Autorización del acceso a roles administrativos

Puede asignar usuarios y grupos a roles administrativos para identificar a los usuarios que pueden realizar las funciones administrativas de WebSphere Application Server.

Antes de empezar

Los roles administrativos permiten controlar el acceso a funciones administrativas de WebSphere Application Server. Consulte las descripciones de estos roles en Roles administrativos.

[z/OS]
  • Utilización de la autorización SAF (System Authorization Facility) para controlar el acceso a roles administrativos: cuando com.ibm.security.SAF.authorization se establece en true, los perfiles EJBROLE de SAF se utilizan para controlar el acceso a los roles administrativos. Para obtener más información, consulte el apartado System Authorization Facility para autorización basada en roles.
  • Si selecciona Utilizar un producto de seguridad z/OS durante la creación de perfiles en la herramienta de gestión de perfiles z/OS, y especifica adicionalmente un valor para el prefijo de perfil SAF (anteriormente denominado dominio de seguridad z/OS), los trabajos de personalización definen los siguientes roles administrativos. El prefijo de perfil SAF se puede especificar durante la creación de perfiles, y configGroup representa el nombre del grupo de configuración de WebSphere Application Server que elija.
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor       UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator  UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator      UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor      UACC(NONE)
    
    PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)monitor       CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)configurator  CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)operator      CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)auditor       CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
  • Si posteriormente decide activar la autorización SAF, debe emitir estos mandatos RACF (Resource Access Control Facility) para habilitar el funcionamiento correcto de WebSphere Application Server. Puede dar acceso de usuario a todas las funciones administrativas conectándose al grupo de configuración:
    CONNECT  mvsid  GROUP(configGroup)
  • También puede asignar usuarios individuales a roles específicos emitiendo el mandato RACF siguiente:
    PERMIT (optionalSAFProfilePrefix.)rolename   CLASS(EJBROLE)  ID(mvsid) ACCESS(READ)
  • No tiene que reiniciar al servidor para que los cambios de EJBROLE de SAF entren en vigor. Sin embargo, después de que se realicen los cambios SAF, debe emitir el siguiente mandato RACF (o el mandato equivalente para su sistema de seguridad), para renovar las tablas de seguridad:
    SETROPTS RACLIST(EJBROLE)  REFRESH
  • Utilización de la autorización de WebSphere para controlar el acceso a roles administrativos: cuando com.ibm.security.SAF.authorization se establece en false, se utiliza la autorización de WebSphere Application Server y la consola administrativa para controlar el acceso a los roles administrativos.
[AIX Solaris HP-UX Linux Windows][IBM i]
  • Antes de asignar a los usuarios los roles administrativos, debe configurar el registro de usuarios. Para obtener información sobre el registro soportado, consulte Selección de un registro o repositorio.
  • Para asignar usuarios a los roles administrativos es necesario realizar los pasos siguientes:
[AIX Solaris HP-UX Linux Windows][IBM i]

Acerca de esta tarea

Utilice la consola administrativa para asignar usuarios y grupos a roles administrativos y para identificar a los usuarios que pueden realizar funciones administrativas de WebSphere Application Server. En la consola administrativa,

Procedimiento

  1. Pulse Usuarios y grupos. Pulse Roles de usuario administrativo o Roles de grupo administrativo.
  2. Para añadir un usuario o un grupo, pulse Añadir en el panel Usuarios de consola o Grupos de consola.
  3. Para añadir un nuevo usuario administrador, siga las instrucciones de la página para especificar un usuario y seleccione el rol de administrador. Una vez añadido el usuario a la lista Correlacionado con el rol, pulse Aceptar. El usuario especificado se correlaciona con el rol de seguridad.
  4. Para añadir un nuevo grupo administrativo, siga las instrucciones de la página para especificar un nombre de grupo o un sujeto especial, resalte el rol de administrador y pulse Aceptar. El grupo especificado o el sujeto especial se correlaciona con el rol de seguridad.
  5. Para eliminar la asignación de un usuario o grupo, pulse Eliminar en el panel Usuarios de consola o Grupos de consola. En el panel Usuarios de consola o Grupos de consola, seleccione el recuadro de selección del usuario o grupo que se ha de eliminar y pulse Aceptar.
  6. Para gestionar el conjunto de usuarios o grupos que se ha de visualizar, pulse Mostrar función de filtro en el panel Roles de usuario o Roles de grupos. En el recuadro de selección Términos de búsqueda:, escriba un valor y pulse Ir. Por ejemplo, user* únicamente muestra los usuarios con el prefijo user.
  7. Después de realizar las modificaciones, pulse Guardar para guardar las correlaciones.
  8. Reinicie el servidor de aplicaciones para que los cambios entren en vigor.
  9. [AIX Solaris HP-UX Linux Windows][IBM i]Cierre los nodos, agentes de nodo y el gestor de despliegue.
  10. [AIX Solaris HP-UX Linux Windows][IBM i]Verifique que no se esté ejecutando ningún proceso Java. Si se están ejecutando, interrumpa estos procesos.
  11. [AIX Solaris HP-UX Linux Windows][IBM i]Reinicie el gestor de despliegue.
  12. [AIX Solaris HP-UX Linux Windows]Vuelva a sincronizar los nodos. Para volver a sincronizar los nodos, ejecute el mandato raíz_instalación/bin/syncNode o raíz_instalación/bin/syncNode.sh para cada nodo. Utilice el mandato synchNode.
  13. [IBM i]Vuelva a sincronizar los nodos. Para volver a sincronizar los nodos, ejecute el script raíz_instalación/bin/syncNode desde la línea de mandatos de Qshell para todos los nodos. Utilice el mandato synchNode.
  14. [AIX Solaris HP-UX Linux Windows]Reinicie los nodos. Para reiniciar los nodos, ejecute el mandato raíz_instalación/bin/startNode o raíz_instalación/bin/startNode.sh para cada nodo. Utilice el mandato startNode.
  15. [IBM i]Reinicie los nodos. Para reiniciar los nodos, ejecute el script raíz_instalación/bin/startNode desde la línea de mandatos de Qshell para todos los nodos. Utilice el mandato startNode.
  16. [AIX Solaris HP-UX Linux Windows][IBM i]Inicie todos los clústeres, si es aplicable.
[AIX Solaris HP-UX Linux Windows]

Qué hacer a continuación

[AIX Solaris HP-UX Linux Windows]Después de asignar los usuarios a roles administrativos, debe reiniciar el gestor de despliegue para que los nuevos roles entren en vigor. No obstante, los recursos administrativos no están protegidos hasta que habilite la seguridad.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tselugradro
File name: tsec_tselugradro.html