[z/OS]

Job-Scheduler mithilfe von Rollen und Gruppen unter dem Betriebssystem z/OS sichern

Sie können den Job-Scheduler mithilfe von Rollen und Gruppen sichern. Ein Benutzer kann einen Job bearbeiten, wenn der Benutzer und der Job zu derselben Gruppe gehören und die Rolle des Benutzers die jeweilige Aktion zulässt.

Vorbereitende Schritte

Starten Sie den Deployment Manager und alle Node Agents.

Informationen zu diesem Vorgang

Aktivieren Sie die globale Sicherheit von WebSphere Application Server. Konfigurieren Sie die Benutzerregistry-Brücke für eingebundene Repositorys. Installieren und konfigurieren Sie ein VMM-SAF-Zuordnungsmodul, und fügen Sie das Modul drei Anmeldemodulen hinzu. Verwenden Sie anschließend RACF, um eine Gruppe zu erstellen und der Gruppe einen Benutzer hinzuzufügen. Ordnen Sie eine Gruppe einem Job zu. Definieren Sie EJBROLE-Profile für die Rollen "lradmin" und "lrsubmitter".

Vorgehensweise

  1. Aktivieren Sie die globale Sicherheit.
    Lesen Sie den Abschnitt zum Aktivieren der Sicherheit in der Dokumentation zu WebSphere Application Server, und folgen Sie den dort beschriebenen Anweisungen. Wählen Sie in den Anzeigen "Globale Sicherheit" die folgenden Optionen aus:
    • Verwaltungssicherheit aktivieren und Anwendungssicherheit aktivieren
    • Eingebundene Repositorys für Verfügbare Realmdefinitionen
    • SAF-Delegierung aktivieren für Berechtigungsprovider
  2. Konfigurieren Sie die Benutzerregistry-Brücke für eingebundene Repositorys.

    Lesen Sie den Abschnitt zum Konfigurieren der Benutzerregistry-Brücke für eingebundene Repositorys mit wsadmin-Scripting in der Dokumentation zu WebSphere Application Server, und folgen Sie den dort beschriebenen Anweisungen.

  3. Installieren und konfigurieren Sie das Modul "SampleVMMSAFMappingModule".

    Lesen Sie den Abschnitt zum Installieren und Konfigurieren eines angepassten SAF-Zuordnungsmoduls (System Authorization Facility) für das Produkt, und folgen Sie den dort beschriebenen Anweisungen. Sie fügen das Modul den Anmeldemodulen WEB_INBOUND, RMI_INBOUND und DEFAULT zu.

  4. Synchronisieren Sie Ihre Änderungen, und starten Sie die Zelle erneut.
  5. Erstellen Sie eine Gruppe, und fügen Sie der Gruppe einen Benutzer hinzu.

    Lesen Sie die Informationen zum Erstellen einer Gruppe und zum Hinzufügen eines Benutzers zur Gruppe im Handbuch zu RACF mit dem Titel Security Server RACF General User's Guide.

  6. Definieren Sie die angepasste Eigenschaft, die angibt, welche Richtlinie von der Stapelumgebung verwendet wird.
    1. Klicken Sie auf Systemverwaltung > Job-Scheduler.
    2. Klicken Sie unter "Weitere Eigenschaften" auf Angepasste Eigenschaften > Neu.
    3. Geben Sie JOB_SECURITY_POLICY im Feld Name und GROUP im Feld Wert ein.
    4. Klicken Sie auf OK.
  7. Ordnen Sie eine Gruppe einem Job zu.

    Ein Job gehört zu einer Benutzergruppe und zu einer Verwaltungsgruppe. Wenn die Variable JOB_SECURITY_ADMIN_GROUP nicht definiert ist, ordnet der Job-Scheduler jedem Job automatisch die Verwaltungsgruppe zu.

    • Konfigurieren Sie den Wert für den Verwaltungsgruppennamen mit der angepassten Eigenschaft JOB_SECURITY_ADMIN_GROUP des Job-Schedulers:
      JOB_SECURITY_ADMIN_GROUP=JSYSADMN
      Der Standardverwaltungsgruppenname ist JSYSADMN.
    • Ordnen Sie die Gruppe mit einer der folgenden Methoden zu:
      • Definieren Sie die Gruppe im Attribut "group" in der xJCL, z. B.:
        <job-name=”{jobname}” group=”{group-name}” …  />
      • Definieren Sie den Standardgruppennamen des Job-Schedulers mit der angepassten Eigenschaft JOB_SECURITY_DEFAULT_GROUP des Job-Schedulers:
        JOB_SECURITY_DEFAULT_GROUP=JSYSDFLT
        Der Standardgruppenname ist JSYSDFLT.
      Das Attribut "group" in der xJCL hat Vorrang vor der angepassten Eigenschaft des Job-Schedulers. Wenn Sie in Ihrer xJCL keinen Gruppennamen angeben, ordnet der Job-Scheduler den Standardgruppennamen zu.
  8. Definieren Sie EJBROLE-Profile für die Rollen "lradmin" und "lrsubmitter".

    Wenn Sie SAF-EJBROLE-Profile (System Authorization Facility) im Betriebssystem z/OS verwenden, um rollenbasierte Sicherheit zu verwalten, definieren Sie EJBROLE-Profile für die Rollen "lradmin" und "lrsubmitter". Teilen Sie diese Rollen den entsprechenden SAF-Benutzer-IDs für Administratoren und übergebende Benutzer von Stapeljobs zu.

Ergebnisse

Sie haben eine Gruppe erstellt und der Gruppe einen Benutzer zugeordnet. Außerdem haben Sie die Benutzer-ID der entsprechenden Rolle zugeordnet, damit der Benutzer Jobs verwalten kann, wenn die Rolle die jeweiligen Aktionen zulässt.

Nächste Schritte

Verwalten Sie Jobs mithilfe der Gruppen- und Rollensicherheit.

  1. Übergeben Sie den Job.
  2. Lassen Sie den Benutzer, den Sie in einem der vorherigen Schritte erstellt haben, Aktionen für den Job ausführen (beispielsweise durch Ansicht des Jobprotokolls).

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tgrid_bgsecure_user_group_zos
Dateiname:tgrid_bgsecure_user_group_zos.html