Verwaltungsrollen

Das rollenbasierte Java™-EE-Berechtigungsverfahren (Java Platform, Enterprise Edition) wurde erweitert, um das Verwaltungssubsystem von WebSphere Application Server zu schützen.

Einige Verwaltungsrollen wurden definiert, um verschiedene Berechtigungsgrade bereitzustellen, die zur Ausführung bestimmter Verwaltungsfunktionen in der webbasierten Administrationskonsole oder der Scripting-Schnittstelle der Systemverwaltung erforderlich sind. Die Berechtigungsrichtlinie wird nur bei Aktivierung der Verwaltungssicherheit umgesetzt. In der folgenden Tabelle sind die Verwaltungsrollen beschrieben:

Tabelle 1. Verwaltungsrollen. Verwaltungsrollen
Rolle Beschreibung
Monitor (Überwachung) Diese Rolle besitzt die wenigsten Berechtigungen. Zur Rolle "Monitor" gehören die folgenden Tasks:
  • Konfiguration von WebSphere Application Server anzeigen
  • Aktuellen Status von WebSphere Application Server anzeigen
Configurator (Konfiguration) Diese Rolle besitzt zusätzlich zur Überwachungsberechtigung die Berechtigung, die Konfiguration von WebSphere Application Server zu ändern. Mit dieser Rolle können alle alltäglichen Konfigurationstasks ausgeführt werden. Mit der Rolle "Configurator" können die folgenden Tasks ausgeführt werden:
  • Ressource erstellen
  • Anwendungsserver zuordnen
  • Anwendung installieren und deinstallieren
  • Anwendung implementieren
  • Zuordnung von Benutzern und Gruppen zu Rollen für Anwendungen vornehmen
  • Java-2-Sicherheitsberechtigungen für Anwendungen konfigurieren
Operator (Bedienung) Diese Rolle besitzt zusätzlich zur Überwachungsberechtigung die Berechtigung, die Konfiguration des Laufzeitstatus zu ändern. Es können beispielsweise folgende Tasks ausgeführt werden:
  • Server stoppen und starten
  • Serverstatus in der Administrationskonsole überwachen
Administrator (Verwaltung) Diese Rolle besitzt außer den Berechtigungen der Rollen "Bedienung" und "Konfiguration" weitere Berechtigungen, die nur ihr zugewiesen sind. Ein Administrator kann z. B. die folgenden Tasks ausführen:
  • Benutzer-ID und Kennwort für Server ändern
  • Authentifizierungs- und Berechtigungsverfahren konfigurieren
  • Verwaltungssicherheit aktivieren oder inaktivieren
  • Java-2-Sicherheit aktivieren oder inaktivieren
  • LTPA-Kennwort (Lightweight Third Party Authentication) und Schlüssel generieren
  • Benutzer in der Konfiguration für eingebundene Repositorys erstellen, aktualisieren oder löschen
  • Gruppen in der Konfiguration für eingebundene Repositorys erstellen, aktualisieren oder löschen
  • CSIv2- (Common Secure Interoperability Version 2), SAS- (Security Authentication Service) und SSL-Konfigurationen (Secure Sockets Layer) anpassen
    Wichtig: SAS wird nur zwischen Servern der Version 6.0.x und Servern früherer Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden sind.
Wichtig: Ein Administrator den Rollen "Administration" keine Benutzer und Gruppen zuordnen, es sei denn, er hat auch die Rolle "Verwaltungssicherheitsmanagement".
iscadmins Diese Rolle ist nur für Benutzer der Administrationskonsole verfügbar, nicht für Benutzer von wsadmin. Benutzer, die dieser Rolle zugeordnet sind, haben Administratorrechte für die Verwaltung von Benutzern und Gruppen in eingebundenen Repositorys. Ein Benutzer der Rolle iscadmins kann beispielsweise die folgenden Tasks ausführen:
  • Benutzer in der Konfiguration für eingebundene Repositorys erstellen, aktualisieren oder löschen
  • Gruppen in der Konfiguration für eingebundene Repositorys erstellen, aktualisieren oder löschen
Deployer (Implementierung) Benutzer, die dieser Rolle zugeordnet sind, können Konfigurationsaktionen und Laufzeitoperationen für Anwendungen ausführen. Weitere Einzelheiten finden Sie im Abschnitt Rolle "Deployer".
Verwaltungssicherheitsmanager Über wsadmin-Scripts und die Administrationskonsole können Sie Benutzer und Gruppen der Rolle "Verwaltungssicherheitsmanagement" auf Zellenebene zuordnen. Mit der Rolle "Verwaltungssicherheitsmanager" können Sie Benutzer und Gruppen Rollen für Benutzer mit Verwaltungsaufgaben bzw. Rollen für Gruppen mit Verwaltungsaufgaben zuordnen. Ein Administrator kann diesen Rollen, einschließlich der Rolle "Verwaltungssicherheitsmanagement", jedoch keine Benutzer oder Gruppen zuordnen. Weitere Einzelheiten finden Sie im Abschnitt Rolle "Verwaltungssicherheitsmanagement".
Auditor Benutzer mit dieser Rolle können die Konfigurationseinstellungen für das Subsystem für Sicherheitsprüfung anzeigen und ändern. Ein Benutzer mit der Rolle "Auditor" kann beispielsweise die folgenden Tasks ausführen:
  • Subsystem für Sicherheitsprüfung aktivieren und inaktivieren
  • Implementierung der Ereignisfactory, die mit dem Plug-in-Punkt der Ereignisfactory verwendet werden soll, auswählen
  • Service-Provider und/oder -Emitter zur Verwendung am Plug-in-Punkt für den Service-Provider auswählen und konfigurieren
  • Prüfrichtlinie festlegen, die das Verhalten des Anwendungsservers im Falle eines Fehlers beim Subsystem für Sicherheitsprüfung beschreibt
  • sicherheitsrelevante Ereignisse definieren, die geprüft werden sollen
Die Rolle "Auditor" beinhaltet die Rolle "Monitor". Das ermöglicht dem Auditor, die restliche Sicherheitskonfiguration anzuzeigen. Ändern kann er sie jedoch nicht. Weitere Informationen finden Sie im Abschnitt Rolle "Auditor" (Prüfung).

