Roles administrativos
El concepto de autorizaciones basadas en roles de Java™ EE (Java Platform, Enterprise Edition) se ha ampliado para proteger el subsistema administrativo de WebSphere Application Server.
De este modo, se han definido diferentes roles administrativos que proporcionan los niveles de autorización necesarios para realizar determinadas funciones administrativas de WebSphere tanto de la consola administrativa basada en la Web como de la interfaz de scripts de gestión del sistema. La política de autorización sólo se aplica cuando se ha habilitado seguridad administrativa. La tabla siguiente describe los roles administrativos:
Rol | Descripción |
---|---|
Supervisor | Una persona o grupo que utiliza el rol de
supervisor tiene la mínima cantidad de privilegios. Un supervisor puede realizar las siguientes tareas:
|
Configurador | Una persona o grupo que utiliza el rol de configurador tiene el privilegio de
monitor con la posibilidad de cambiar la configuración de WebSphere Application Server.
El configurador puede realizar todas las tareas de configuración diarias. Por ejemplo, un configurador puede realizar las
siguientes tareas:
|
Operador | Una persona o grupo que utiliza el rol de operador tiene los privilegios de
supervisor con la posibilidad de cambiar el estado del tiempo de ejecución.
Por
ejemplo, un operador puede realizar las siguientes tareas:
|
Administrador | Una persona o grupo que utiliza el rol de administrador tiene los privilegios de
operador y configurador, además de los privilegios adicionales que se otorgan
exclusivamente al rol de administrador. Por
ejemplo, un administrador puede realizar las siguientes tareas:
Importante: Un administrador no puede correlacionar usuarios y grupos con roles de administrador sin tener también el rol adminsecuritymanager.
|
iscadmins | Este rol sólo está disponible para los usuarios de la consola administrativa, no para usuarios wsadmin. Los usuarios con este rol tienen privilegios de administrador para gestionar usuarios y grupos en repositorios federados. Por ejemplo, un usuario del rol iscadmins puede realizar las tareas siguientes:
|
Desplegador | Los usuarios a los que se otorga este rol pueden llevar a cabo acciones de configuración y operaciones de tiempo de ejecución en las aplicaciones. Consulte el apartado Rol de desplegador para obtener más información. |
Gestor de seguridad de administración | Puede asignar usuarios y grupos al rol Gestor de seguridad de administración a nivel de célula mediante scripts wsadmin y la consola administrativa. Utilizando el rol Gestor de seguridad de administración, puede asignar usuarios y grupos a los roles del usuario administrativo y a los roles del grupo administrativo. No obstante, un administrador no puede asignar usuarios y grupos a los roles de usuario administrativo y los roles de grupo administrativo, incluido el rol Gestor de seguridad de administración. Consulte el apartado Rol Gestor de seguridad de administración para obtener más información. |
Auditor | Los usuarios a los que se les otorga este rol pueden ver y modificar los valores de configuración para el subsistema de auditoría de seguridad. Por ejemplo, un usuario con el rol de auditor puede realizar las tareas siguientes:
|
El ID de servidor y el ID de administrador, si se especifica éste último, que se especifican cuando se habilita seguridad administrativa se correlacionan automáticamente con el rol de administrador.
Un usuario con la autoridad adecuada puede añadir o suprimir usuarios y grupos de los roles administrativos con la consola administrativa de WebSphere Application Server. El nombre de usuario administrativo primario debe utilizarse para iniciar una sesión en la consola administrativa para cambiar los roles de usuario y grupo administrativo que no sean el rol de auditor. Sólo un usuario con el rol de auditor puede cambiar los roles de usuario y grupo de auditor. Al habilitar inicialmente la auditoría de seguridad, también se otorga el rol de auditor al usuario administrativo primario, que puede gestionar todos los roles de usuario y grupo administrativos incluidos los relativos al rol de auditor. Un método recomendado es correlacionar uno o varios grupos, en lugar de usuarios específicos, con los roles de administración ya que de este modo resulta más fácil y flexible administrarlos.
Asimismo, al correlacionar usuarios o grupos, también se puede correlacionar un sujeto especial con los roles de administración. Un sujeto especial es una generalización de una clase de usuarios determinada. El sujeto especial AllAuthenticated indica que la comprobación de acceso del rol de administración garantiza que el usuario que efectúa la solicitud se ha autenticado como mínimo. El sujeto especial Everyone indica que cualquiera, autenticado o no, puede realizar la acción como si la seguridad no estuviera habilitada.
