[z/OS]

Remarques sur le contrôle d'accès aux rôles de nommage à l'aide du mécanisme d'autorisation SAF

Des remarques spéciales s'appliquent au contrôle d'accès aux rôles de nommage dansWebSphere Application Server.

Lorsque vous affectez des utilisateurs à des rôles de nommage, vous pouvez utiliser le mécanisme d'autorisation SAF (profils EJBROLE) ou le mécanisme d'autorisation WebSphere Application Server pour contrôler l'accès aux rôles de nommage. Pour activer le mécanisme d'autorisation SAF, voir Autorisation SAF (System Authorization Facility) z/OS afin d'obtenir plus d'informations. Pour une description des rôles CosNaming, voir Console d'administration et autorisation du service de nommage. Vous pouvez également voir Affectation d'utilisateurs à des rôles de nommage.

Lorsque le mécanisme d'autorisation SAF est activé, les profils SAF EJBROLE permettent de contrôler l'accès aux fonctions CosNaming. Si vous avez sélectionné Utiliser un produit de sécurité z/OS lors de la création du profil dans l'outil z/OS Profile Management Tool et que vous indiquez également une valeur pour le préfixe de profil SAF (auparavant domaine de sécurité z/OS), les rôles CosNaming suivants ont été définis par les travaux de personnalisation :
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingRead 
 UACC(READ)
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingWrite
 UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingCreate
 UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingDelete
 UACC(NONE)

PERMIT (optionalSecurityDomainName.)CosNamingRead  CLASS(EJBROLE)  ID(WSGUEST) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)CosNamingWrite  CLASS(EJBROLE)
 ID(WSCFG1) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)CosNamingCreate  CLASS(EJBROLE)
 ID(WSCFG1) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)CosNamingDelete  CLASS(EJBROLE) 
 ID(WSCFG1) ACCESS(READ)

Si vous décidez d'activer ultérieurement le mécanisme d'autorisation SAF, vous devez entrer ces commandes RACF pour assurer le bon fonctionnement de WebSphere Application Server. Modifiez la valeur WSGUEST si vous avez choisi un ID utilisateur non authentifié différent. Modifiez la valeur WSCFG1 si vous avez choisi un autre groupe de configurations. Vous devez affecter à WSGUEST un accès en lecture de manière explicite car il s'agit d'un ID utilisateur limité.

Selon l'accès par défaut octroyé par le travail de personnalisation, tous les utilisateurs authentifiés sont autorisés à lire l'espace de noms. Ce type d'autorisation peut fournir un niveau d'autorisation plus large que celui attendu. Vous devez au minimum configurer le groupe de configuration pour qu'il prenne en charge WebSphere Application Server (serveurs et administrateurs) afin qu'il puisse accéder en lecture à tous les profils et autoriser tous les clients WebSphere Application Server pour z/OS à accéder en lecture au profil CosNamingRead.

Si d'autres utilisateurs doivent avoir accès aux rôles CosNaming, vous pouvez autoriser un utilisateur à disposer de l'un des rôles précédents, conformément aux indications fournies, en émettant la commande RACF suivante :
PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)

Lorsque le mécanisme d'autorisation SAF n'est pas activé, le mécanisme d'autorisation WebSphere Application Server et la console d'administration sont utilisés pour contrôler l'accès aux fonctions CosNaming.

Pour des informations sur l'utilisation du mécanisme d'autorisation WebSphere Application Server pour contrôler l'accès aux rôles de nommage, voir Affectation d'utilisateurs à des rôles de nommage.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_contaccnamroles
Nom du fichier : csec_contaccnamroles.html