[z/OS]

System Authorization Facility für differenzierte Verwaltungsberechtigungen

Wenn eine differenzierte Verwaltungssicherheit verwendet wird, können die Verwaltungsressourcen auf mehrere Berechtigungsgruppen verteilt werden. Jede Berechtigungsgruppe enthält eine eigene Berechtigungstabelle, die die Zuordnung von Benutzern zur Rolle "Verwaltung" (Administrator) für diese Gruppe repräsentiert.

Für alle Berechtigungsgruppen gibt es dieselben Verwaltungsrollen. Diesen Rollen können jedoch unterschiedliche Benutzer zugeordnet sein. Es gibt nach wie vor Verwaltungsrollen auf Zellenebene, die Zugriff auf alle Ressourcen innerhalb der Zelle haben.

Wenn Sie zum Konfigurieren der Zuordnung zwischen Benutzern und Rollen Resource Access Control Facility (RACF) oder System Authorization Facility (SAF) verwenden, muss zusätzlich zu den schon definierten EJBROLE-Profilen für die Administratorrollen auf Zellenebene pro Rolle in jeder Berechtigungsgruppe ein EJBROLE-Profil definiert werden. Es sind sechs Profile in der RACF-Klasse EJBROLE für Verwaltungsberechtigung definiert: administrator, configurator, monitor, operator, deployer und adminsecuritymanager.

Berechtigungsgruppen können mit dem Konfigurationstool (wsadmin) von WebSphere Application Server migriert werden. Anschließend können Sie mit wsadmin den Rollen innerhalb der Berechtigungsgruppe Benutzer zuordnen. Wenn Sie diese Zuordnung jedoch mit RACF speichern, muss der RACF-Administrator zusätzliche Schritte für die Zuordnung ausführen. Für jede Administratoraufgabenrolle in der neu erstellten Berechtigungsgruppe muss ein EJBROLE-Profil definiert werden. Anschließend müssen Benutzer die Zugriffsberechtigung für diese neu erstellten EJBROLE-Profile erhalten.

Nehmen wir an, Sie haben mit wsadmin die folgenden Berechtigungsgruppen und Zuordnungen von Benutzern zu Rollen erstellt:
Tabelle 1. Berechtigungsgruppen und Zuordnungen von Benutzern zu Rollen. In der folgenden Tabelle sind die Berechtigungsgruppen und die Zuordnungen von Benutzern zu Rollen aufgelistet.
Gruppe Zuordnung von Benutzer zu Rolle Zuordnung von Benutzer zu Rolle Zuordnung von Benutzer zu Rolle Zuordnung von Benutzer zu Rolle Zuordnung von Benutzer zu Rolle Zuordnung von Benutzer zu Rolle
group1 administrator=user1 configurator operator monitor deployer=user3 adminsecuritymanager
group2 administrator=user2 configurator operator=user4 monitor deployer adminsecuritymanager
Dann können Sie mit dem folgenden Script dieselben Informationen in RACF darstellen:
/* activate EJBROLE class */
SETROPTS CLASSACT(EJBROLE)

/* EJBROLE-Profile für Verwaltungsrollen in group1 und group2 definieren */

/* Rollen in RACF für group1 definieren */
RDEFINE EJBROLE domainName.group1.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group1.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group1.operator UACC(NONE)
RDEFINE EJBROLE domainName.group1.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group1.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group1.adminsecuritymanager UACC(NONE)

/* Rollen in RACF für group2 definieren */
jRDEFINE EJBROLE domainName.group2.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group2.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group2.operator UACC(NONE)
RDEFINE EJBROLE domainName.group2.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group2.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group2.adminsecuritymanager UACC(NONE)

/* Rollen in group1 und group2 Benutzer zuordnen */

/* user1 der Rolle administrator in group1 zuordnen */
PERMIT domainName.group1.administrator CLASS(EJBROLE)  ID(USER1) ACCESS(READ)
/* user3 der Rolle deployer in group1 zuordnen */
PERMIT domainName.group1.deployer CLASS(EJBROLE)  ID(USER3) ACCESS(READ)

/* user2 der Rolle administrator in group2 zuordnen */
PERMIT domainName.group2.administrator CLASS(EJBROLE)  ID(USER2) ACCESS(READ)
/* user4 der Rolle operator in group2 zuordnen */
PERMIT domainName.group2.operator CLASS(EJBROLE)  ID(USER4) ACCESS(READ)


/* Klasse EJBROLE in RACF aktualisieren */
SETROPTS RACLIST(EJBROLE) REFRESH"     

Domänenname steht für die Sicherheitsdomäne der Zelle von WebSphere Application Server.

Das EJBROLE-Profil für alle Rollen der einzelnen Berechtigungsgruppen muss unabhängig davon erstellt werden, ob den Rollen Benutzer zugeordnet sind.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_fineg_saf
Dateiname:csec_fineg_saf.html