ロールおよびグループを使用して、ジョブ・スケジューラー を
セキュアにすることができます。そうすると、ユーザーがジョブに関する操作を実行できるのは、ユーザーとジョブが同じ
グループのメンバーであり、かつ、ユーザーのロールでその操作が許可されている場合のみに
なります。
このタスクについて
グループを作成し、そのグループに所属するユーザーを作成します。
ジョブ・スケジューラー のグループ・ロール・セキュリティーを使用可能にします。
手順
- グループを作成し、そのグループに所属するユーザーを作成します。
WebSphere® Application Server 資料で、ロールへのユーザーおよびグループの割り当てに
関するセクションを参照し、指示に従ってください。このタスク用に例として使用されているユーザーは user2、
グループは BATCH2GROUP です。
- ジョブ・スケジューラー のグループおよびロールによるセキュリティーを使用可能にします。
- をクリックします。
- 「新規」をクリックし、「名前」にJOB_SECURITY_POLICY を追加し、「値」に GROUPROLE を追加します。
- 「適用」をクリックして、構成を保存します。
- をクリックします。
- ロールに「lrsubmitter」を選択し、user2 ユーザーを lrsubmitter ロールにマップするために「ユーザー
のマップ...」を選択します。
この例では lrsubmitter ロールが使用されました。別のロールを
選択してもかまいません。
- 更新を保存します。
- サーバーを再始動します。
- グループおよびロールによるセキュリティーが有効になっているか確認します。
SystemOut.log ファイル内に次のメッセージがあれば、
グループ・セキュリティーは有効になっています。
CWLRB5837I: WebSphere Application Server Batch Feature は GROUPROLE セキュリティー・ポリシーで稼働しています。
- グループをジョブに割り当てます。
ジョブはいずれかのユーザー・グループおよび管理グループに
属します。JOB_SECURITY_ADMIN_GROUP 変数
が定義されていない場合、ジョブ・スケジューラーが管理グループを各ジョブに自動的に
割り当てます。
- JOB_SECURITY_ADMIN_GROUP ジョブ・スケジューラー・カスタム・プロパティーを介して、
管理グループ名の値を構成します。
JOB_SECURITY_ADMIN_GROUP=JSYSADMN
デフォルトの
管理グループ名は JSYSADMN です。
- 以下のいずれかの方法を使用して、グループを割り当てます。
- 次の例のように、xJCL 内の group 属性にグループを定義します。
<job-name=”{jobname}” group=”{group-name}” … />
- JOB_SECURITY_DEFAULT_GROUP ジョブ・スケジューラー・カスタム・プロパティー
を使用して、ジョブ・スケジューラーのデフォルトのグループ名を設定します。
JOB_SECURITY_DEFAULT_GROUP=JSYSDFLT
デフォルトのグループ名は JSYSDFLT です。
このジョブ・スケジューラー・カスタム・プロパティーよりも、xJCL 内の group 属性
が優先されます。xJCL 内にグループ名が指定されていない場合、
ジョブ・スケジューラーがデフォルトのグループ名を割り当てます。
タスクの結果
グループと、そのグループに所属するユーザーを作成しました。
認証されたユーザーを lrsubmitter セキュリティー・ロールにマップしました。
次のタスク
グループおよびロールによるセキュリティーを使用してジョブを管理します。
- ジョブをサブミットします。
- 前のステップで作成した user2 ユーザーを使用して、
lrsubmitter ロールのユーザーが実行できる操作をジョブに対して実行します。