Autorización del acceso a roles administrativos
Puede asignar usuarios y grupos a roles administrativos para identificar a los usuarios que pueden realizar las funciones administrativas de WebSphere Application Server.
Antes de empezar
Los roles administrativos permiten controlar el acceso a funciones administrativas de WebSphere Application Server. Consulte las descripciones de estos roles en Roles administrativos.
![[z/OS]](../images/ngzos.gif)
- Utilización de la autorización SAF (System Authorization Facility) para controlar el acceso a roles administrativos: cuando com.ibm.security.SAF.authorization se establece en true, los perfiles EJBROLE de SAF se utilizan para controlar el acceso a los roles administrativos. Para obtener más información, consulte el apartado System Authorization Facility para autorización basada en roles.
- Si selecciona Utilizar un producto de seguridad z/OS durante la
creación de perfiles en la herramienta de gestión de perfiles z/OS, y
especifica adicionalmente un valor para el prefijo de perfil SAF (anteriormente denominado dominio de seguridad
z/OS), los trabajos de personalización definen los siguientes roles
administrativos. El prefijo
de perfil SAF se puede especificar durante la creación de perfiles,
y configGroup representa el nombre del grupo de configuración de WebSphere Application
Server que elija.
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor UACC(NONE) PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)monitor CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)configurator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)operator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)auditor CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
- Si posteriormente decide activar la autorización SAF, debe emitir
estos mandatos RACF (Resource Access Control Facility) para habilitar el
funcionamiento correcto de WebSphere Application Server. Puede dar acceso de usuario a todas las funciones administrativas
conectándose al grupo de configuración:
CONNECT mvsid GROUP(configGroup)
- También puede asignar usuarios individuales a roles específicos
emitiendo el mandato
RACF
siguiente:
PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
- No tiene que reiniciar al servidor para que los
cambios de EJBROLE de SAF entren en vigor. Sin embargo, después de que
se realicen los cambios SAF, debe emitir el siguiente mandato
RACF
(o el mandato equivalente para su sistema de seguridad), para renovar
las tablas de seguridad:
SETROPTS RACLIST(EJBROLE) REFRESH
- Utilización de la autorización de WebSphere para controlar el acceso a roles administrativos: cuando com.ibm.security.SAF.authorization se establece en false, se utiliza la autorización de WebSphere Application Server y la consola administrativa para controlar el acceso a los roles administrativos.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
- Antes de asignar a los usuarios los roles administrativos, debe configurar el registro de usuarios. Para obtener información sobre el registro soportado, consulte Selección de un registro o repositorio.
- Para asignar usuarios a los roles administrativos es necesario realizar los pasos siguientes:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Acerca de esta tarea
Procedimiento
- Pulse Usuarios y grupos. Pulse Roles de usuario administrativo o Roles de grupo administrativo.
- Para añadir un usuario o un grupo, pulse Añadir en el panel Usuarios de consola o Grupos de consola.
- Para añadir un nuevo usuario administrador, siga las instrucciones de la página para especificar un usuario y seleccione el rol de administrador. Una vez añadido el usuario a la lista Correlacionado con el rol, pulse Aceptar. El usuario especificado se correlaciona con el rol de seguridad.
- Para añadir un nuevo grupo administrativo, siga las instrucciones de la página para especificar un nombre de grupo o un sujeto especial, resalte el rol de administrador y pulse Aceptar. El grupo especificado o el sujeto especial se correlaciona con el rol de seguridad.
- Para eliminar la asignación de un usuario o grupo, pulse Eliminar en el panel Usuarios de consola o Grupos de consola. En el panel Usuarios de consola o Grupos de consola, seleccione el recuadro de selección del usuario o grupo que se ha de eliminar y pulse Aceptar.
- Para gestionar el conjunto de usuarios o grupos que se ha de visualizar, pulse Mostrar función de filtro en el panel Roles de usuario o Roles de grupos. En el recuadro de selección Términos de búsqueda:, escriba un valor y pulse Ir. Por ejemplo, user* únicamente muestra los usuarios con el prefijo user.
- Después de realizar las modificaciones, pulse Guardar para guardar las correlaciones.
- Reinicie el servidor de aplicaciones para que los cambios entren en vigor.
Cierre los nodos, agentes de nodo y el gestor de despliegue.
Verifique que no se esté ejecutando ningún proceso Java. Si se están ejecutando, interrumpa estos procesos.
Reinicie el gestor de despliegue.
Vuelva a sincronizar los nodos. Para volver a sincronizar los nodos, ejecute el mandato raíz_instalación/bin/syncNode o raíz_instalación/bin/syncNode.sh para cada nodo. Utilice el mandato synchNode.
Vuelva a sincronizar los nodos. Para volver a sincronizar los nodos, ejecute el script raíz_instalación/bin/syncNode desde la línea de mandatos de Qshell para todos los nodos. Utilice el mandato synchNode.
Reinicie los nodos. Para reiniciar los nodos, ejecute el mandato raíz_instalación/bin/startNode o raíz_instalación/bin/startNode.sh para cada nodo. Utilice el mandato startNode.
Reinicie los nodos. Para reiniciar los nodos, ejecute el script raíz_instalación/bin/startNode desde la línea de mandatos de Qshell para todos los nodos. Utilice el mandato startNode.
Inicie todos los clústeres, si es aplicable.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Qué hacer a continuación
Después de asignar los usuarios a roles administrativos, debe reiniciar
el gestor de despliegue para que los nuevos roles entren en vigor.
No obstante, los recursos
administrativos no están protegidos hasta que habilite la seguridad.