Rôles d'administration

Le concept d'autorisation fondé sur les rôles Java™ Platform, Enterprise Edition (Java EE) est étendu pour protéger le sous-système d'administration WebSphere Application Server.

Un certain nombre de rôles d'administration sont définis pour fournir les niveaux de droits requis pour exécuter des fonctions d'administration à partir de la console d'administration Web ou de l'interface de scriptage de gestion du système. Les règles d'autorisation ne sont appliquées que si la sécurité administrative est activée. Le tableau suivant décrit les rôles d'administration :

Tableau 1. Rôles d'administration. Rôles d'administration
Rôle Description
Moniteur L'individu ou le groupe utilisant le rôle de moniteur possède le moins de privilèges. Un moniteur peut accomplir les tâches suivantes :
  • Afficher la configuration de WebSphere Application Server.
  • Afficher l'état actuel du serveur d'applications.
Configurateur Un individu ou un groupe utilisant le rôle de configurateur bénéficie des privilèges du moniteur et de la capacité de modifier la configuration WebSphere Application Server. Il peut effectuer toutes les tâches de configuration quotidiennes. Par exemple, un configurateur peut accomplir les tâches suivantes :
  • Créer une ressource.
  • Mapper un serveur d'applications.
  • Installer et désinstaller une application.
  • déployer une application.
  • Affecter des mappages d'utilisateurs et de groupes aux rôles pour des applications.
  • Configurer les droits de sécurité Java 2 pour des applications.
Opérateur Une personne ou groupe utilisant le rôle d'opérateur bénéficie des privilèges du moniteur auxquels s'ajoute la capacité de modifier l'état de l'environnement d'exécution. Il peut par exemple effectuer les opérations suivantes :
  • Arrêter et démarrer le serveur.
  • Surveiller le statut du serveur dans la console d'administration.
Administrateur Un individu ou un groupe utilisant le rôle d'administrateur bénéficie des privilèges de l'opérateur et du configurateur auxquels s'ajoutent des privilèges supplémentaires qui lui sont propres. Par exemple, un administrateur peut accomplir les tâches suivantes :
  • Modifier l'ID utilisateur et le mot de passe.
  • Configurer les mécanismes d'authentification et d'autorisation.
  • Activer ou désactiver la sécurité administrative.
  • Activer ou désactiver la sécurité Java 2.
  • Modifier le mot de passe LTPA (Lightweight Third Party Authentication) et générer des clés.
  • Créer, mettre à jour ou supprimer des utilisateurs dans la configuration des référentiels fédérés.
  • Créer, mettre à jour ou supprimer des groupes dans la configuration des référentiels fédérés.
  • Personnaliser les configurations CSIv2 (Common Secure Interoperability Version 2), SAS (Security Authentication Service) et SSL (Secure Sockets Layer).
    Important : SAS est pris en charge uniquement sur les serveurs version 6.0.x et antérieure qui ont été fédérés dans une cellule version 6.1.
Important : Un administrateur ne peut pas mapper d'utilisateurs ni de groupes aux rôles d'administration sans avoir aussi le rôle adminsecuritymanager.
iscadmins Ce rôle n'est disponible que pour les utilisateurs de la console d'administration, pas pour les utilisateurs wsadmin. Les utilisateurs qui reçoivent ce rôle possèdent des privilèges administrateur pour la gestion des utilisateurs et des groupes dans les référentiels fédérés. Par exemple, un utilisateur possédant le rôle iscadmins peut effectuer les tâches suivantes :
  • Créer, mettre à jour ou supprimer des utilisateurs dans la configuration des référentiels fédérés.
  • Créer, mettre à jour ou supprimer des groupes dans la configuration des référentiels fédérés.
Responsable du déploiement Les utilisateurs auxquels ce rôle a été octroyé peuvent effectuer des actions de configuration et des opérations d'exécution sur des applications. Voir la section Rôle Déployeur pour plus de détails.
Gestionnaire de sécurité administrateur Vous pouvez octroyer le rôle Admin Security Manager à des utilisateurs et à des groupes au niveau de la cellule au moyen de wsadmin et de la console d'administration. Le rôle de gestionnaire de sécurité administrateur vous permet d'octroyer des rôles d'administration à des utilisateurs et à des groupes. Toutefois, un administrateur ne peut pas octroyer de rôles d'administration incluant le rôle Admin Security Manager à des utilisateurs ou à des groupes. Voir la section Rôle de gestionnaire de sécurité administrateur pour plus de détails.
Auditeur Les utilisateurs qui reçoivent ce rôle peuvent voir et modifier les paramètres de configuration du sous-système d'audit de sécurité. Par exemple, ces utilisateurs peuvent effectuer les tâches suivantes :
  • Activer et désactiver le sous-système d'audit de sécurité.
  • Sélectionner l'implémentation de fabrique d'événements à utiliser avec le point de connexion de la fabrique d'événements.
  • Sélectionner et configurer le fournisseur ou l'émetteur de services, ou les deux à utiliser avec le point de connexion du fournisseur de services.
  • Définir la stratégie d'audit décrivant le comportement du serveur d'application lorsqu'une erreur survient dans le sous-système d'audit de sécurité.
  • Définir les événements de sécurité à auditer.
Le rôle d'auditeur inclut le rôle de moniteur. Ceci permet à l'auditeur de voir le reste de la configuration de sécurité mais pas de la modifier. Voir la section Rôle d'auditeur pour plus de détails.

