Verwaltungsrollen
Das rollenbasierte Java™-EE-Berechtigungsverfahren (Java Platform, Enterprise Edition) wurde erweitert, um das Verwaltungssubsystem von WebSphere Application Server zu schützen.
Einige Verwaltungsrollen wurden definiert, um verschiedene Berechtigungsgrade bereitzustellen, die zur Ausführung bestimmter Verwaltungsfunktionen in der webbasierten Administrationskonsole oder der Scripting-Schnittstelle der Systemverwaltung erforderlich sind. Die Berechtigungsrichtlinie wird nur bei Aktivierung der Verwaltungssicherheit umgesetzt. In der folgenden Tabelle sind die Verwaltungsrollen beschrieben:
Rolle | Beschreibung |
---|---|
Monitor (Überwachung) | Diese Rolle besitzt die wenigsten Berechtigungen. Zur
Rolle "Monitor" gehören die folgenden Tasks:
|
Configurator (Konfiguration) | Diese Rolle besitzt zusätzlich zur Überwachungsberechtigung die
Berechtigung, die Konfiguration von WebSphere Application Server zu ändern. Mit dieser Rolle
können alle alltäglichen Konfigurationstasks ausgeführt werden. Mit der Rolle
"Configurator" können die folgenden Tasks ausgeführt werden:
|
Operator (Bedienung) | Diese Rolle besitzt zusätzlich zur Überwachungsberechtigung die
Berechtigung, die Konfiguration des Laufzeitstatus zu ändern. Es können beispielsweise
folgende Tasks ausgeführt werden:
|
Administrator (Verwaltung) | Diese Rolle besitzt außer den Berechtigungen der Rollen
"Bedienung" und "Konfiguration" weitere Berechtigungen, die nur ihr zugewiesen sind. Ein Administrator kann z. B.
die folgenden Tasks ausführen:
Wichtig: Ein Administrator den Rollen "Administration" keine Benutzer und Gruppen zuordnen, es sei denn, er hat auch
die Rolle "Verwaltungssicherheitsmanagement".
|
iscadmins | Diese Rolle ist nur für Benutzer der Administrationskonsole verfügbar, nicht für Benutzer von
wsadmin. Benutzer, die dieser Rolle zugeordnet sind, haben Administratorrechte für die Verwaltung
von Benutzern und Gruppen in eingebundenen Repositorys.
Ein Benutzer der Rolle iscadmins kann beispielsweise die folgenden Tasks ausführen:
|
Deployer (Implementierung) | Benutzer, die dieser Rolle zugeordnet sind, können Konfigurationsaktionen und Laufzeitoperationen für Anwendungen ausführen. Weitere Einzelheiten finden Sie im Abschnitt Rolle "Deployer". |
Verwaltungssicherheitsmanager | Über wsadmin-Scripts und die Administrationskonsole können Sie Benutzer und Gruppen der Rolle "Verwaltungssicherheitsmanagement" auf Zellenebene zuordnen. Mit der Rolle "Verwaltungssicherheitsmanager" können Sie Benutzer und Gruppen Rollen für Benutzer mit Verwaltungsaufgaben bzw. Rollen für Gruppen mit Verwaltungsaufgaben zuordnen. Ein Administrator kann diesen Rollen, einschließlich der Rolle "Verwaltungssicherheitsmanagement", jedoch keine Benutzer oder Gruppen zuordnen. Weitere Einzelheiten finden Sie im Abschnitt Rolle "Verwaltungssicherheitsmanagement". |
Auditor | Benutzer mit dieser Rolle können die Konfigurationseinstellungen für das Subsystem für Sicherheitsprüfung
anzeigen und ändern. Ein Benutzer mit der Rolle "Auditor" kann beispielsweise die folgenden Tasks ausführen:
|
Die angegebene Server-ID und die Verwaltungs-ID (sofern angegeben) werden beim Aktivieren der Verwaltungssicherheit automatisch der Rolle "Adminstrator" (Verwaltung) zugeordnet.
Benutzer und Gruppen können über die WAS-Administrationskonsole jederzeit Verwaltungsrollen hinzugefügt oder aus diesen entfernt werden. Der Name des primären Benutzers mit Verwaltungsaufgaben muss verwendet werden, um sich an der Administrationskonsole anzumelden und die Rollen des Benutzers und der Gruppe mit Verwaltungsaufgaben zu ändern. Nur ein Prüfer, d. h. ein Benutzer mit der Rolle "Auditor", kann diese Rolle für Benutzer und Gruppen ändern. Wenn die Sicherheitsprüfung anfänglich aktiviert wird, wird der primäre Benutzer mit Verwaltungsaufgaben ebenfalls der Rolle "Auditor" zugeordnet, und dieser Benutzer kann dann die Rollen von Benutzer und Gruppen mit Verwaltungsaufgaben ändern. Es wird empfohlen, eine oder mehrere Gruppen und nicht Benutzer bestimmten Verwaltungsrollen zuzuordnen, da eine flexiblere und einfachere Verwaltung ermöglicht wird.
Außerdem können den Verwaltungsrollen neben Benutzern und Gruppen auch Sondersubjekte hinzugefügt werden. Ein Sondersubjekt (special-subject) ist eine Generalisierung einer bestimmten Klasse von Benutzern. Das Sondersubjekt AllAuthenticated (Alle authentifizierten Benutzer) bedeutet, dass die Zugriffsprüfung der Verwaltungsrolle sicherstellt, dass der anfragende Benutzer zumindest authentifiziert wurde. Das Sondersubjekt Everyone (Jeder) bedeutet, dass jeder, ob authentifiziert oder nicht, die Aktion so ausführen darf, als wäre die Sicherheit nicht aktiviert.
