![[z/OS]](../images/ngzos.gif)
Control de acceso a los usuarios de la consola cuando se utiliza el registro de LocalOS
Añadir usuarios de consola y autorizarlos en la célula incluye ajustar los valores de autorización y registro de usuario. Una propiedad personalizada de registro de usuario controla la forma de autorización de usuarios de consola. Independientemente de la forma de autorización utilizada, el resultado es que un ID de usuario de MVS para la identidad de administrador de WebSphere puede acceder a todas las funciones de la consola administrativa y utilizar la herramienta de scripts administrativos al habilitarse la seguridad por primera vez.
Acerca de esta tarea
Si se utilizan registros de sistema operativo no locales y la autorización SAF (System Authorization Facility), debe utilizar la correlación de identidades para correlacionar las identidades de WebSphere Application Server con los ID de usuario de SAF. Para que la autorización SAF gestione los roles de la consola, debe activar la autorización SAF para la célula. Para habilitar la autorización SAF, pulse Seguridad > Seguridad global > Proveedores de autorización externos > y pulse Autorización SAF (System Authorization Facility) para habilitar la autorización SAF. Si habilita la opción, los perfiles EJBROLE de SAF se utilizan para autorizar a los usuarios de la consola. En caso contrario, la consola administrativa, de forma predeterminada, se utiliza para autorizar a los usuarios y grupos de la consola.
- Acceder a todas las funciones de la consola de administración
- Utilizar la herramienta de script administrativa cuando se habilita la seguridad por primera vez
Utilización de la autorización de SAF para controlar el acceso a las funciones administrativas
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)deployer UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor UACC(NONE)
PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(adminGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)monitor CLASS(EJBROLE) ID(monitorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)configurator CLASS(EJBROLE) ID(configuratorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)operator CLASS(EJBROLE) ID(operatorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)deployer CLASS(EJBROLE) ID(deployerGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)adminsecuritymanager CLASS(EJBROLE) ID(adminSecurityGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)auditor CLASS(EJBROLE) ID(auditorGroup) ACCESS(READ)
Si usuarios adicionales requieren acceso a las funciones
administrativas, puede permitirles acceder a cualquiera de los roles
anteriores emitiendo el siguiente mandato
RACF: PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
CONNECT mvsid GROUP(configGroup)
Utilizando la autorización de WebSphere para controlar el acceso a las funciones administrativas:
Para asignar usuarios a roles administrativos, complete los pasos siguientes: