Roles administrativos

El concepto de autorizaciones basadas en roles de Java™ EE (Java Platform, Enterprise Edition) se ha ampliado para proteger el subsistema administrativo de WebSphere Application Server.

De este modo, se han definido diferentes roles administrativos que proporcionan los niveles de autorización necesarios para realizar determinadas funciones administrativas de WebSphere tanto de la consola administrativa basada en la Web como de la interfaz de scripts de gestión del sistema. La política de autorización sólo se aplica cuando se ha habilitado seguridad administrativa. La tabla siguiente describe los roles administrativos:

Tabla 1. Roles administrativos. Roles administrativos
Rol Descripción
Supervisor Una persona o grupo que utiliza el rol de supervisor tiene la mínima cantidad de privilegios. Un supervisor puede realizar las siguientes tareas:
  • Ver la configuración de WebSphere Application Server.
  • Ver el estado actual del Application Server.
Configurador Una persona o grupo que utiliza el rol de configurador tiene el privilegio de monitor con la posibilidad de cambiar la configuración de WebSphere Application Server. El configurador puede realizar todas las tareas de configuración diarias. Por ejemplo, un configurador puede realizar las siguientes tareas:
  • Crear un recurso.
  • Correlacionar un servidor de aplicaciones.
  • Instalar y desinstalar una aplicación.
  • Desplegar una aplicación.
  • Asignar correlaciones de usuarios y grupos con roles para las aplicaciones.
  • Configurar los permisos de seguridad de Java 2 para las aplicaciones.
Operador Una persona o grupo que utiliza el rol de operador tiene los privilegios de supervisor con la posibilidad de cambiar el estado del tiempo de ejecución. Por ejemplo, un operador puede realizar las siguientes tareas:
  • Detener e iniciar el servidor.
  • Supervisar el estado del servidor en la consola de administración.
Administrador Una persona o grupo que utiliza el rol de administrador tiene los privilegios de operador y configurador, además de los privilegios adicionales que se otorgan exclusivamente al rol de administrador. Por ejemplo, un administrador puede realizar las siguientes tareas:
  • Modificar el ID de usuario y la contraseña del servidor.
  • Configurar mecanismos de autenticación y autorización.
  • Habilitar o inhabilitar seguridad administrativa.
  • Habilitar o inhabilitar la seguridad de Java 2.
  • Cambiar la contraseña de LTPA (Lightweight Third Party Authentication) y generar claves.
  • Crear, actualizar o suprimir usuarios en la configuración de repositorios federados.
  • Crear, actualizar o suprimir grupos en la configuración de repositorios federados.
  • Personalizar las configuraciones de CSIv2 (Common Secure Interoperability Versión 2), SAS (Security Authentication Service) y SSL (Secure Sockets Layer).
    Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y anteriores que se hayan federado en una célula de la Versión 6.1.
Importante: Un administrador no puede correlacionar usuarios y grupos con roles de administrador sin tener también el rol adminsecuritymanager.
iscadmins Este rol sólo está disponible para los usuarios de la consola administrativa, no para usuarios wsadmin. Los usuarios con este rol tienen privilegios de administrador para gestionar usuarios y grupos en repositorios federados. Por ejemplo, un usuario del rol iscadmins puede realizar las tareas siguientes:
  • Crear, actualizar o suprimir usuarios en la configuración de repositorios federados.
  • Crear, actualizar o suprimir grupos en la configuración de repositorios federados.
Desplegador Los usuarios a los que se otorga este rol pueden llevar a cabo acciones de configuración y operaciones de tiempo de ejecución en las aplicaciones. Consulte el apartado Rol de desplegador para obtener más información.
Gestor de seguridad de administración Puede asignar usuarios y grupos al rol Gestor de seguridad de administración a nivel de célula mediante scripts wsadmin y la consola administrativa. Utilizando el rol Gestor de seguridad de administración, puede asignar usuarios y grupos a los roles del usuario administrativo y a los roles del grupo administrativo. No obstante, un administrador no puede asignar usuarios y grupos a los roles de usuario administrativo y los roles de grupo administrativo, incluido el rol Gestor de seguridad de administración. Consulte el apartado Rol Gestor de seguridad de administración para obtener más información.
Auditor Los usuarios a los que se les otorga este rol pueden ver y modificar los valores de configuración para el subsistema de auditoría de seguridad. Por ejemplo, un usuario con el rol de auditor puede realizar las tareas siguientes:
  • Habilitar e inhabilitar el subsistema de auditoría de seguridad.
  • Seleccionar la implementación de fábrica de sucesos que desea utilizar con el punto de plug-in de fábrica de sucesos.
  • Seleccionar y configurar el proveedor de servicios o emisor, También que ambos se utilicen para el punto de conector del proveedor de servicios.
  • Establecer la política de auditoría que describe el comportamiento del servidor de aplicaciones en el supuesto de un error con el subsistema de auditoría de seguridad.
  • Definir qué sucesos de seguridad se van a auditar.
El rol de auditor incluye el rol de supervisor. Esto permite que el auditor vea, pero no cambie, el resto de la configuración de seguridad. Consulte la sección Rol de auditor para obtener más información.

