[z/OS]

Contrôle de l'accès aux utilisateurs de la console lorsqu'un registre de système d'exploitation local est utilisé

Ajouter des utilisateurs de console et leur attribuer des autorisations pour une cellule implique l'ajustement du registre d'utilisateurs et des paramètres d'autorisation. Une propriété personnalisée de registre d'utilisateurs dirige la forme d'autorisation des utilisateurs de la console. Quelle que soit la forme d'autorisation utilisée, un ID d'utilisateur MVS pour l'identité de l'administrateur WebSphere peut accéder à toutes les fonctions de la console d'administration et peut utiliser l'outil de script d'administration lorsque la sécurité est activée en premier.

Pourquoi et quand exécuter cette tâche

Si des registres de système d'exploitation non locaux et une autorisation SAF (System Authorization Facility) sont utilisés, vous devez utiliser le mappage d'identité pour mapper les identités WebSphere Application Server aux ID d'utilisateurs SAF. Pour que les rôles de console soient gérés par une autorisation SAF, vous devez activer l'autorisation SAF pour la cellule. Pour activer l'autorisation SAF, cliquez sur Sécurité > Sécurité globale > Fournisseurs d'autorisations externes >, puis cliquez sur Autorisation SAF (System Authorization Facility). Si vous activez cette option, les profils SAF (System Authorization Facility) EJBROLE sont utilisés pour autoriser les utilisateurs de console. Sinon, la console d'administration est utilisée par défaut pour autoriser les utilisateurs et groupes de la console.

Quel que soit le type de registre ou le paramètre d'autorisation choisi, le processus de configuration autorise le groupe de configuration WebSphere (pour lequel toutes les identités WebSphere Server sont autorisées) et un ID utilisateur MVS pour l'identité administrateur WebSphere à effectuer les tâches suivantes :
  • Accès à toutes les fonctions de la console d'administration
  • Utilisation de l'outil de scriptage administratif lors de la première activation de la sécurité
Lorsque l'autorisation SAF est sélectionnée sur z/OS, le sujet spécial du serveur n'est pas utilisé comme ID administrateur. (Notez que l'outil de gestion des profils WebSphere z/OS ou la commande zpmt génère un utilisateur administratif, membre du groupe administratif, qui peut être utilisé pour l'autorisation.)

Utilisation de l'autorisation SAF pour contrôler l'accès aux fonctions d'administration

Lorsque le mécanisme d'autorisation SAF est sélectionné pendant la personnalisation des systèmes, les profils EJBROLE d'administration de tous les rôles d'administration sont définis par les travaux RACF générés à l'aide de l'outil de gestion des profilsz/OS. Si l'autorisation SAF est ensuite sélectionnée, exécutez les commandes RACF suivantes (ou des commandes de serveur de sécurité équivalentes) afin d'activer les serveurs et l'administrateur pour administrer WebSphere Application Server :
Remarque : Vous pouvez également spécifier une valeur pour le préfixe de profil SAF (appelé autrefois domaine de sécurité z/OS).
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor       UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator  UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)deployer      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)adminsecuritymanager      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor      UACC(NONE)

PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(adminGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)monitor       CLASS(EJBROLE) ID(monitorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)configurator  CLASS(EJBROLE) ID(configuratorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)operator      CLASS(EJBROLE) ID(operatorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)deployer      CLASS(EJBROLE) ID(deployerGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)adminsecuritymanager  CLASS(EJBROLE) ID(adminSecurityGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)auditor  CLASS(EJBROLE) ID(auditorGroup) ACCESS(READ)
Si des utilisateurs supplémentaires requièrent l'accès aux fonctions d'administration, vous pouvez attribuer n'importe quel rôle ci-dessus à un utilisateur en exécutant la commande RACF suivante :
PERMIT (optionalSAFProfilePrefix.)rolename   CLASS(EJBROLE)  ID(mvsid) ACCESS(READ)
Vous pouvez accorder un accès utilisateur à toutes les fonctions d'administration en le connectant au groupe de configuration :
CONNECT  mvsid  GROUP(configGroup)

Utilisation de l'autorisation WebSphere pour contrôler l'accès aux fonctions d'administration :

Pour affecter des rôles d'administration aux utilisateurs, procédez comme suit :

Procédure

  1. Dans la console d'administration, développez Administration système > Paramètres de la console.
  2. Cliquez sur Utilisateurs de la console > Ajouter ou Groupes de la console > Ajouter.
  3. Ajoutez les identités d'utilisateurs comme il convient. Pour plus d'informations sur les rôles utilisateur de la console, voir Rôles d'administration et autorisation du service de nommage.
    Remarque :
    • Lorsque l'autorisation SAF est activée, l'autorisation WebSphere Application Server définie dans la console d'administration est ignorée.
    • Les noms de rôle SAF font la distinction entre les majuscules et les minuscules.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_addconsole
Nom du fichier : tsec_addconsole.html