Política de seguridad de MBean por omisión

Este tema describe la política de seguridad de bean gestionado (MBean). En la mayoría de los casos, los desarrolladores de MBean no necesitan especificar una política de seguridad.

Existen tres tipos de MBeans para la política de seguridad de MBean por omisión:
  • MBean de tipo de configuración
  • MBean de tipo de tiempo de ejecución
  • MBean de tipo de desplegador
Un atributo opcional en el archivo XML del descriptor de MBean define el tipo de MBean.
El MBean ConfigRepository es un ejemplo de uno de los tipos de configuración. En el archivo de descriptor configRepository.xml, el atributo configureMBean = "true" indica que el MBean es un tipo de configuración.
<MBean type="ConfigRepository"
  version="5.0"
  platform="common"
  description="Management interface for the configuration repository."
  configureMBean="true">
MBean de EJBModule es un ejemplo de MBeans de tipo de desplegador. En el archivo descriptor EJBModule.xml, el atributo deployerMBean = "true" indica que el MBean es un tipo de desplegador.
<MBean type="EJBModule" j2eeType="EJBModule"
  version="5.0"
  platform="dynamicproxy"
  resourceIdentifierKey="Application"
  resourceType="Application"
  deployerMBean="true"
  description="Management interface for the EJBModule component.">

El control de acceso basado en roles ampliado de WebSphere Application Server da soporte a la herencia de roles. Existen cinco roles administrativos de administrador, configurador, operador, desplegador y supervisor. El rol de supervisor es el rol administrativo con menos privilegios. Los usuarios a los que se otorga el rol de supervisor pueden ver la configuración de WebSphere Application Server y el estado del tiempo de ejecución, pero no pueden realizar ningún cambio. Los demás roles administrativos tienen su propio conjunto de privilegios exclusivos así como los mismos privilegios que el rol de supervisor.

El rol de configurador tiene permiso para modificar datos de configuración de WebSphere Application Server. El rol de operador tiene permiso para cambiar el estado de tiempo de ejecución como, por ejemplo, el inicio y la detención de recursos administrativos. Un rol de configurador no puede cambiar el estado de tiempo de ejecución y, por su parte, un rol de operador no puede cambiar la configuración de WebSphere Application Server. El rol de administrador incluye los roles de configurador y operador, pero tiene más permisos que la unión de estos dos. Además, el rol de administrador puede cambiar la configuración de seguridad administrativa. Una imagen sencilla muestra la relación de herencia de los roles administrativos. El rol de desplegador es una combinación de los roles de configurador y operador para la gestión de aplicaciones. El rol de desplegador tiene permiso de configurador y operador para las aplicaciones. Un diagrama muestra la relación de herencia de los roles administrativos.

Relación de herencia de los roles de seguridad administrativos

A cada operación o método de MBean se le asigna un atributo de impacto con un valor INFO o ACTION. A continuación se proporcionan algunos ejemplos:
  • Un método de obtención tiene un valor de impacto INFO y un método de escritura tiene un valor de impacto ACTION.
  • En el MBean ConfigRepository, el método de extracción no cambia los datos de configuración y tiene un valor de impacto INFO, mientras que el método de modificación tiene un valor de impacto ACTION.
  • En el MBean de la JVM (Máquina virtual Java™), que es un tipo de operador de MBean, el método ggetCurrentTimeInMillis tiene un valor de impacto de ACTION.

Un método de MBean de configuración que tenga un valor de impacto INFO necesita el rol de supervisor. Un método de MBean de configuración que tenga un valor de impacto ACTION necesita el rol de configurador. Un método de MBean de desplegador que tenga un valor de impacto INFO necesita el rol de supervisor. Un método de MBean de desplegador que tenga un valor de impacto ACTION necesita el rol de desplegador. Dado que todos los roles administrativos son roles de supervisión, cualquier rol administrativo puede acceder a métodos de MBean de configuración y a métodos de MBean de despliegue que tengan un valor de impacto INFO. El rol de administrador es un rol de configurador y tiene acceso a los métodos de MBean de configuración que tienen un valor de impacto ACTION.

La política de seguridad por omisión del MBean de configuración se resume en la tabla siguiente:

Tabla 1. Valores de impacto y roles de seguridad de método MBean de configuración. Una X indica que el método de MBean requiere el rol de forma predeterminada.
Impacto del método Rol de supervisor Rol de operador Rol de configurador Rol de desplegador Rol de administrador
INFO X X X X X
ACTION     X   X

La política de seguridad por omisión del MBean de operación se resume en la tabla siguiente:

Tabla 2. Valores de impacto y roles de seguridad de método MBean de operación. Una X indica que el método de MBean requiere el rol de forma predeterminada.
Impacto del método Rol de supervisor Rol de operador Rol de configurador Rol de desplegador Rol de administrador
INFO X X X X X
ACTION   X     X

La política de seguridad por omisión del MBean de despliegue se resume en la tabla siguiente:

Tabla 3. Valores de impacto y roles de seguridad de método MBean de desplegador. Una X indica que el método de MBean requiere el rol de forma predeterminada.
Impacto del método Rol de supervisor Rol de operador Rol de configurador Rol de desplegador Rol de administrador
INFO X X X X X
ACTION   X   X X

Si un MBean tiene los atributos configureMBean y deployerMBean establecidos en true, el rol necesario para todas las acciones es el de configurador o supervisor. No existe un MBean como ése definido actualmente en el sistema.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjmx_admin_defmbsec
File name: cjmx_admin_defmbsec.html