Rolle "Deployer"
Ein Benutzer, der der Rolle "Deployer" zugeordnet ist, kann alle Konfigurations- und Laufzeitoperationen für eine Anwendung ausführen. Eine Deployer-Rolle kann sich aus Teilen der Rollen "Configurator" und "Operator" zusammensetzen. Ein Benutzer, der einer Rolle "Deployer" zugeordnet ist, kann jedoch keine anderen Ressourcen (Server, Knoten) konfigurieren oder bedienen.
Wenn eine differenzierte Verwaltungssicherheit verwendet wird, kann nur ein Benutzer, der einer Deployer-Rolle für eine Anwendung zugeordnet ist, diese Anwendung konfigurieren und bedienen.
Die Konfiguration auf Zellenebene beinhaltet die Konfiguration von Anwendungen. Analog dazu beinhaltet die Bedienung auf Zellenebene auch die Bedienung (Starten und Stoppen) von Anwendungen. Ein Benutzer, der der Rolle "Implementierung" auf Zellenebene zugeordnet ist, ist auch berechtigt, alle Anwendungen und Operationen zu konfigurieren und zu bedienen.
Operation | Erforderliche Rollen |
---|---|
Anwendung installieren | Zellenkonfiguration, Zielimplementierung |
Anwendung deinstallieren | Zellenkonfiguration, Anwendungsimplementierung, Zielimplementierung |
Anwendung auflisten | Monitor (Zelle), Monitor (Anwendung) |
Anwendung bearbeiten, aktualisieren und erneut implementieren | Zellenkonfiguration, Anwendungsimplementierung |
Anwendung exportieren | Monitor (Zelle), Monitor (Anwendung) |
Anwendung starten oder stoppen | Operator (Zelle), Deployer (Anwendung) |
- Configurator (Zelle)
- Gibt die Rolle "Konfiguration" auf Zellenebene an.
- Deployer (Anwendung)
- Gibt die Rolle "Implementierung" für die zu verwaltende Anwendung an.
- Deployer (Ziel)
- Gibt die Rolle "Implementierung" für alle Server und Cluster an, für die eine Anwendung bestimmt ist.
Wenn Sie der Rolle "Rolle" für das Ziel zugeordnet sind, können Sie eine neue Anwendung auf dem Zielserver installieren.
Zum Bearbeiten oder Aktualisieren der installierten Anwendung müssen Sie jedoch zu der Berechtigungsgruppe der installierten Anwendung gehören
(Rolle "Deployer" (Anwendung)).
Der für die Zielimplementierung Verantwortliche kann eine neue Anwendung nicht explizit starten oder stoppen. Wenn ein Benutzer mit der Rolle "Deployer" (Ziel) jedoch einen Server auf einem Ziel startet, werden alle Anwendungen, bei denen das Attribut für automatischen Start auf ja eingestellt ist, beim Serverstart gestartet.
Es wird empfohlen, dass der Benutzer mit der Rolle "Deployer" (Ziel) dieses Attribut auf true setzt, wenn der Benutzer mit der Rolle "Deployer" (Anwendung) nicht möchte, dass die Anwendung vom Benutzer mit der Rolle "Deployer" (Ziel) gestartet wird.
Rolle "Verwaltungssicherheitsmanagement"
Die Rolle "Verwaltungssicherheitsmanagement" trennt die Verwaltung der Verwaltungssicherheit von der Verwaltung anderer Anwendungen.
Standardmäßig sind serverId und adminID dieser Rolle in der Berechtigungstabelle auf Zellenebene zugeordnet. Diese Rolle impliziert eine Monitor-Rolle. Die Rolle "Administration" beinhaltet jedoch nicht die Rolle "Verwaltungssicherheitsmanagement".
Aktion | Rolle |
---|---|
Benutzer zu Verwaltungsrollen für die Zellenebene zuordnen | Nur Verwaltungssicherheitsmanager der Zelle |
Benutzer zu Verwaltungsrollen für eine Berechtigungsgruppe zuordnen | Nur der Verwaltungssicherheitsmanager der Berechtigungsgruppe bzw. der Verwaltungssicherheitsmanager der Zelle |
Berechtigungsgruppen verwalten, erstellen, löschen, Ressourcen zu einer Berechtigungsgruppe hinzufügen oder Ressource aus einer Berechtigungsgruppe oder Liste entfernen | Nur Verwaltungssicherheitsmanager der Zelle |
Rolle "Auditor" (Prüfung)
Mit der Rolle "Auditor" wird die Verwaltung der Sicherheitsprüfung von der Verwaltungssicherheit und der übrigen Anwendungsverwaltung getrennt.
Die Rolle "Auditor" wurde hinzugefügt, um die Berechtigung des Prüfers von der Berechtigung des Administrators deutlich zu unterscheiden. Administratoren können der Rolle "Auditor" zugeordnet werden, um die Berechtigungen beider Rollen zu kombinieren. Wenn die Sicherheit zum ersten Mal aktiviert wird, wird der primäre Administrator der Rolle "Auditor" zugeordnet. Ist in Ihrer Situation die Trennung der Berechtigungen erforderlich, können Administratoren sich die Rolle "Auditor" entziehen und sie anderen Benutzern zuordnen.
Eine differenzierte Sicherheit für die Rolle "Auditor" ist nicht implementiert, daher erfordert die Rolle "Auditor" die Rolle "Monitor". Dieser Prozess ermöglicht dem Prüfer, die vom Administrator verwalteten Anzeigen zu lesen, jedoch nicht, sie zu ändern. Der Prüfer hat die uneingeschränkte Berechtigung, die dem Subsystem für Sicherheitsprüfung zugeordneten Anzeigen zu lesen und zu ändern. Dem Administrator hat die Rolle "Monitor" für diese Anzeigen, kann sie jedoch nicht ändern.