El ID de servidor y el ID de administrador, si se especifica éste último, que se especifican cuando se habilita seguridad administrativa se correlacionan automáticamente con el rol de administrador.

Un usuario con la autoridad adecuada puede añadir o suprimir usuarios y grupos de los roles administrativos con la consola administrativa de WebSphere Application Server. El nombre de usuario administrativo primario debe utilizarse para iniciar una sesión en la consola administrativa para cambiar los roles de usuario y grupo administrativo que no sean el rol de auditor. Sólo un usuario con el rol de auditor puede cambiar los roles de usuario y grupo de auditor. Al habilitar inicialmente la auditoría de seguridad, también se otorga el rol de auditor al usuario administrativo primario, que puede gestionar todos los roles de usuario y grupo administrativos incluidos los relativos al rol de auditor. Un método recomendado es correlacionar uno o varios grupos, en lugar de usuarios específicos, con los roles de administración ya que de este modo resulta más fácil y flexible administrarlos.

Asimismo, al correlacionar usuarios o grupos, también se puede correlacionar un sujeto especial con los roles de administración. Un sujeto especial es una generalización de una clase de usuarios determinada. El sujeto especial AllAuthenticated indica que la comprobación de acceso del rol de administración garantiza que el usuario que efectúa la solicitud se ha autenticado como mínimo. El sujeto especial Everyone indica que cualquiera, autenticado o no, puede realizar la acción como si la seguridad no estuviera habilitada.

Rol de desplegador

Un usuario al que se le otorga el rol de desplegador puede llevar a cabo todas las operaciones de configuración y tiempo de ejecución en una aplicación. Un rol de desplegador puede estar formado por subconjuntos de roles de configurador y operador. No obstante, un usuario al que se le otorga el rol de desplegador no puede configurar u operar otros recursos, como por ejemplo un servidor o nodo.

Cuando se utiliza la seguridad administrativa precisa, sólo un usuario al que se le otorga el rol de desplegador en una aplicación puede configurar y operar esa aplicación.

Los configuradores a nivel de célula pueden configurar aplicaciones. Los operadores a nivel de célula también puede operar (iniciar y detener) aplicaciones. No obstante, un usuario al que se le otorga el rol de desplegador a nivel de célula también puede llevar a cabo la configuración y la operación en todas las aplicaciones.

Tabla 2. Capacidades de rol de desplegador.

En esta tabla se enumeran las posibilidades del rol de desplegador cuando se utiliza la seguridad administrativa precisa.

