Rôles d'administration
Le concept d'autorisation fondé sur les rôles Java™ Platform, Enterprise Edition (Java EE) est étendu pour protéger le sous-système d'administration WebSphere Application Server.
Un certain nombre de rôles d'administration sont définis pour fournir les niveaux de droits requis pour exécuter des fonctions d'administration à partir de la console d'administration Web ou de l'interface de scriptage de gestion du système. Les règles d'autorisation ne sont appliquées que si la sécurité administrative est activée. Le tableau suivant décrit les rôles d'administration :
Rôle | Description |
---|---|
Moniteur | L'individu ou le groupe utilisant le rôle de moniteur possède le moins de privilèges. Un moniteur peut accomplir les tâches suivantes :
|
Configurateur | Un individu ou un groupe utilisant le rôle de configurateur bénéficie des
privilèges du moniteur et de la capacité de modifier la configuration WebSphere Application
Server.
Il peut effectuer toutes les tâches de configuration quotidiennes. Par exemple, un configurateur peut accomplir les tâches suivantes :
|
Opérateur | Une personne ou groupe utilisant le rôle d'opérateur bénéficie des privilèges du moniteur auxquels s'ajoute la capacité de modifier l'état de l'environnement d'exécution.
Il peut par exemple effectuer les opérations suivantes :
|
Administrateur | Un individu ou un groupe utilisant le rôle d'administrateur
bénéficie des privilèges de l'opérateur et du configurateur auxquels s'ajoutent
des privilèges supplémentaires qui lui sont propres. Par exemple, un administrateur peut accomplir les tâches suivantes :
Important : Un administrateur ne peut pas mapper d'utilisateurs ni de groupes aux
rôles d'administration sans avoir aussi le rôle adminsecuritymanager.
|
iscadmins | Ce rôle n'est disponible que pour les utilisateurs de la console d'administration, pas pour les utilisateurs wsadmin. Les utilisateurs qui reçoivent ce rôle possèdent des privilèges administrateur pour la gestion des utilisateurs et des groupes dans les référentiels fédérés. Par exemple, un utilisateur possédant le rôle iscadmins peut effectuer les tâches suivantes :
|
Responsable du déploiement | Les utilisateurs auxquels ce rôle a été octroyé peuvent effectuer des actions de configuration et des opérations d'exécution sur des applications. Voir la section Rôle Déployeur pour plus de détails. |
Gestionnaire de sécurité administrateur | Vous pouvez octroyer le rôle Admin Security Manager à des utilisateurs et à des groupes au niveau de la cellule au moyen de wsadmin et de la console d'administration. Le rôle de gestionnaire de sécurité administrateur vous permet d'octroyer des rôles d'administration à des utilisateurs et à des groupes. Toutefois, un administrateur ne peut pas octroyer de rôles d'administration incluant le rôle Admin Security Manager à des utilisateurs ou à des groupes. Voir la section Rôle de gestionnaire de sécurité administrateur pour plus de détails. |
Auditeur | Les utilisateurs qui reçoivent ce rôle peuvent voir et modifier
les paramètres de configuration du sous-système d'audit de sécurité. Par exemple, ces utilisateurs peuvent effectuer
les tâches suivantes :
|
L'ID serveur qui est spécifié et l'ID administrateur, s'il est spécifié, lors de l'activation de la sécurité administrative, sont automatiquement mappés au rôle administrateur.
Un utilisateur doté des droits d'accès appropriés peut ajouter ou supprimer des utilisateurs et des groupes dans des rôles d'administration en utilisant la console d'administration de WebSphere Application Server. Le nom d'utilisateur administrateur principal doit être utilisé pour se connecter à la console d'administration afin de modifier des rôles d'utilisateur et de groupe administrateur, autres que ceux d'auditeur. Seul un utilisateur ayant un rôle d'auditeur peut modifier des rôles d'utilisateur ou de groupe auditeur. Lorsque l'audit de sécurité est initialement activé, l'utilisateur administrateur principal reçoit aussi le rôle d'auditeur et peut gérer tous les rôles d'utilisateur et de groupe administrateur, y compris ceux ayant le rôle d'auditeur. La meilleure méthode consiste à mapper un groupe ou plusieurs groupes et non plusieurs utilisateurs, vers des rôles d'administration car l'administration est simple et flexible.
Outre le mappage de l'utilisateur ou de groupes, un sujet spécial peut également être mappé vers les rôles d'administration. Un sujet special-subject est une généralisation d'une classe particulière d'utilisateurs. Le sujet spécial AllAuthenticated signifie que le refus d'accès du rôle d'administration garantit que l'utilisateur à l'origine de la requête est au moins authentifié. Le sujet spécial Everyone signifie que tous les utilisateurs, authentifiés ou non, peuvent effectuer l'action comme si la sécurité n'était pas activée.
