![[z/OS]](../images/ngzos.gif)
Contrôle de l'accès aux utilisateurs de la console lorsqu'un registre de système d'exploitation local est utilisé
Ajouter des utilisateurs de console et leur attribuer des autorisations pour une cellule implique l'ajustement du registre d'utilisateurs et des paramètres d'autorisation. Une propriété personnalisée de registre d'utilisateurs dirige la forme d'autorisation des utilisateurs de la console. Quelle que soit la forme d'autorisation utilisée, un ID d'utilisateur MVS pour l'identité de l'administrateur WebSphere peut accéder à toutes les fonctions de la console d'administration et peut utiliser l'outil de script d'administration lorsque la sécurité est activée en premier.
Pourquoi et quand exécuter cette tâche
Si des registres de système d'exploitation non locaux et une autorisation SAF (System Authorization Facility) sont utilisés, vous devez utiliser le mappage d'identité pour mapper les identités WebSphere Application Server aux ID d'utilisateurs SAF. Pour que les rôles de console soient gérés par une autorisation SAF, vous devez activer l'autorisation SAF pour la cellule. Pour activer l'autorisation SAF, cliquez sur Sécurité > Sécurité globale > Fournisseurs d'autorisations externes >, puis cliquez sur Autorisation SAF (System Authorization Facility). Si vous activez cette option, les profils SAF (System Authorization Facility) EJBROLE sont utilisés pour autoriser les utilisateurs de console. Sinon, la console d'administration est utilisée par défaut pour autoriser les utilisateurs et groupes de la console.
- Accès à toutes les fonctions de la console d'administration
- Utilisation de l'outil de scriptage administratif lors de la première activation de la sécurité
Utilisation de l'autorisation SAF pour contrôler l'accès aux fonctions d'administration
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)deployer UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor UACC(NONE)
PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(adminGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)monitor CLASS(EJBROLE) ID(monitorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)configurator CLASS(EJBROLE) ID(configuratorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)operator CLASS(EJBROLE) ID(operatorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)deployer CLASS(EJBROLE) ID(deployerGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)adminsecuritymanager CLASS(EJBROLE) ID(adminSecurityGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)auditor CLASS(EJBROLE) ID(auditorGroup) ACCESS(READ)
Si des utilisateurs supplémentaires requièrent l'accès aux fonctions d'administration, vous pouvez attribuer n'importe quel rôle ci-dessus à un utilisateur en exécutant la commande RACF suivante : PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
CONNECT mvsid GROUP(configGroup)
Utilisation de l'autorisation WebSphere pour contrôler l'accès aux fonctions d'administration :
Pour affecter des rôles d'administration aux utilisateurs, procédez comme suit :