Standardsicherheitsrichtlinie für MBeans

In diesem Artikel wird die Standardsicherheitsrichtlinie für die Managed Bean (MBean) erläutert. In den meisten Fällen müssen Entwickler von MBeans keine Sicherheitsrichtlinie festlegen.

In der Standardsicherheitsrichtlinie für MBeans wird zwischen drei Typen von MBeans unterschieden:
  • Konfigurations-MBean
  • Laufzeit-MBean
  • Deployer-MBean
Ein optionales Attribut in der XML-Deskriptordatei einer MBean definiert den Typ der MBean.
Die MBean ConfigRepository ist ein Beispiel für einen der wenigen Konfigurationstypen. In der Deskriptordatei configRepository.xml gibt das Attribut configureMBean = "true" an, dass die MBean ein Konfigurationstyp ist.
<MBean type="ConfigRepository" 
  version="5.0"
  platform="common"
  description="Verwaltungsschnittstelle für das Konfigurationsrepository."
  configureMBean="true">
Die MBean EJBModule ist ein Beispiel für eine Deployer-MBean. In der Deskriptordatei EJBModule.xml zeigt das Attribut deployerMBean="true" an, dass die MBean eine Deployer-MBean ist.
<MBean type="EJBModule" j2eeType="EJBModule"
  version="5.0"
  platform="dynamicproxy"
  resourceIdentifierKey="Application"
  resourceType="Application"
  deployerMBean="true"
  description="Verwaltungsschnittstelle für die Komponente EJBModule.">

Die erweiterte rollenbasierte Zugriffssteuerung von WebSphere Application Server unterstützt die Vererbung von Rollen. Es gibt fünf Verwaltungsrollen: Verwaltung (Administrator), Konfiguration (Configurator), Bedienung (Operator), Implementierung (Deployer), Überwachung (Monitor). Die Rolle "Überwachung" ist die Rolle mit den wenigsten Berechtigungen. Benutzer, denen die Rolle "Überwachung" zugeteilt wurde, können die Konfiguration von WebSphere Application Server und den Laufzeitstatus anzeigen, jedoch keine Änderungen vornehmen. Die anderen drei Verwaltungsrollen haben jeweils eigene Berechtigungen, die jedoch die Berechtigungen der Rolle "Überwachung" einschließen.

Benutzer mit der Rolle "Konfiguration" können die Konfigurationsdaten von WebSphere Application Server ändern. Änderungen am Laufzeitstatus, wie z. B. das Starten und Stoppen von Verwaltungsressourcen, können von Benutzern mit der Rolle "Bedienung" vorgenommen werden. Ein Benutzer mit der Rolle "Konfiguration" kann den Laufzeitstatus nicht ändern, und ein Benutzer mit der Rolle "Bedienung" kann die Konfiguration von WebSphere Application Server nicht ändern. Die Rolle "Verwaltung" umfasst die Rollen "Konfiguration" und "Bedienung", hat darüber hinaus jedoch noch weitere Berechtigungen. Ein Benutzer mit der Rolle "Verwaltung" kann zusätzlich die Konfiguration der Verwaltungssicherheit ändern. Die folgende Abbildung zeigt die Vererbungsbeziehung für die Verwaltungsrolle. Die Rolle "Implementierung" ist eine Kombination der für die Anwendungsverwaltung vorgesehenen Rollen "Konfiguration" und "Bedienung". Die Rolle "Implementierung" hat Konfigurations- und Bedienungsberechtigungen für Anwendungen. Die folgende Abbildung zeigt die Vererbungsbeziehung für die Rolle "Verwaltung".

Vererbungsbeziehung für die Rolle 'Verwaltungssicherheit'

Jeder MBean-Methode und -Operation wird ein impact-Attribut mit dem Wert INFO oder ACTION zugewiesen. Nachfolgend sind einige Beispiele aufgeführt:
  • Eine Getter-Methode hat den impact-Wert INFO und eine write-Methode den impact-Wert ACTION.
  • In der MBean ConfigRepository ändert die Methode extract keine Konfigurationsdaten und hat den impact-Wert INFO, wohingegen die Methode modify den impact-Wert ACTION hat.
  • In der MBean Java™ Virtual Machine (JVM), die eine MBean des Typs "Bedienung" ist, hat die Methode ggetCurrentTimeInMillis den impact-Wert ACTION.

Eine Konfigurations-MBean mit dem impact-Wert INFO setzt die Rolle "Überwachung" voraus. Eine Methode einer Konfigurations-MBean mit dem impact-Wert ACTION erfordert die Rolle "Konfiguration". Eine Deployer-MBean mit dem impact-Wert INFO setzt die Rolle "Überwachung" voraus. Eine Methode einer Deployer-MBean mit dem impact-Wert ACTION erfordert die Rolle "Implementierung". Da alle Verwaltungsrollen Überwachungsrollen sind, kann jede Verwaltungsrolle auf die Methoden einer Konfigurations-MBean zugreifen, die den impact-Wert INFO haben. Die Rolle "Verwaltung" ist ein Konfigurationsrolle und hat Zugriff auf die Methoden der Konfigurations-MBean, die den impact-Wert ACTION haben.

Die Standardsicherheitsrichtlinie für die Konfigurations-MBean ist in der folgenden Tabelle zusammengefasst:

Tabelle 1. impact-Werte und Sicherheitsrollen für Konfigurations-MBean-Methoden. Ein X zeigt an, dass die MBean-Methode die Rolle standardmäßig voraussetzt.
impact-Wert der Methode Rolle "Überwachung" Rolle "Bedienung" Rolle "Konfiguration" Rolle "Implementierung" Rolle "Überwachung"
INFO X X X X X
ACTION     X   X

Die Standardsicherheitsrichtlinie für die Bedienungs-MBean ist in der folgenden Tabelle zusammengefasst:

Tabelle 2. impact-Werte und Sicherheitsrollen für Bediendungs-MBean-Methoden. Ein X zeigt an, dass die MBean-Methode die Rolle standardmäßig voraussetzt.
impact-Wert der Methode Rolle "Überwachung" Rolle "Bedienung" Rolle "Konfiguration" Rolle "Implementierung" Rolle "Verwaltung"
INFO X X X X X
ACTION   X     X

Die Standardsicherheitsrichtlinie für Deployer-MBean ist in der folgenden Tabelle zusammengefasst:

Tabelle 3. impact-Werte und Sicherheitsrollen für Implementierungs-MBean-Methoden. Ein X zeigt an, dass die MBean-Methode die Rolle standardmäßig voraussetzt.
impact-Wert der Methode Rolle "Überwachung" Rolle "Bedienung" Rolle "Konfiguration" Rolle "Implementierung" Rolle "Verwaltung"
INFO X X X X X
ACTION   X   X X

Wenn das Attribut configureMBean und das Attribut deployerMBean einer MBean auf true gesetzt sind, ist die erforderliche Rolle für alle Aktionen entweder "Konfiguration" oder "Überwachung". Derzeit ist keine solche MBean im System definiert.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjmx_admin_defmbsec
Dateiname:cjmx_admin_defmbsec.html