Rol de desplegador
Un usuario al que se le otorga el rol de desplegador puede llevar a cabo todas las operaciones de configuración y tiempo de ejecución en una aplicación. Un rol de desplegador puede estar formado por subconjuntos de roles de configurador y operador. No obstante, un usuario al que se le otorga el rol de desplegador no puede configurar u operar otros recursos, como por ejemplo un servidor o nodo.
Cuando se utiliza la seguridad administrativa precisa, sólo un usuario al que se le otorga el rol de desplegador en una aplicación puede configurar y operar esa aplicación.
Los configuradores a nivel de célula pueden configurar aplicaciones. Los operadores a nivel de célula también puede operar (iniciar y detener) aplicaciones. No obstante, un usuario al que se le otorga el rol de desplegador a nivel de célula también puede llevar a cabo la configuración y la operación en todas las aplicaciones.
Operación | Roles necesarios (Cualquiera) |
---|---|
Instalar aplicaciones | Configurador de célula, desplegador de destino |
Desinstalar aplicaciones | Configurador de célula, desplegador de aplicación, desplegador de destino |
Listar aplicaciones | Supervisor de célula, supervisor de aplicación |
Editar, actualizar y redesplegar aplicaciones | Configurador de célula, desplegador de aplicación |
Exportar aplicaciones | Supervisor de célula, supervisor de aplicación |
Iniciar o detener una aplicación | Operador de célula, desplegador de aplicación |
- Configurador de célula
- Especifica el rol de configurador a nivel de célula.
- Desplegador de aplicación
- Especifica el rol de desplegador para la aplicación que se está gestionando.
- Desplegador de destino
- Especifica el rol de desplegador para todos los servidores y clústeres para los que se
destina una aplicación. Si tiene un rol de desplegador de destino, puede instalar una aplicación nueva en el destino. No obstante, para editar o actualizar la aplicación de destino, debe estar incluido en el grupo de autorizaciones del desplegador de aplicaciones instalado.
El desplegador de destino no puede iniciar o detener explícitamente una aplicación nueva. No obstante, cuando un desplegador de destino inicia un servidor en un destino, todas las aplicaciones que tiene establecido el atributo auto-start en yes se inician cuando se inicia el servidor.
Se le recomienda que el desplegador de aplicaciones establezca este atributo en true si no desea que el desplegador de destino inicie la aplicación.
Rol Gestor de seguridad de administración
El rol Gestor de seguridad de administración separa la administración de seguridad administrativa de la restante administración de aplicaciones.
De forma predeterminada, si se especifican serverId y adminID, se les asigna este rol en la tabla de autorizaciones a nivel de célula. Este rol implica un rol de supervisor. Sin embargo, el rol de administrador no implica el rol Gestor de seguridad de administración.
Acción | Rol |
---|---|
Correlacionar usuarios con roles administrativos a nivel de célula | Sólo el Gestor de seguridad de administración de la célula |
Correlacionar usuarios con roles administrativos para un grupo de autorización | Sólo el Gestor de seguridad de administración de dicho grupo de autorización o el Gestor de seguridad de administración de la célula |
Gestionar grupos de autorización, crear, suprimir, añadir recursos a un grupo de autorización, o eliminar recursos de un grupo de autorización o una lista | Sólo el Gestor de seguridad de administración de la célula |
Rol de auditor
El rol de auditor separa la administración de auditoría de seguridad de la seguridad administrativa y de la administración de otras aplicaciones.
El rol de auditor se ha añadido para permitir una separación distinta de la autoridad de un auditor frente a la del administrador. El rol de auditor se puede otorgar a administradores para combinar su autoridad. Cuando la seguridad se habilita por primera vez, se asigna el rol de auditor al administrador primario. Si en su situación se necesita la separación de autoridad, los administradores pueden eliminar el rol de auditor de ellos mismos y asignarlo a otros usuarios.
No se implementa una seguridad precisa para el rol de auditor, lo que tiene como resultado que el rol de auditor requiere el rol de supervisor. Este proceso permite que el auditor lea, pero no modifique, los paneles gestionados por el administrador. El auditor tiene total autoridad para leer y modificar los paneles asociados con el subsistema de auditoría de seguridad. El administrador tendrá el rol de supervisor para estos paneles, no obstante, el administrador no podrá modificarlos.