Übersicht über die Job-Scheduler-Sicherheit

Die Aktionen, die ein Benutzer für einen Job ausführen kann, richten sich nach dem umgesetzten Sicherheitsmodell. Die Benutzeraktionen für einen Job können rollenbasiert und/oder gruppenbasiert sein.

Rollenbasierte Sicherheit

Wenn die rollenbasierte Sicherheit aktiviert ist, muss Ihnen die Rolle "lrsubmitter", die Rolle "lradmin" oder die Rolle "lrmonitor" erteilt werden, damit Sie Aktionen für einen Job ausführen können. Benutzer, denen die Rolle "lradmin" zugeordnet wurde, sind berechtigt, alle Aktionen in der Job-Scheduler-Anwendung für alle Jobs unabhängig vom Jobeigner auszuführen. Benutzer, denen die Rolle "lrsubmitter" zugeordnet wurde, können nur die Jobs des übergebenden Benutzers anzeigen und bearbeiten. Benutzer, denen die Rolle "lrmonitor" zugeordnet wurde, können Jobs und Jobprotokolle aller Benutzer nur anzeigen.

Gruppensicherheit

Im Gruppensicherheitsmodell ist allein die Gruppenzugehörigkeit die Basis für alle jobbezogenen Sicherheitsentscheidungen. Der Administrator ordnet Jobrollen nicht bestimmten Benutzern zu. Ein Benutzer kann eine Aktion für einen Job nur ausführen, wenn der Benutzer und der Job zu derselben Gruppe gehören. Gehören beispielsweise zwei Benutzer zu derselben Gruppe und beide übergeben einen Job, der derselben Gruppe zugeordnet ist, können beide Benutzer die beiden Jobs anzeigen und Aktionen für beide Jobs ausführen.

Da WebSphere Application Server eine rollenbasierte Prüfung der Job-Scheduler-Operationen durchführt, müssen Sie eine einzige Zuordnung der Rolle "lradmin" zu Alle Authentifizierten im Realm der Anwendung durchführen. Benutzer in der Gruppe haben dieselben Berechtigungen wie die Rolle "lradmin" und können dieselben Operationen für einen Job in der Gruppe ausführen wie die Rolle "lradmin".

Benutzer- und Gruppenzugehörigkeit

Die Gruppensicherheitsfunktion erfordert eine Implementierung der SPI für Gruppenzugehörigkeit oder ein Benutzerrepository, das die Gruppenzugehörigkeit unterstützt, wie z. B. Lightweight Directory Access Protocol (LDAP), und das als eingebundenes Repository konfiguriert ist.

Sie können die SPI für Gruppenzugehörigkeitsfilter verwenden, um das eingebundene Repository zu erweitern.

Wenn Sie ein Repository verwenden, müssen Sie das Repository auch dann als eingebundenes Repository konfigurieren, wenn die Konfiguration von WebSphere Application Server nur ein einziges Repository verwendet. Die Funktion für eingebundene Repositorys unterstützt mehrere Repository-Technologien, einschließlich LocalOS (lokales Betriebssystem), LDAP und Active Directory.

[z/OS]Außerdem unterstützt die Funktion für eingebundene Repositorys System Authorization Facility (SAF).

Wenn Sie ein Repository verwenden, müssen Sie alle Benutzer und Gruppen von WebSphere Application Server über die Managementfunktionen der konfigurierten Repository-Technologie definieren.

Gruppe und Rollensicherheit

Im Gruppen- und rollenbasierten Sicherheitsmodell werden jobbezogene Sicherheitsentscheidungen durch die Gruppenzugehörigkeit und die rollenbasierte Sicherheit gesteuert. Das bedeutet, dass ein Benutzer eine jobbezogene Aktion nur dann ausführen kann, wenn der Benutzer und der Job zu derselben Gruppe gehören und die Rolle des Benutzers die Jobaktion zulässt.

Gehören beispielsweise zwei Benutzer zu derselben Gruppe und beide übergeben einen Job, der derselben Gruppe zugeordnet ist, können beide Benutzer die beiden Jobs anzeigen und auf der Basis ihrer Rollenzuordnungen Aktionen für beide Jobs ausführen. Wenn der erste Benutzer die Rolle "lradmin" hat, kann dieser Benutzer beide Jobs anzeigen und Jobaktionen für beide Jobs ausführen. Wenn der zweite Benutzer die Rolle "lrsubmitter" hat, kann dieser Benutzer nur den Job, der vom zweiten Benutzer übergeben wurde, anzeigen und Jobaktionen für diesen Job ausführen. Wenn der zweite Benutzer die Rolle "lrmonitor" und nicht die Rolle "lrsubmitter" hat, darf dieser Benutzer keinen Job übergeben, kann aber Jobs anzeigen, die vom ersten Benutzer übergeben werden.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cgrid_bgsec_overview
Dateiname:cgrid_bgsec_overview.html