Die angegebene Server-ID und die Verwaltungs-ID (sofern angegeben) werden beim Aktivieren der Verwaltungssicherheit automatisch der Rolle "Adminstrator" (Verwaltung) zugeordnet.

Benutzer und Gruppen können über die WAS-Administrationskonsole jederzeit Verwaltungsrollen hinzugefügt oder aus diesen entfernt werden. Der Name des primären Benutzers mit Verwaltungsaufgaben muss verwendet werden, um sich an der Administrationskonsole anzumelden und die Rollen des Benutzers und der Gruppe mit Verwaltungsaufgaben zu ändern. Nur ein Prüfer, d. h. ein Benutzer mit der Rolle "Auditor", kann diese Rolle für Benutzer und Gruppen ändern. Wenn die Sicherheitsprüfung anfänglich aktiviert wird, wird der primäre Benutzer mit Verwaltungsaufgaben ebenfalls der Rolle "Auditor" zugeordnet, und dieser Benutzer kann dann die Rollen von Benutzer und Gruppen mit Verwaltungsaufgaben ändern. Es wird empfohlen, eine oder mehrere Gruppen und nicht Benutzer bestimmten Verwaltungsrollen zuzuordnen, da eine flexiblere und einfachere Verwaltung ermöglicht wird.

Außerdem können den Verwaltungsrollen neben Benutzern und Gruppen auch Sondersubjekte hinzugefügt werden. Ein Sondersubjekt (special-subject) ist eine Generalisierung einer bestimmten Klasse von Benutzern. Das Sondersubjekt AllAuthenticated (Alle authentifizierten Benutzer) bedeutet, dass die Zugriffsprüfung der Verwaltungsrolle sicherstellt, dass der anfragende Benutzer zumindest authentifiziert wurde. Das Sondersubjekt Everyone (Jeder) bedeutet, dass jeder, ob authentifiziert oder nicht, die Aktion so ausführen darf, als wäre die Sicherheit nicht aktiviert.

Rolle "Deployer"

Ein Benutzer, der der Rolle "Deployer" zugeordnet ist, kann alle Konfigurations- und Laufzeitoperationen für eine Anwendung ausführen. Eine Deployer-Rolle kann sich aus Teilen der Rollen "Configurator" und "Operator" zusammensetzen. Ein Benutzer, der einer Rolle "Deployer" zugeordnet ist, kann jedoch keine anderen Ressourcen (Server, Knoten) konfigurieren oder bedienen.

Wenn eine differenzierte Verwaltungssicherheit verwendet wird, kann nur ein Benutzer, der einer Deployer-Rolle für eine Anwendung zugeordnet ist, diese Anwendung konfigurieren und bedienen.

Die Konfiguration auf Zellenebene beinhaltet die Konfiguration von Anwendungen. Analog dazu beinhaltet die Bedienung auf Zellenebene auch die Bedienung (Starten und Stoppen) von Anwendungen. Ein Benutzer, der der Rolle "Implementierung" auf Zellenebene zugeordnet ist, ist auch berechtigt, alle Anwendungen und Operationen zu konfigurieren und zu bedienen.

Tabelle 2. Funktionen der Rolle "Deployer" (Implementierung).

In dieser Tabelle sind die Fähigkeiten der Rolle "Deployer" (Imlementierung) bei Verwendung der differenzierten Verwaltungssicherheit aufgelistet.

