![[z/OS]](../images/ngzos.gif)
System Authorization Facility para autorización administrativa de gran precisión
Cuando se utiliza una seguridad administrativa de gran precisión, los recursos administrativos se particionan en varios grupos de autorización. Cada grupo de autorización contiene su propia tabla de autorización, que representa la correlación de roles de usuario con administrador para ese grupo de administración.
El mismo conjunto de roles administrativos existe para todos los grupos de autorización. No obstante, los usuarios correlacionados con los roles administrativos pueden variar. Todavía existen roles administrativos de nivel de célula que representan el acceso a todos los recursos de la célula.
Cuando RACF (Resource Access Control Facility) o SAF (System Authorization Facility) se utilizan para configurar la correlación de usuarios con roles, se debe definir un perfil EJBROLE para cada rol de los distintos grupos de autorización, así como los perfiles definidos previamente para los roles de administrador de nivel de célula. Hay seis perfiles definidos en la clase RACF EJBROLE para la autorización administrativa. Estos son administrator, configurator, monitor, operator, deployer y adminsecuritymanager.
Los grupos de autorización pueden crearse utilizando la herramienta de configuración de WebSphere Application Server (wsadmin). Después de crear un grupo de autorización, la correlación de usuario con rol del grupo de autorización también puede realizarse utilizando wsadmin. No obstante, cuando RACF se utiliza para almacenar la correlación de usuario con el rol de administrador, el administrador RACF, debe realizar pasos adicionales para realizar las correlaciones de usuarios con roles. Para cada rol de administrador del grupo de autorización recién creado, se debe definir un perfil EJBROLE. Se debe otorgar el acceso a los perfiles EJBROLE recién creados a los usuarios.
Grupo | Correlación de usuario a rol | Correlación de usuario a rol | Correlación de usuario a rol | Correlación de usuario a rol | Correlación de usuario a rol | Correlación de usuario a rol |
---|---|---|---|---|---|---|
grupo1 | administrator=usuario1 | configurator | operator | monitor | deployer=usuario3 | adminsecuritymanager |
grupo2 | administrator=usuario2 | configurator | operator=usuario4 | monitor | desplegador | adminsecuritymanager |
/* activate EJBROLE class */
SETROPTS CLASSACT(EJBROLE)
/* Definición de perfiles EJBROLE para los roles de administración en grupo1 y grupo2 */
/* defina los roles en RACF para grupo1 */
RDEFINE EJBROLE nombreDominio.grupo1.administrator UACC(NONE)
RDEFINE EJBROLE nombreDominio.grupo1.configurator UACC(NONE)
RDEFINE EJBROLE nombreDominio.grupo1.operator UACC(NONE)
RDEFINE EJBROLE nombreDominio.grupo1.monitor UACC(NONE)
RDEFINE EJBROLE nombreDominio.grupo1.deployer UACC(NONE)
RDEFINE EJBROLE nombreDominio.grupo1.adminsecuritymanager UACC(NONE)
/* defina los roles en RACF para grupo2 */
RDEFINE EJBROLE nombreDominio.grupo2.administrator UACC(NONE)
RDEFINE EJBROLE nombreDominio.grupo2.configurator UACC(NONE)
RDEFINE EJBROLE nombreDominio.grupo2.operator UACC(NONE)
RDEFINE EJBROLE nombreDominio.grupo2.monitor UACC(NONE)
RDEFINE EJBROLE nombreDominio.grupo2.deployer UACC(NONE)
RDEFINE EJBROLE nombreDominio.grupo2.adminsecuritymanager UACC(NONE)
/* Correlación de usuarios con roles en grupo1 y grupo2 */
/* correlacione usuario1 con el rol administrator en grupo1 */
PERMIT nombreDominio.grupo1.administrator CLASS(EJBROLE) ID(USER1) ACCESS(READ)
/* correlacione usuario3 con el rol deployer en grupo1 */
PERMIT nombreDominio.grupo1.deployer CLASS(EJBROLE) ID(USER3) ACCESS(READ)
/* correlacione usuario2 con el rol administrator en grupo2 */
PERMIT nombreDominio.grupo2.administrator CLASS(EJBROLE) ID(USER2) ACCESS(READ)
/* correlacione usuario4 con el rol operator en grupo2 */
PERMIT nombreDominio.grupo2.operator CLASS(EJBROLE) ID(USER4) ACCESS(READ)
/* renueve la clase EJBROLE en RACF */
SETROPTS RACLIST(EJBROLE) REFRESH"
donde nombreDominio representa el dominio de seguridad de la célula de WebSphere Application Server.
Tenga en cuenta que el perfil EJBROLE para todos los roles de cada grupo de autorización puede crearse independientemente de si un usuario cualquiera está correlacionado con ese rol.