[z/OS]

Zugriff auf die Konsole bei der Verwendung einer LocalOS-Registry steuern

Das Hinzufügen von Konsolenbenutzern und das Berechtigungen dieser Benutzer für eine Zelle umfasst die Anpassung der Benutzerregistry und der Berechtigungseinstellungen. Die Form der Berechtigung von Konsolenbenutzern wird über eine angepasste Eigenschaft der Benutzerregistry gesteuert. Unabhängig von der verwendeten Berechtigungsform besteht das Ergebnis darin, dass eine MVS-Benutzer-ID für den WebSphere-Administrator in der Lage ist, auf alle Funktionen der Administrationskonsole zuzugreifen und das Scripting-Tool für Verwaltung zu verwenden, wenn die Sicherheit aktiviert wird.

Informationen zu diesem Vorgang

Wenn Sie eine andere Registry als das lokale Betriebssystem und SAF-Berechtigung verwenden, müssen Sie die Identitäten von WebSphere Application Server SAF-Benutzer-IDs zuordnen. Damit die Konsolenrollen durch die SAF-Berechtigung verwaltet werden, müssen Sie die SAF-Berechtigung für die Zelle aktivieren. Klicken Sie zum Aktivieren der SAF-Berechtigung auf Sicherheit > Globale Sicherheit > Externe Berechtigungsprovider und anschließend auf SAF-Berechtigung, um die SAF-Berechtigung zu aktivieren. Wenn Sie diese Option aktivieren, werden SAF-EJBROLE-Profile verwendet, um Konsolenbenutzer zu berechtigen. Andernfalls wird standardmäßig die Administrationskonsole verwendet, um Konsolenbenutzer und -gruppen zu berechtigen.

Unabhängig vom Typ der ausgewählten Registry oder Berechtigungseinstellung autorisiert der Konfigurationsprozess die WebSphere-Konfigurationsgruppe (zu der alle WebSphere-Serveridentitäten zugelassen sind) und eine MVS-Benutzer-ID (für den WebSphere-Administrator) für die Ausführung der folgenden Tasks:
  • Zugriff auf alle Funktionen der Administrationskonsole
  • Verwendung des Scriptings-Tools für die Verwaltung, wenn die Sicherheit erstmalig aktiviert wird
Wenn auf einer z/OS-Plattform die SAF-Berechtigung ausgewählt ist, wird das Sondersubjekt "server" nicht als Benutzer-ID mit Verwaltungsaufgaben verwendet. (Profile Management Tool von WebSphere for z/OS oder der Befehl zpmt generiert einen Benutzer mit Verwaltungsaufgaben, der zur Verwaltungsgruppe gehört und Berechtigungen erteilen kann.)

Mit SAF-Berechtigung den Zugriff auf Verwaltungsfunktionen steuern

Wenn die SAF-Berechtigung während der Systemanpassung ausgewählt wird, werden EJBROLE-Profile für die Verwaltung von den RACF-Jobs definiert, die mit dem Profile Management Tool für z/OS generiert werden. Falls die SAF-Berechtigung später ausgewählt wird, setzen Sie die folgenden RACF-Befehle (oder entsprechende Befehle des Sicherheitsservers) ab, um dem Server und dem Administrator die Verwaltung von WebSphere Application Server zu ermöglichen:
Anmerkung: Zusätzlich können Sie einen Wert für das SAF-Profilpräfix angeben (das bisher als z/OS-Sicherheitsdomäne bezeichnet wurde).
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor       UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator  UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)deployer      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)adminsecuritymanager      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor      UACC(NONE)

PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(adminGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)monitor       CLASS(EJBROLE) ID(monitorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)configurator  CLASS(EJBROLE) ID(configuratorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)operator      CLASS(EJBROLE) ID(operatorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)deployer      CLASS(EJBROLE) ID(deployerGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)adminsecuritymanager  CLASS(EJBROLE) ID(adminSecurityGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)auditor  CLASS(EJBROLE) ID(auditorGroup) ACCESS(READ)
Falls weitere Benutzer auf die Verwaltungsfunktionen zugreifen müssen, können Sie einen Benutzer für jede der vorgenannten Rollen berechtigen, indem Sie den folgenden RACF-Befehl absetzen:
PERMIT (optionalSAFProfilePrefix.)rolename   CLASS(EJBROLE)  ID(mvsid) ACCESS(READ)
Sie können einem Benutzer Zugriff auf alle Verwaltungsfunktionen geben, indem Sie ihn mit der Konfigurationsgruppe verbinden:
CONNECT  mvsid  GROUP(configGroup)

Mit WebSphere Authorization den Zugriff auf Verwaltungsfunktionen steuern:

Führen Sie die folgenden Schritte aus, um Benutzer Verwaltungsrollen zuzuordnen.

Vorgehensweise

  1. Klicken Sie in der Administrationskonsole auf Systemverwaltung > Konsoleinstellungen.
  2. Klicken Sie auf Konsolenbenutzer > Hinzufügen oder auf Konsolengruppen > Hinzufügen.
  3. Fügen Sie die gewünschten Benutzeridentitäten hinzu. Weitere Informationen zu den Rollen für Konsolenbenutzer finden Sie im Artikel Verwaltungsrollen und Berechtigung für den Namensservice.
    Anmerkung:
    • Wenn die SAF-Berechtigung aktiviert ist, wird die WebSphere Application Server-Berechtigung, die in der Administrationskonsole definiert ist, ignoriert.
    • Bei den Namen von SAF-Rollen wird zwischen Groß-/Kleinschreibung unterschieden.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_addconsole
Dateiname:tsec_addconsole.html