L'ID serveur qui est spécifié et l'ID administrateur, s'il est spécifié, lors de l'activation de la sécurité administrative, sont automatiquement mappés au rôle administrateur.

Un utilisateur doté des droits d'accès appropriés peut ajouter ou supprimer des utilisateurs et des groupes dans des rôles d'administration en utilisant la console d'administration de WebSphere Application Server. Le nom d'utilisateur administrateur principal doit être utilisé pour se connecter à la console d'administration afin de modifier des rôles d'utilisateur et de groupe administrateur, autres que ceux d'auditeur. Seul un utilisateur ayant un rôle d'auditeur peut modifier des rôles d'utilisateur ou de groupe auditeur. Lorsque l'audit de sécurité est initialement activé, l'utilisateur administrateur principal reçoit aussi le rôle d'auditeur et peut gérer tous les rôles d'utilisateur et de groupe administrateur, y compris ceux ayant le rôle d'auditeur. La meilleure méthode consiste à mapper un groupe ou plusieurs groupes et non plusieurs utilisateurs, vers des rôles d'administration car l'administration est simple et flexible.

Outre le mappage de l'utilisateur ou de groupes, un sujet spécial peut également être mappé vers les rôles d'administration. Un sujet special-subject est une généralisation d'une classe particulière d'utilisateurs. Le sujet spécial AllAuthenticated signifie que le refus d'accès du rôle d'administration garantit que l'utilisateur à l'origine de la requête est au moins authentifié. Le sujet spécial Everyone signifie que tous les utilisateurs, authentifiés ou non, peuvent effectuer l'action comme si la sécurité n'était pas activée.

Rôle Déployeur

Un utilisateur doté du rôle de déployeur peut effectuer toutes les opérations de configuration et d'exécution sur une application. Un rôle de déployeur peut correspondre à des sous-ensembles de rôles de configurateur et d'opérateur. Toutefois, un utilisateur avec ce rôle ne peut pas configurer ni utiliser d'autres ressources comme un serveur ou un noeud.

Lorsqu'une sécurité administrative à granularité fine est appliquée, seul un utilisateur auquel a été octroyé le rôle de déployeur sur une application peut configurer et faire fonctionner cette application.

Les configurateurs de niveau de cellule peuvent configurer des applications. Les opérateurs de niveau de cellule peuvent également faire fonctionner (démarrer et arrêter) des applications. Toutefois, un utilisateur doté d'un rôle de déployeur au niveau de la cellule peut aussi exécuter des configurations et des opérations sur toutes les applications.

Tableau 2. Fonctionnalités du rôle Déployeur.

Le tableau répertorie les prérogative du rôle déployeur lorsque la sécurité d'administration à granularité fine est appliquée.