Operación Roles necesarios (Cualquiera)
Instalar aplicaciones Configurador de célula, desplegador de destino
Desinstalar aplicaciones Configurador de célula, desplegador de aplicación, desplegador de destino
Listar aplicaciones Supervisor de célula, supervisor de aplicación
Editar, actualizar y redesplegar aplicaciones Configurador de célula, desplegador de aplicación
Exportar aplicaciones Supervisor de célula, supervisor de aplicación
Iniciar o detener una aplicación Operador de célula, desplegador de aplicación
Donde:
Configurador de célula
Especifica el rol de configurador a nivel de célula.
Desplegador de aplicación
Especifica el rol de desplegador para la aplicación que se está gestionando.
Desplegador de destino
Especifica el rol de desplegador para todos los servidores y clústeres para los que se destina una aplicación. Si tiene un rol de desplegador de destino, puede instalar una aplicación nueva en el destino. No obstante, para editar o actualizar la aplicación de destino, debe estar incluido en el grupo de autorizaciones del desplegador de aplicaciones instalado.

El desplegador de destino no puede iniciar o detener explícitamente una aplicación nueva. No obstante, cuando un desplegador de destino inicia un servidor en un destino, todas las aplicaciones que tiene establecido el atributo auto-start en yes se inician cuando se inicia el servidor.

Se le recomienda que el desplegador de aplicaciones establezca este atributo en true si no desea que el desplegador de destino inicie la aplicación.

Rol Gestor de seguridad de administración

El rol Gestor de seguridad de administración separa la administración de seguridad administrativa de la restante administración de aplicaciones.

De forma predeterminada, si se especifican serverId y adminID, se les asigna este rol en la tabla de autorizaciones a nivel de célula. Este rol implica un rol de supervisor. Sin embargo, el rol de administrador no implica el rol Gestor de seguridad de administración.

Cuando se utiliza la seguridad administrativa precisa, sólo un usuario al que se le otorga este rol a nivel de célula puede gestionar los grupos de autorización administrativa. No obstante, un usuario al que se le otorga este rol para cada grupo de autorización administrativa puede correlacionar usuarios con roles administrativos para estos grupos. En la lista siguiente se resumen las funciones del rol Gestor de seguridad de administración en niveles distintos, como los niveles de grupos de autorización de células y administración.
Tabla 3. Capacidades de rol de gestor de seguridad de administración.

En esta tabla se listan las posibilidades del rol de gestor de seguridad administrativa.

Acción Rol
Correlacionar usuarios con roles administrativos a nivel de célula Sólo el Gestor de seguridad de administración de la célula
Correlacionar usuarios con roles administrativos para un grupo de autorización Sólo el Gestor de seguridad de administración de dicho grupo de autorización o el Gestor de seguridad de administración de la célula
Gestionar grupos de autorización, crear, suprimir, añadir recursos a un grupo de autorización, o eliminar recursos de un grupo de autorización o una lista Sólo el Gestor de seguridad de administración de la célula

Rol de auditor

El rol de auditor separa la administración de auditoría de seguridad de la seguridad administrativa y de la administración de otras aplicaciones.

El rol de auditor se ha añadido para permitir una separación distinta de la autoridad de un auditor frente a la del administrador. El rol de auditor se puede otorgar a administradores para combinar su autoridad. Cuando la seguridad se habilita por primera vez, se asigna el rol de auditor al administrador primario. Si en su situación se necesita la separación de autoridad, los administradores pueden eliminar el rol de auditor de ellos mismos y asignarlo a otros usuarios.

No se implementa una seguridad precisa para el rol de auditor, lo que tiene como resultado que el rol de auditor requiere el rol de supervisor. Este proceso permite que el auditor lea, pero no modifique, los paneles gestionados por el administrador. El auditor tiene total autoridad para leer y modificar los paneles asociados con el subsistema de auditoría de seguridad. El administrador tendrá el rol de supervisor para estos paneles, no obstante, el administrador no podrá modificarlos.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_adminroles
File name: rsec_adminroles.html