Règles de sécurité par défaut du MBean

Cette rubrique aborde la stratégie de sécurité par défaut du noeud géré (MBean). Dans la plupart des cas, les développeurs de MBean n'ont pas à définir de règles de sécurité.

On distingue trois types de MBean pour les règles de sécurité par défaut du MBean :
  • Un MBean de type configuration
  • Un MBean de type exécution
  • Un MBean de type déployeur
Un attribut facultatif défini dans le fichier XML du descripteur de MBean permet d'indiquer le type de MBean.
Le MBean ConfigRepository est un exemple de type de configuration. Dans le fichier descripteur configRepository.xml, l'attribut configureMBean = "true" indique que le MBean est un type de configuration.
<MBean type="ConfigRepository" 
  version="5.0"
  platform="common"
  description="Management interface for the configuration repository."
  configureMBean="true">
Le MBean EJBModule est un exemple de MBean type déployeur. Dans le fichier du descripteur EJBModule.xml, l'attribut deployerMBean = "true" indique que le MBean est un type de déployeur.
<MBean type="EJBModule" j2eeType="EJBModule"
  version="5.0"
  platform="dynamicproxy"
  resourceIdentifierKey="Application"
  resourceType="Application"
  deployerMBean="true"
  description="Management interface for the EJBModule component.">

Le contrôle d'accès étendu fondé sur les rôles de WebSphere Application Server prend en charge l'héritage des rôles. Il existe cinq rôles d'administration : administrateur, configurateur, opérateur, déployeur et moniteur. Le rôle de moniteur est celui disposant de moins de privilèges. Les utilisateurs qui reçoivent le rôle de moniteur peuvent visualiser la configuration de WebSphere Application Server ainsi que l'état d'exécution. Ils ne peuvent cependant apporter aucune modification. Outre les privilèges du rôle "moniteur", les autres rôles d'administration possèdent chacun leur propre ensemble de privilèges.

Le rôle "configurateur" peut modifier les données de configuration de WebSphere Application Server. Le rôle "opérateur" permet de modifier l'état d'exécution, tel que le lancement et l'arrêt des ressources d'administration. Le rôle "configurateur" ne peut pas modifier l'état d'exécution ; de la même manière, le rôle "opérateur" ne peut pas modifier la configuration de WebSphere Application Server. Le rôle "administrateur" inclut les rôles "configurateur" et "opérateur" mais il possède également d'autres droits. Le rôle "administrateur" peut également changer la configuration de la sécurité d'administration. Ce schéma simple présente les relations d'héritage des rôles d'administration. Le rôle "déployeur" combine les rôles "configurateur" et "opérateur" pour la gestion des applications. Le déployeur dispose à la fois des droits de configurateur et d'opérateur pour les applications. Un schéma représente les relations d'héritage des rôles d'administration.

Relations d'héritage des rôles d'administration de la sécurité

Chaque méthode ou opération du MBean est associée à un attribut impact doté de la valeur INFO ou ACTION. Voici quelques exemples :
  • La méthode get possède la valeur "impact" INFO et la méthode write possède la valeur "impact" ACTION.
  • Dans le MBean ConfigRepository, la méthode extract ne modifie pas les données de configuration et possède la valeur INFO et la méthode modify possède la valeur "impact" ACTION.
  • Dans le MBean JVM (Java™ virtual machine), qui correspond à un MBean de type "opérateur", la méthode ggetCurrentTimeInMillis possède la valeur "impact" ACTION.

Une méthode MBean configuration dont la valeur "impact" est INFO requiert un rôle de moniteur. La méthode du MBean "configuration" qui possède la valeur "impact" ACTION requiert le rôle "configurateur". Une méthode MBean déployeur dont la valeur "impact" est INFO requiert un rôle de moniteur. Une méthode MBean de déployeur avec une valeur impact ACTION requiert un rôle de déployeur. Tous les rôles d'administration étant de moniteur, ils peuvent tous accéder aux méthodes MBean de configuration et de déployeur avec une valeur impact INFO. Le rôle Administrateur est un rôle Configurateur qui peut accéder aux méthodes du MBean "configuration" dont la valeur impact correspond à ACTION.

Les règles de sécurité par défaut du MBean "configuration" sont résumées dans le tableau ci-après :

Tableau 1. Valeurs d'impact et rôles de sécurité de la méthode MBean "configuration". Un X indique que la méthode MBean nécessite le rôle par défaut.
Impact de la méthode Rôle Moniteur Rôle Opérateur Rôle Configurateur Rôle Déployeur Rôle Administrateur
INFO X X X X X
ACTION     X   X

Les règles de sécurité par défaut du MBean "operation" sont résumées dans le tableau ci-après :

Tableau 2. Valeurs d'impact et rôles de sécurité de la méthode MBean. Un X indique que la méthode MBean nécessite le rôle par défaut.
Impact de la méthode Rôle Moniteur Rôle Opérateur Rôle Configurateur Rôle Déployeur Rôle Administrateur
INFO X X X X X
ACTION   X     X

Les règles de sécurité par défaut du MBean déployeur sont résumées dans le tableau ci-après :

Tableau 3. Valeurs d'impact et rôles de sécurité de la méthode MBean "déployeur". Un X indique que la méthode MBean nécessite le rôle par défaut.
Impact de la méthode Rôle Moniteur Rôle Opérateur Rôle Configurateur Rôle Déployeur Rôle Administrateur
INFO X X X X X
ACTION   X   X X

Si un MBean reçoit à la fois les attributs configureMBean et deployerMBean avec la valeur true, le rôle requis pour toutes les actions est soit "configurateur" soit "moniteur". Aucun MBean correspondant n'est actuellement défini dans le système.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjmx_admin_defmbsec
Nom du fichier : cjmx_admin_defmbsec.html