[z/OS]

Control de acceso a los usuarios de la consola cuando se utiliza el registro de LocalOS

Añadir usuarios de consola y autorizarlos en la célula incluye ajustar los valores de autorización y registro de usuario. Una propiedad personalizada de registro de usuario controla la forma de autorización de usuarios de consola. Independientemente de la forma de autorización utilizada, el resultado es que un ID de usuario de MVS para la identidad de administrador de WebSphere puede acceder a todas las funciones de la consola administrativa y utilizar la herramienta de scripts administrativos al habilitarse la seguridad por primera vez.

Acerca de esta tarea

Si se utilizan registros de sistema operativo no locales y la autorización SAF (System Authorization Facility), debe utilizar la correlación de identidades para correlacionar las identidades de WebSphere Application Server con los ID de usuario de SAF. Para que la autorización SAF gestione los roles de la consola, debe activar la autorización SAF para la célula. Para habilitar la autorización SAF, pulse Seguridad > Seguridad global > Proveedores de autorización externos > y pulse Autorización SAF (System Authorization Facility) para habilitar la autorización SAF. Si habilita la opción, los perfiles EJBROLE de SAF se utilizan para autorizar a los usuarios de la consola. En caso contrario, la consola administrativa, de forma predeterminada, se utiliza para autorizar a los usuarios y grupos de la consola.

Independientemente del tipo de valor de registro o autorización que se seleccione, el proceso de configuración autoriza al grupo de configuración de WebSphere (al que se permiten todas las identidades de WebSphere Server), y a un ID de usuario de MVS para la identidad del administrador de WebSphere para que realicen las tareas siguientes:
  • Acceder a todas las funciones de la consola de administración
  • Utilizar la herramienta de script administrativa cuando se habilita la seguridad por primera vez
Cuando se selecciona la autorización SAF en z/OS, el sujeto especial del servidor no se utiliza como ID de usuario administrativo. Tenga en cuenta que la utilización de la herramienta de gestión de perfiles WebSphere z/OS o el mandato zpmt generan un usuario administrativo, que es miembro del grupo administrativo y puede utilizarse para la autorización.

Utilización de la autorización de SAF para controlar el acceso a las funciones administrativas

Cuando se selecciona la autorización SAF durante la personalización de sistemas, los trabajos RACF generados mediante la herramienta de gestión de perfiles z/OS definen los perfiles EJBROLE administrativos para todos los roles administrativos. Si posteriormente se selecciona la autorización SAF, emita los siguientes mandatos RACF (o mandatos del servidor de seguridad equivalentes) para habilitar los servidores y al administrador para administrar WebSphere Application Server:
Nota: También puede especificar un valor para el prefijo de perfil SAF (anteriormente conocido como dominio de seguridad z/OS).
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor       UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator  UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)deployer      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)adminsecuritymanager      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor      UACC(NONE)

PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(adminGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)monitor       CLASS(EJBROLE) ID(monitorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)configurator  CLASS(EJBROLE) ID(configuratorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)operator      CLASS(EJBROLE) ID(operatorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)deployer      CLASS(EJBROLE) ID(deployerGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)adminsecuritymanager  CLASS(EJBROLE) ID(adminSecurityGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)auditor  CLASS(EJBROLE) ID(auditorGroup) ACCESS(READ)
Si usuarios adicionales requieren acceso a las funciones administrativas, puede permitirles acceder a cualquiera de los roles anteriores emitiendo el siguiente mandato RACF:
PERMIT (optionalSAFProfilePrefix.)rolename   CLASS(EJBROLE)  ID(mvsid) ACCESS(READ)
Puede dar acceso de usuario a todas las funciones administrativas conectándolo al grupo de configuración:
CONNECT  mvsid  GROUP(configGroup)

Utilizando la autorización de WebSphere para controlar el acceso a las funciones administrativas:

Para asignar usuarios a roles administrativos, complete los pasos siguientes:

Procedimiento

  1. En la consola administrativa, expanda Administración del sistema > Valores de consola.
  2. Pulse Usuarios de consola > Añadir o Grupos de consola > Añadir.
  3. Añada las identidades de usuario que desee. Si desea más información sobre los roles de usuario de consola, consulte Roles administrativos y autorización de servicios de nombres.
    Nota:
    • Cuando la autorización SAF está en vigor, se ignora la autorización de WebSphere Application Server, como se especifica en la consola administrativa.
    • Los nombres de roles de SAF son sensibles a mayúsculas y minúsculas.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_addconsole
File name: tsec_addconsole.html