[z/OS]

ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御

コンソール・ユーザーを追加することと、コンソール・ユーザーにセルを許可することには、ユーザー・レジストリーと許可設定の調整が伴います。 ユーザー・レジストリーのカスタム・プロパティーにより、コンソール・ユーザーに対する許可の形式が決まります。 使用される許可の形式に関係なく、WebSphere® 管理者 ID の MVS™ ユーザー ID は、セキュリティーが最初に有効になると、すべての管理コンソール機能にアクセスでき、管理スクリプト・ツールを使用することができるようになります。

このタスクについて

ローカル以外のオペレーティング・システムのレジストリーおよび System Authorization Facility (SAF) 許可が使用されている場合は、ID マッピングを使用して WebSphere Application Server ID を SAF ユーザー ID にマップする必要があります。 コンソールのロールを SAF 許可によって管理するには、セルに対して SAF 許可をオンにする必要があります。 SAF 許可を使用可能にするには、 「セキュリティー」>「グローバル・セキュリティー」>「外部許可プロバイダー」 とクリックして、次に「System Authorization Facility (SAF) の許可」をクリックします。 このオプションを使用可能にすると、SAF EJBROLE プロファイルはコンソール・ユーザーの許可に使用されます。 このオプションが使用可能になっていない場合には、コンソール・ユーザーおよびグループを許可するために、 デフォルトで管理コンソールが使用されます。

選択されているレジストリーまたは許可の設定のタイプにかかわらず、構成プロセスは、WebSphere 構成グループ (すべての WebSphere サーバー ID が許可されている)、および WebSphere 管理者 ID の MVS ユーザー ID に、次のタスクの実行を許可します。
  • すべての管理コンソール機能にアクセスします
  • 最初にセキュリティーが有効になったとき、管理スクリプト・ツールを使用します
z/OS® で SAF 許可が選択されている場合、サーバーの特別なサブジェクトは管理ユーザー ID として使用されません。 (WebSphere z/OS プロファイル管理ツールまたは zpmt コマンドは、許可に使用でき、管理グループのメンバーとなる、管理ユーザーを生成することに注意してください。)

SAF 許可を使用した管理機能へのアクセスの制御

システムのカスタマイズ中に SAF 許可が選択された場合、すべての管理ロールの管理 EJBROLE プロファイルは、z/OS プロファイル管理ツールを使用して生成された RACF® ジョブにより定義されます。 その後、SAF 許可が選択された場合、以下の RACF コマンド (または、同等のセキュリティー・サーバー・コマンド) を発行して、サーバーおよび管理者が WebSphere Application Server を管理できるようにします。
注: さらに、SAF プロファイルの接頭部 (前に z/OS セキュリティー・ドメインとして言及済み) を指定することも可能です。
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor       UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator  UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)deployer      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)adminsecuritymanager      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor      UACC(NONE)

PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(adminGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)monitor       CLASS(EJBROLE) ID(monitorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)configurator  CLASS(EJBROLE) ID(configuratorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)operator      CLASS(EJBROLE) ID(operatorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)deployer      CLASS(EJBROLE) ID(deployerGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)adminsecuritymanager  CLASS(EJBROLE) ID(adminSecurityGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)auditor  CLASS(EJBROLE) ID(auditorGroup) ACCESS(READ)
追加ユーザーが管理機能へのアクセスを必要とする場合、次の RACF コマンドを実行することによって、上記の任意のロールをユーザーに許可することができます。
PERMIT (optionalSAFProfilePrefix.)rolename   CLASS(EJBROLE)  ID(mvsid) ACCESS(READ)
次のように、構成グループに接続することによって、すべての管理機能にユーザー・アクセスを付与することができます。
CONNECT  mvsid  GROUP(configGroup)

WebSphere 許可を使用した管理機能へのアクセスの制御:

管理ロールにユーザーを割り当てるには、以下のステップを行います。

手順

  1. 管理コンソールで、「システム管理」>「コンソール設定」と展開します。
  2. コンソール・ユーザー」>「追加」または「コンソール・グループ」>「追加」をクリックします。
  3. ユーザー ID を必要に応じて追加します。 コンソールのユーザーのロールについて詳しくは、 管理ロールとネーミング・サービスの許可を参照してください。
    注:
    • SAF 許可が有効になっている場合、管理コンソールで指定された WebSphere Application Server 許可は無視されます。
    • SAF ロール名は、大/小文字の区別があります。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_addconsole
ファイル名:tsec_addconsole.html