Autorisation de l'accès pour des rôles d'administration
Vous pouvez affecter des utilisateurs et des groupes à des rôles d'administration pour identifier des utilisateurs qui peuvent exécuter des fonctions d'administration WebSphere Application Server.
Avant de commencer
Les rôles d'administration vous permettent de contrôler l'accès aux fonctions d'administration de WebSphere Application Server. Voir la description de ces rôles dans Rôles d'administration.
![[z/OS]](../images/ngzos.gif)
- Utilisation du mécanisme d'autorisation SAF (System Authorization Facility) pour contrôler l'accès aux rôles d'administration : Lorsque la propriété com.ibm.security.SAF.authorization est associée à la valeur true, les profils SAF EJBROLE sont utilisés pour contrôler l'accès aux rôles d'administration. Pour plus d'informations, voir Mécanisme d'autorisation SAF (System Authorization Facility) fondé sur les rôles.
- Si vous sélectionnez Utiliser un produit de sécurité
z/OS lors
de la création du profil dans l'outil PMT (Profile Management Tool) de
z/OS et que
vous spécifiez également une valeur pour le préfixe de profil SAF (autrefois nommé domaine de
sécurité de z/OS), les
rôles d'administration suivants sont définis par les travaux de personnalisation. Le préfixe
de profil SAF peut être spécifié lors de la création du profil et configGroup représente
le nom du groupe de configuration de serveur WebSphere
Application Server choisi.
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor UACC(NONE) PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)monitor CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)configurator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)operator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)auditor CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
- Si vous décidez d'activer ultérieurement le mécanisme d'autorisation SAF, vous devez entrer ces
commandes RACF
(Resource Access Control Facility) pour assurer le bon fonctionnement de WebSphere Application
Server. Vous pouvez accorder un accès utilisateur à toutes les fonctions d'administration en vous
connectant au groupe de configuration :
CONNECT mvsid GROUP(configGroup)
- Vous pouvez également affecter des utilisateurs à des rôles spécifiques en entrant la
commande RACF suivante :
PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
- Il est inutile de redémarrer le serveur pour que les modifications SAF EJBROLE soient prises en compte. Toutefois, après avoir apporté les modifications SAF, vous devez entrer la commande RACF ci-dessous
(ou l'équivalent pour votre système de sécurité) pour régénérer les tables de sécurité en mémoire :
SETROPTS RACLIST(EJBROLE) REFRESH
- Utilisation du mécanisme d'autorisation WebSphere pour contrôler l'accès aux rôles d'administration : Lorsque la propriété com.ibm.security.SAF.authorization est définie sur false, le mécanisme d'autorisation WebSphere Application Server et la console d'administration permettent de contrôler l'accès aux rôles d'administration.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
- Avant d'avoir associé les utilisateurs à des rôles d'administration, vous devez configurer votre registre d'utilisateurs. Pour plus d'informations sur les types de registre pris en charge, voir Sélection d'un registre ou d'un référentiel.
- Les étapes suivantes sont obligatoires pour affecter des rôles d'administration aux utilisateurs.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Pourquoi et quand exécuter cette tâche
Procédure
- Cliquez sur Utilisateurs et groupes. Cliquez sur Rôles de l'administrateur ou sur Rôles du groupe d'administration.
- Pour ajouter un utilisateur ou un groupe, cliquez sur Ajouter dans le panneau Utilisateur de la console ou Groupes de la console.
- Pour ajouter un administrateur, suivez les instructions de la page pour spécifier un utilisateur et sélectionnez le rôle Administrateur. Une fois l'utilisateur ajouté à la liste Mappé au rôle, cliquez sur OK. L'utilisateur spécifié est mappé au rôle de sécurité.
- Pour ajouter un groupe d'administration, suivez les instructions de la page pour spécifier un nom de groupe ou un Sujet spécial, mettez en surbrillance le rôle Administrateur et cliquez sur OK. Le groupe ou le sujet spécial spécifié est mappé au rôle de sécurité.
- Pour supprimer une affectation de groupe ou d'utilisateur, cliquez sur Supprimer dans le panneau Utilisateurs de la console ou Groupes de la console. Dans le panneau Utilisateurs de la console ou Groupes de la console, cochez la case correspondant à l'utilisateur ou au groupe à supprimer et cliquez sur OK.
- Pour gérer l'ensemble des utilisateurs ou des groupes à afficher, cliquez sur Afficher la fonction de filtrage dans le panneau Rôles utilisateur ou Rôles du groupe . Dans la case Terme(s) de recherche, tapez une valeur, puis cliquez sur Aller. Par exemple, utilisateur* affiche uniquement les utilisateurs dont le préfixe est utilisateur.
- Une fois les modifications terminées, cliquez sur Enregistrer pour enregistrer les mappages.
- Pour que les modifications soient prises en compte, redémarrez le serveur d'applications.
Arrêtez les noeuds, les agents de noeud et le gestionnaire de déploiement.
Vérifiez que les processus Java ne sont pas en cours d'exécution. S'ils sont actifs, arrêtez leur exécution.
Relancez le gestionnaire de déploiement.
Synchronisez à nouveau les noeuds. Pour resynchroniser les noeuds, exécutez la commande racine_install/bin/syncNode ou racine_install/bin/syncNode.sh pour chaque noeud. Utilisez la commande synchNode.
Synchronisez à nouveau les noeuds. Pour resynchroniser les noeuds, exécutez le script racine_install/bin/syncNode à partir de la ligne de commande Qshell de chaque noeud. Utilisez la commande synchNode.
Redémarrez les noeuds. Pour redémarrer les noeuds, exécutez la commande racine_install/bin/startNode ou racine_install/bin/startNode.sh pour chaque noeud. Utiliser la commande startNode.
Redémarrez les noeuds. Pour redémarrer les noeuds, exécutez le script racine_install/bin/startNode à partir de la ligne de commande Qshell de chaque noeud. Utiliser la commande startNode.
Le cas échéant, démarrez les clusters.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Que faire ensuite
Après avoir associé les utilisateurs à des rôles d'administration, vous devez relancer le gestionnaire de déploiement pour que les nouveaux rôles soient pris en compte.
Toutefois, les ressources d'administration ne sont protégées que si vous activez la sécurité.