Operation Erforderliche Rollen
Anwendung installieren Zellenkonfiguration, Zielimplementierung
Anwendung deinstallieren Zellenkonfiguration, Anwendungsimplementierung, Zielimplementierung
Anwendung auflisten Monitor (Zelle), Monitor (Anwendung)
Anwendung bearbeiten, aktualisieren und erneut implementieren Zellenkonfiguration, Anwendungsimplementierung
Anwendung exportieren Monitor (Zelle), Monitor (Anwendung)
Anwendung starten oder stoppen Operator (Zelle), Deployer (Anwendung)
Für diese Angaben gilt Folgendes:
Configurator (Zelle)
Gibt die Rolle "Konfiguration" auf Zellenebene an.
Deployer (Anwendung)
Gibt die Rolle "Implementierung" für die zu verwaltende Anwendung an.
Deployer (Ziel)
Gibt die Rolle "Implementierung" für alle Server und Cluster an, für die eine Anwendung bestimmt ist. Wenn Sie der Rolle "Rolle" für das Ziel zugeordnet sind, können Sie eine neue Anwendung auf dem Zielserver installieren. Zum Bearbeiten oder Aktualisieren der installierten Anwendung müssen Sie jedoch zu der Berechtigungsgruppe der installierten Anwendung gehören (Rolle "Deployer" (Anwendung)).

Der für die Zielimplementierung Verantwortliche kann eine neue Anwendung nicht explizit starten oder stoppen. Wenn ein Benutzer mit der Rolle "Deployer" (Ziel) jedoch einen Server auf einem Ziel startet, werden alle Anwendungen, bei denen das Attribut für automatischen Start auf ja eingestellt ist, beim Serverstart gestartet.

Es wird empfohlen, dass der Benutzer mit der Rolle "Deployer" (Ziel) dieses Attribut auf true setzt, wenn der Benutzer mit der Rolle "Deployer" (Anwendung) nicht möchte, dass die Anwendung vom Benutzer mit der Rolle "Deployer" (Ziel) gestartet wird.

Rolle "Verwaltungssicherheitsmanagement"

Die Rolle "Verwaltungssicherheitsmanagement" trennt die Verwaltung der Verwaltungssicherheit von der Verwaltung anderer Anwendungen.

Standardmäßig sind serverId und adminID dieser Rolle in der Berechtigungstabelle auf Zellenebene zugeordnet. Diese Rolle impliziert eine Monitor-Rolle. Die Rolle "Administration" beinhaltet jedoch nicht die Rolle "Verwaltungssicherheitsmanagement".

Wenn eine differenzierte Verwaltungssicherheit verwendet wird, kann nur ein Benutzer, der dieser Rolle auf Zellenebene zugeordnet ist, Berechtigungsgruppen verwalten. Ein Benutzer, der dieser Rolle für jede Berechtigungsgruppe zugeordnet ist, kann jedoch Benutzern Verwaltungsrollen für diese Gruppen zuordnen. Die folgende Liste fasst die Funktionen der Rolle "Verwaltungssicherheitsmanagement" auf verschiedenen Ebenen, wie z. B. der Zellenebene und der Ebene der Verwaltungsberechtigungsgruppen, zusammen.
Tabelle 3. Funktionen der Rolle "Admin Security Manager" (Verwaltungssicherheitsmanagement).

In dieser Tabelle sind die Fähigkeiten der Rolle "Admin Security Manager" aufgelistet.

Aktion Rolle
Benutzer zu Verwaltungsrollen für die Zellenebene zuordnen Nur Verwaltungssicherheitsmanager der Zelle
Benutzer zu Verwaltungsrollen für eine Berechtigungsgruppe zuordnen Nur der Verwaltungssicherheitsmanager der Berechtigungsgruppe bzw. der Verwaltungssicherheitsmanager der Zelle
Berechtigungsgruppen verwalten, erstellen, löschen, Ressourcen zu einer Berechtigungsgruppe hinzufügen oder Ressource aus einer Berechtigungsgruppe oder Liste entfernen Nur Verwaltungssicherheitsmanager der Zelle

Rolle "Auditor" (Prüfung)

Mit der Rolle "Auditor" wird die Verwaltung der Sicherheitsprüfung von der Verwaltungssicherheit und der übrigen Anwendungsverwaltung getrennt.

Die Rolle "Auditor" wurde hinzugefügt, um die Berechtigung des Prüfers von der Berechtigung des Administrators deutlich zu unterscheiden. Administratoren können der Rolle "Auditor" zugeordnet werden, um die Berechtigungen beider Rollen zu kombinieren. Wenn die Sicherheit zum ersten Mal aktiviert wird, wird der primäre Administrator der Rolle "Auditor" zugeordnet. Ist in Ihrer Situation die Trennung der Berechtigungen erforderlich, können Administratoren sich die Rolle "Auditor" entziehen und sie anderen Benutzern zuordnen.

Eine differenzierte Sicherheit für die Rolle "Auditor" ist nicht implementiert, daher erfordert die Rolle "Auditor" die Rolle "Monitor". Dieser Prozess ermöglicht dem Prüfer, die vom Administrator verwalteten Anzeigen zu lesen, jedoch nicht, sie zu ändern. Der Prüfer hat die uneingeschränkte Berechtigung, die dem Subsystem für Sicherheitsprüfung zugeordneten Anzeigen zu lesen und zu ändern. Dem Administrator hat die Rolle "Monitor" für diese Anzeigen, kann sie jedoch nicht ändern.


Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_adminroles
Dateiname:rsec_adminroles.html