Wenn Sie mit der Verwaltungsagenten- und Job-Manager-Topologie arbeiten, kann es häufiger vorkommen, dass ein Benutzer mit Verwaltungsaufgaben
zu Ihrer Berechtigungstabelle für Verwaltungsaufgaben
(admin-authz.xml) hinzugefügt werden muss. Für jeden Benutzer mit Verwaltungsaufgaben, der hinzugefügt werden muss, ist die Zugriffs-ID (Format "accessID")
aus der fernen Registry erforderlich. Ist der Benutzer dann in der lokalen Zelle aktiv, enthält die Berechtigungstabelle bereits die erforderliche Zugriffs-ID. Die hier beschriebene Task demonstriert, wie die Zuordnung von Benutzern funktioniert.
Vorgehensweise
- Sie müssen die Zugriffs-ID (accessId) eines Benutzers in der fernen Registry ermitteln. Dazu werden Sie die folgende wsadmin-Task aufrufen und die Abfrage auf der Basis eines Benutzerfilters
durchführen. Im folgenden Beispiel erfolgt die Abfrage mit dem Benutzerfilter (userFilter) "localuser*" beim Registry-Realm
"BIRKT60". Diese Abfrage gibt alle Benutzer dieses Realm zurück, deren Eintrag mit
"localuser" beginnt. Die resultierende Zugriffs-ID (accessId) müssen Sie dann im nächsten Schritt in der Zielberechtigungstabelle für Verwaltungsaufgaben
angeben. Stellen Sie wie folgt eine Verbindung zum sendenden administrativen Prozess her:
wsadmin> $AdminTask listRegistryUsers {-securityRealmName BIRKT60 -displayAccessIds true -userFilter localuser*}
{name BIRKT60\localuser@BIRKT60}
{accessId user:BIRKT60/S-1-5-21-3033296400-14683092-2821094880-1007}
- Fügen Sie "localuser" mit der folgenden wsadmin-Task zur Zieltabelle admin-authz.xml hinzu. Gehen Sie wie folgt vor, wenn Sie mit dem empfangenden administrativen Prozess verbunden sind:
wsadmin> $AdminTask mapUsersToAdminRole {-roleName administrator -userids {localuser } -accessids {user:BIRKT60/S-1-5-21-3033296400-14683092-2821094880-1007 }}
- Speichern Sie die Änderungen.
Ergebnisse
Mit dieser Task wird die Tabelle
admin-authz.xml des empfangenden administrativen Prozesses aktualisiert, um eine realmübergreifende Berechtigung zu ermöglichen. Das hier dargestellte Beispiel
gilt für einen Benutzer der LocalOS-Registry. Wenn Sie dieselbe Task für eine LDAP-Zugriffs-ID durchführen, enthält das Ergebnis eher eine Realmnamen und einen definierten Namen (DN).
Anmerkung: Wenn Sie Ihren
Realm ändern, müssen Sie diesen Prozess mit dem neuen Realmnamen wiederholen.