Rôle Déployeur
Un utilisateur doté du rôle de déployeur peut effectuer toutes les opérations de configuration et d'exécution sur une application. Un rôle de déployeur peut correspondre à des sous-ensembles de rôles de configurateur et d'opérateur. Toutefois, un utilisateur avec ce rôle ne peut pas configurer ni utiliser d'autres ressources comme un serveur ou un noeud.
Lorsqu'une sécurité administrative à granularité fine est appliquée, seul un utilisateur auquel a été octroyé le rôle de déployeur sur une application peut configurer et faire fonctionner cette application.
Les configurateurs de niveau de cellule peuvent configurer des applications. Les opérateurs de niveau de cellule peuvent également faire fonctionner (démarrer et arrêter) des applications. Toutefois, un utilisateur doté d'un rôle de déployeur au niveau de la cellule peut aussi exécuter des configurations et des opérations sur toutes les applications.
Opération | Rôles obligatoires (N'importe lequel) |
---|---|
Installation de l'application | Configurateur-cellule, déployeur-cible |
Désinstallation de l'application | Cell-configurator, application-deployer, target-deployer |
Lister l'application | Moniteur-cellule, moniteur-application |
Modifier, mettre à jour et redéployer l'application | Configurateur-cellule, déployeur-application |
Exporter l'application | Moniteur-cellule, moniteur-application |
Démarrer ou arrêter une application | Opérateur-cellule, déployeur-application |
- Configurateur-cellule
- Précise le rôle de configurateur au niveau de la cellule.
- Déployeur-application
- Précise le rôle de déployeur pour l'application à gérer.
- Déployeur-cible
- Précise le rôle de déployeur pour tous les serveurs ou tous les clusters pour lesquels une application
est ciblée. Si vous possédez un rôle déployeur-cible, vous pouvez installer une nouvelle application sur la cible. Toutefois, pour modifier ou mettre à jour l'application installée, vous devez faire partie du
groupe d'autorisations du déployeur-application installé.
Le déployeur-cible ne peut pas démarrer ni arrêter explicitement une nouvelle application. Toutefois, lorsqu'un déployeur-cible démarre un serveur sur une cible, toutes les applications dont l'attribut auto-start est défini suryes sont lancées au démarrage du serveur.
Il est recommandé au déployeur-application de définir cet attribut sur true s'il veut empêcher l'application d'être démarrée par le déployeur-cible.
Rôle de gestionnaire de sécurité administrateur
Le rôle Admin Security Manager sépare l'administration de la sécurité administrative des autres types d'administration de l'application.
Par défaut, serverId et adminID, le cas échéant, sont affectés à ce rôle dans le tableau d'autorisation de niveau cellule. Ce rôle implique un rôle de moniteur. Toutefois, un rôle administrateur n'implique pas un rôle Admin Security Manager.
Action | Rôle |
---|---|
Mapper des utilisateurs à des rôles d'administrateur pour un niveau de cellule | Uniquement le rôle Admin Security Manager de la cellule |
Mapper des utilisateurs à des rôles d'administrateur pour un groupe d'autorisations | Seul le rôle Admin Security Manager de ce groupe d'autorisation ou le rôle Admin Security Manager de la cellule |
Gérer les groupes d'autorisations, créer, supprimer, ajouter des ressources à un groupe d'autorisations ou en supprimer, ou lister les ressources | Uniquement le rôle Admin Security Manager de la cellule |
Rôle d'auditeur
Le rôle d'auditeur sépare l'administration de l'audit de sécurité et les autres types d'administration de l'application.
Ce rôle a été ajouté pour faciliter la distinction entre l'autorité d'un auditeur et celle d'un administrateur. Le rôle de l'auditeur peut être attribué aux administrateurs afin de leur conférer une double autorité. Quand la sécurité est activée pour la première fois, le rôle de l'auditeur est attribué à l'administrateur principal. Si, dans votre situation, une séparation de l'autorité est requise, les administrateurs peuvent se défaire de l'autorité de l'auditeur et l'attribuer à d'autres utilisateurs.
Comme une sécurité à granularité fine pour l'auditeur n'est pas mise en oeuvre, le rôle de l'auditeur a besoin du rôle de moniteur. Ce processus permet à l'auditeur de lire, mais pas de modifier les panneaux gérés par l'administrateur. L'auditeur a les droits complets pour lire et modifier les panneaux associés au sous-système d'audit de sécurité. L'administrateur a le rôle de moniteur sur ces panneaux, mais n'est pas autorisé à les modifier.