer zu Verwaltungsrollen zuordnen können, müssen Sie eine Benutzerregistry einrichten. Informationen zu den unterstützten Registry-Typen finden Sie im Artikel Registry oder Repository auswählen.
- Die folgenden Schritte sind erforderlich, um Verwaltungsrollen Benutzer zuzuordnen.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Informationen zu diesem Vorgang
Vorgehensweise
- Klicken Sie auf Benutzer und Gruppen. Klicken Sie auf Rollen für Benutzer mit Verwaltungsrollen oder Rollen für Gruppen mit Verwaltungsaufgaben.
- Wenn Sie einen Benutzer oder eine Gruppe hinzufügen möchten, klicken Sie in der Anzeige Konsolbenutzer oder Konsolgruppen auf Hinzufügen.
- Wenn Sie einen neuen Benutzer mit Administratorberechtigung hinzufügen möchten, befolgen Sie die Anweisungen auf der Seite für die Angabe eines Benutzers und wählen Sie die Rolle Administrator aus. Klicken Sie auf OK, wenn Sie den Benutzer zur Liste "Zugeordnet zu Rolle" hinzugefügt haben. Der angegebene Benutzer wird der Sicherheitsrolle zugeordnet.
- Wenn Sie eine neue Verwaltungsgruppe hinzufügen möchten, befolgen Sie die Anweisungen auf der Seite für die Angabe eines Gruppennamens oder eines Sondersubjekts. Heben Sie die Rolle Administrator hervor und klicken Sie auf OK. Die angegebene Gruppe bzw. das angegebene Sondersubjekt wird der Sicherheitsrolle zugeordnet.
- Wenn Sie eine Benutzer- oder Gruppenzuordnung entfernen möchten, klicken Sie in der Anzeige Konsolbenutzer oder Konsolgruppen auf Entfernen. Wählen Sie in der Anzeige Konsolbenutzer bzw. Konsolgruppen das Kontrollkästchen des gewünschten Benutzers oder der gewünschten Gruppe aus und klicken Sie dann auf OK.
- Zum Verwalten der anzuzeigenden Gruppe von Benutzern oder Gruppen klicken Sie in der Anzeige "Benutzerrollen" bzw. "Gruppenrollen" auf Filterfunktion anzeigen. Geben Sie im Feld Suchbegriff(e) einen Wert ein und klicken Sie anschließend auf Los. Wenn Sie beispielsweise "user*" eingeben, werden nur Benutzer mit dem Präfix "user" angezeigt.
- Nachdem Sie Ihre Änderungen vorgenommen haben, klicken Sie auf Speichern, um die Zuordnungen zu speichern.
- Starten Sie den Anwendungsserver neu, damit die Änderungen in Kraft treten.
Fahren Sie die Knoten, Node Agents und den Deployment Manager herunter.
Vergewissern Sie sich, dass keine Java-Prozesse aktiv sind. Sollten Java-Prozesse aktiv sein, beenden Sie diese.
Starten Sie den Deployment Manager erneut.
Synchronisieren Sie die Knoten erneut. Für eine erneute Synchronisation der Knoten führen Sie für jeden Knoten den Befehl Installationsstammverzeichnis/bin/syncNode bzw. Installationsstammverzeichnis/bin/syncNode.sh aus. Verwenden Sie den Befehl "synchNode".
Synchronisieren Sie die Knoten erneut. Führen Sie zum Resynchronisieren der Knoten das Script Profilstammverzeichnis/bin/syncNode in der Qshell-Befehlszeile für jeden Knoten aus. Verwenden Sie den Befehl "synchNode".
Starten Sie die Knoten erneut. Führen Sie zum erneuten Starten der Knoten den Befehl Installationsstammverzeichnis/bin/startNode bzw. Installationsstammverzeichnis/bin/startNode.sh für jeden Knoten aus. Verwenden Sie den Befehl "startNode".
Starten Sie die Knoten erneut. Führen Sie zum erneuten Starten der Knoten das Script Profilstammverzeichnis/bin/startNode in der Qshell-Befehlszeile für jeden Knoten aus. Verwenden Sie den Befehl "startNode".
Starten Sie ggf. alle Cluster.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Nächste Schritte
Nachdem Sie Benutzer Verwaltungsrollen zugeordnet haben, müssen Sie den
Deployment Manager erneut starten, damit die neuen Zuordnungen wirksam werden.
Die Verwaltungsressourcen sind jedoch erst geschützt, wenn Sie die Sicherheit aktivieren.