Visión general de la seguridad del planificador de trabajos

Las acciones que un usuario puede realizar en un trabajo dependen del modelo de seguridad que se aplica. Las acciones del usuario en un trabajo pueden basarse en roles, en grupos o en una combinación de ambos.

Seguridad basada en roles

Si se habilita la seguridad basada en roles, debe otorgarse al usuario el rol lrsubmitter, el rol lradmin o el rol lrmonitor para actuar sobre un trabajo. Los usuarios que tienen asignado el rol lradmin tienen autoridad para realizar todas las acciones de la aplicación del planificador de trabajos en todos los trabajos, independientemente de la propiedad del trabajo. Los usuarios que tienen asignado el rol lrsubmitter pueden ver y actuar sólo sobre los trabajos de los que el sometedor es propietario. Los usuarios que tienen asignado el rol lrmonitor sólo pueden ver los trabajos y los registros de trabajo de todos los usuarios.

Seguridad de grupo

En el modelo de seguridad de grupo, la afiliación de grupo es la base de todas las decisiones de seguridad relacionadas con los trabajos. El administrador no asigna roles de trabajos a usuarios específicos. Un usuario puede completar una acción para un trabajo solamente si el usuario y el trabajo son miembros del mismo grupo. Por ejemplo, si dos usuarios son miembros del mismo grupo y cada uno somete un trabajo que está asignado al mismo grupo, ambos usuarios pueden ver y emprender acciones contra cualquiera de los dos trabajos.

Debido a que WebSphere Application Server realiza la comprobación basada en roles de las operaciones del planificador de trabajos, debe realizar una sola asignación del rol lradmin a Todos los usuarios autenticados en el reino de la aplicación. Los usuarios del grupo tienen los mismos privilegios que el rol lradmin y pueden realizar las mismas operaciones sobre un trabajo del grupo que el rol lradmin.

Usuario y pertenencia a grupo

La función de seguridad de grupo requiere de una implementación de la SPI de pertenencia a grupos SPI o un repositorio de usuarios que admita la pertenencia de grupo, como por ejemplo LDAP (Lightweight Directory Access Protocol), y se configura como un repositorio federado.

Puede utilizar la SPI de filtro de pertenencia a grupos para aumentar el repositorio federado.

Si utiliza un repositorio, debe configurarlo como un repositorio federado, aunque la configuración de WebSphere Application Server utilice sólo un único repositorio. La función de repositorios federados soporta varias tecnologías de repositorio, que incluyen SO local, LDAP, and Active Directory.

[z/OS]Además, la función de repositorios federados admite SAF (System Authorization Facility).

Cuando se utiliza un repositorio, debe definir todos los usuarios y grupos de WebSphere Application Server mediante los recursos de gestión de la tecnología de repositorio configurada.

Seguridad de grupo y rol

En el modelo de seguridad de grupo y rol, tanto la afiliación de grupo como la seguridad basada en roles gobiernan las decisiones de seguridad relacionadas con los trabajos. Esto significa que un usuario puede realizar una acción relacionada con un trabajo sólo si el usuario y el trabajo son miembros del mismo grupo y el rol del usuario permite la acción del trabajo.

Por ejemplo, si dos usuarios son miembros del mismo grupo y cada uno de ellos somete un trabajo que está asignado a ese mismo grupo, ambos usuarios pueden ver y llevar a cabo acciones sobre cualquiera de las dos trabajos, respetando sus asignaciones de rol. Si el primer usuario pertenece al rol lradmin, puede visualizar los dos trabajos y realizar acciones sobre ellos. Si el segundo usuario pertenece al rol lrsubmitter, puede visualizar y realizar acciones sólo sobre el trabajo que ha sometido. Si el segundo usuario tiene el rol de lrmonitor en lugar del rol lrsubmitter, no puede someter un trabajo, pero sí ver los trabajos sometidos por el primer usuario.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cgrid_bgsec_overview
File name: cgrid_bgsec_overview.html