Autorisation de l'accès pour des rôles d'administration

Vous pouvez affecter des utilisateurs et des groupes à des rôles d'administration pour identifier des utilisateurs qui peuvent exécuter des fonctions d'administration WebSphere Application Server.

Avant de commencer

Les rôles d'administration vous permettent de contrôler l'accès aux fonctions d'administration de WebSphere Application Server. Voir la description de ces rôles dans Rôles d'administration.

[z/OS]
  • Utilisation du mécanisme d'autorisation SAF (System Authorization Facility) pour contrôler l'accès aux rôles d'administration : Lorsque la propriété com.ibm.security.SAF.authorization est associée à la valeur true, les profils SAF EJBROLE sont utilisés pour contrôler l'accès aux rôles d'administration. Pour plus d'informations, voir Mécanisme d'autorisation SAF (System Authorization Facility) fondé sur les rôles.
  • Si vous sélectionnez Utiliser un produit de sécurité z/OS lors de la création du profil dans l'outil PMT (Profile Management Tool) de z/OS et que vous spécifiez également une valeur pour le préfixe de profil SAF (autrefois nommé domaine de sécurité de z/OS), les rôles d'administration suivants sont définis par les travaux de personnalisation. Le préfixe de profil SAF peut être spécifié lors de la création du profil et configGroup représente le nom du groupe de configuration de serveur WebSphere Application Server choisi.
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor       UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator  UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator      UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor       UACC(NONE)
    
    PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)monitor       CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)configurator  CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)operator      CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)auditor       CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
  • Si vous décidez d'activer ultérieurement le mécanisme d'autorisation SAF, vous devez entrer ces commandes RACF (Resource Access Control Facility) pour assurer le bon fonctionnement de WebSphere Application Server. Vous pouvez accorder un accès utilisateur à toutes les fonctions d'administration en vous connectant au groupe de configuration :
    CONNECT  mvsid  GROUP(configGroup)
  • Vous pouvez également affecter des utilisateurs à des rôles spécifiques en entrant la commande RACF suivante :
    PERMIT (optionalSAFProfilePrefix.)rolename  CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
  • Il est inutile de redémarrer le serveur pour que les modifications SAF EJBROLE soient prises en compte. Toutefois, après avoir apporté les modifications SAF, vous devez entrer la commande RACF ci-dessous (ou l'équivalent pour votre système de sécurité) pour régénérer les tables de sécurité en mémoire :
    SETROPTS RACLIST(EJBROLE)  REFRESH
  • Utilisation du mécanisme d'autorisation WebSphere pour contrôler l'accès aux rôles d'administration : Lorsque la propriété com.ibm.security.SAF.authorization est définie sur false, le mécanisme d'autorisation WebSphere Application Server et la console d'administration permettent de contrôler l'accès aux rôles d'administration.
[AIX Solaris HP-UX Linux Windows][IBM i]
  • Avant d'avoir associé les utilisateurs à des rôles d'administration, vous devez configurer votre registre d'utilisateurs. Pour plus d'informations sur les types de registre pris en charge, voir Sélection d'un registre ou d'un référentiel.
  • Les étapes suivantes sont obligatoires pour affecter des rôles d'administration aux utilisateurs.
[AIX Solaris HP-UX Linux Windows][IBM i]

Pourquoi et quand exécuter cette tâche

Vous pouvez utiliser la console d'administration pour affecter des utilisateurs et des groupes à des rôles d'administration et pour identifier les utilisateurs qui peuvent exécuter des fonctions d'administration WebSphere Application Server. Dans la console d'administration,

Procédure

  1. Cliquez sur Utilisateurs et groupes. Cliquez sur Rôles de l'administrateur ou sur Rôles du groupe d'administration.
  2. Pour ajouter un utilisateur ou un groupe, cliquez sur Ajouter dans le panneau Utilisateur de la console ou Groupes de la console.
  3. Pour ajouter un administrateur, suivez les instructions de la page pour spécifier un utilisateur et sélectionnez le rôle Administrateur. Une fois l'utilisateur ajouté à la liste Mappé au rôle, cliquez sur OK. L'utilisateur spécifié est mappé au rôle de sécurité.
  4. Pour ajouter un groupe d'administration, suivez les instructions de la page pour spécifier un nom de groupe ou un Sujet spécial, mettez en surbrillance le rôle Administrateur et cliquez sur OK. Le groupe ou le sujet spécial spécifié est mappé au rôle de sécurité.
  5. Pour supprimer une affectation de groupe ou d'utilisateur, cliquez sur Supprimer dans le panneau Utilisateurs de la console ou Groupes de la console. Dans le panneau Utilisateurs de la console ou Groupes de la console, cochez la case correspondant à l'utilisateur ou au groupe à supprimer et cliquez sur OK.
  6. Pour gérer l'ensemble des utilisateurs ou des groupes à afficher, cliquez sur Afficher la fonction de filtrage dans le panneau Rôles utilisateur ou Rôles du groupe . Dans la case Terme(s) de recherche, tapez une valeur, puis cliquez sur Aller. Par exemple, utilisateur* affiche uniquement les utilisateurs dont le préfixe est utilisateur.
  7. Une fois les modifications terminées, cliquez sur Enregistrer pour enregistrer les mappages.
  8. Pour que les modifications soient prises en compte, redémarrez le serveur d'applications.
  9. [AIX Solaris HP-UX Linux Windows][IBM i]Arrêtez les noeuds, les agents de noeud et le gestionnaire de déploiement.
  10. [AIX Solaris HP-UX Linux Windows][IBM i]Vérifiez que les processus Java ne sont pas en cours d'exécution. S'ils sont actifs, arrêtez leur exécution.
  11. [AIX Solaris HP-UX Linux Windows][IBM i]Relancez le gestionnaire de déploiement.
  12. [AIX Solaris HP-UX Linux Windows]Synchronisez à nouveau les noeuds. Pour resynchroniser les noeuds, exécutez la commande racine_install/bin/syncNode ou racine_install/bin/syncNode.sh pour chaque noeud. Utilisez la commande synchNode.
  13. [IBM i]Synchronisez à nouveau les noeuds. Pour resynchroniser les noeuds, exécutez le script racine_install/bin/syncNode à partir de la ligne de commande Qshell de chaque noeud. Utilisez la commande synchNode.
  14. [AIX Solaris HP-UX Linux Windows]Redémarrez les noeuds. Pour redémarrer les noeuds, exécutez la commande racine_install/bin/startNode ou racine_install/bin/startNode.sh pour chaque noeud. Utiliser la commande startNode.
  15. [IBM i]Redémarrez les noeuds. Pour redémarrer les noeuds, exécutez le script racine_install/bin/startNode à partir de la ligne de commande Qshell de chaque noeud. Utiliser la commande startNode.
  16. [AIX Solaris HP-UX Linux Windows][IBM i]Le cas échéant, démarrez les clusters.
[AIX Solaris HP-UX Linux Windows]

Que faire ensuite

[AIX Solaris HP-UX Linux Windows]Après avoir associé les utilisateurs à des rôles d'administration, vous devez relancer le gestionnaire de déploiement pour que les nouveaux rôles soient pris en compte. Toutefois, les ressources d'administration ne sont protégées que si vous activez la sécurité.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tselugradro
Nom du fichier : tsec_tselugradro.html