Opération Rôles obligatoires (N'importe lequel)
Installation de l'application Configurateur-cellule, déployeur-cible
Désinstallation de l'application Cell-configurator, application-deployer, target-deployer
Lister l'application Moniteur-cellule, moniteur-application
Modifier, mettre à jour et redéployer l'application Configurateur-cellule, déployeur-application
Exporter l'application Moniteur-cellule, moniteur-application
Démarrer ou arrêter une application Opérateur-cellule, déployeur-application
Où :
Configurateur-cellule
Précise le rôle de configurateur au niveau de la cellule.
Déployeur-application
Précise le rôle de déployeur pour l'application à gérer.
Déployeur-cible
Précise le rôle de déployeur pour tous les serveurs ou tous les clusters pour lesquels une application est ciblée. Si vous possédez un rôle déployeur-cible, vous pouvez installer une nouvelle application sur la cible. Toutefois, pour modifier ou mettre à jour l'application installée, vous devez faire partie du groupe d'autorisations du déployeur-application installé.

Le déployeur-cible ne peut pas démarrer ni arrêter explicitement une nouvelle application. Toutefois, lorsqu'un déployeur-cible démarre un serveur sur une cible, toutes les applications dont l'attribut auto-start est défini suryes sont lancées au démarrage du serveur.

Il est recommandé au déployeur-application de définir cet attribut sur true s'il veut empêcher l'application d'être démarrée par le déployeur-cible.

Rôle de gestionnaire de sécurité administrateur

Le rôle Admin Security Manager sépare l'administration de la sécurité administrative des autres types d'administration de l'application.

Par défaut, serverId et adminID, le cas échéant, sont affectés à ce rôle dans le tableau d'autorisation de niveau cellule. Ce rôle implique un rôle de moniteur. Toutefois, un rôle administrateur n'implique pas un rôle Admin Security Manager.

Lorsqu'une sécurité administrative à granularité fine est appliquée, seul un utilisateur auquel a été octroyé ce rôle au niveau cellule peut gérer des groupes d'autorisation administrative. Toutefois, un utilisateur auquel ce rôle a été octroyé pour chaque groupe d'autorisations d'administration peut mapper des utilisateurs avec des rôles administratifs pour ces groupes. La liste suivante récapitule les fonctions du rôle Admin Security Manager à différents niveaux, tels que les niveaux de groupe d'autorisations de cellule et d'administration.
Tableau 3. Fonctionnalités du rôle Gestionnaire de sécurité administrateur.

Ce tableau répertorie les prérogatives du rôle Gestionnaire de la sécurité d'administration.

Action Rôle
Mapper des utilisateurs à des rôles d'administrateur pour un niveau de cellule Uniquement le rôle Admin Security Manager de la cellule
Mapper des utilisateurs à des rôles d'administrateur pour un groupe d'autorisations Seul le rôle Admin Security Manager de ce groupe d'autorisation ou le rôle Admin Security Manager de la cellule
Gérer les groupes d'autorisations, créer, supprimer, ajouter des ressources à un groupe d'autorisations ou en supprimer, ou lister les ressources Uniquement le rôle Admin Security Manager de la cellule

Rôle d'auditeur

Le rôle d'auditeur sépare l'administration de l'audit de sécurité et les autres types d'administration de l'application.

Ce rôle a été ajouté pour faciliter la distinction entre l'autorité d'un auditeur et celle d'un administrateur. Le rôle de l'auditeur peut être attribué aux administrateurs afin de leur conférer une double autorité. Quand la sécurité est activée pour la première fois, le rôle de l'auditeur est attribué à l'administrateur principal. Si, dans votre situation, une séparation de l'autorité est requise, les administrateurs peuvent se défaire de l'autorité de l'auditeur et l'attribuer à d'autres utilisateurs.

Comme une sécurité à granularité fine pour l'auditeur n'est pas mise en oeuvre, le rôle de l'auditeur a besoin du rôle de moniteur. Ce processus permet à l'auditeur de lire, mais pas de modifier les panneaux gérés par l'administrateur. L'auditeur a les droits complets pour lire et modifier les panneaux associés au sous-système d'audit de sécurité. L'administrateur a le rôle de moniteur sur ces panneaux, mais n'est pas autorisé à les modifier.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_adminroles
Nom du fichier : rsec_adminroles.html