ジョブ・スケジューラーのセキュリティーの概要
ジョブに対してユーザーが取ることのできるアクションは、適用されるセキュリティー・モデルによって異なります。 ジョブに対するユーザー処置は、ロール・ベースの場合、グループ・ベースの場合、あるいは、その 2 つの組み合わせの場合があります。
ロール・ベース・セキュリティー
ロール・ベース・セキュリティーが有効な場合、 ジョブに対してアクションを実行するには、lrsubmitter ロール、lradmin ロール、または lrmonitor ロールが付与されている必要があります。 lradmin ロールが割り当てられたユーザーには、ジョブの所有権に関係なく、 すべてのジョブについてジョブ・スケジューラー・アプリケーションの全アクションを実行する権限があります。 lrsubmitter ロールが割り当てられたユーザーは、実行依頼者が所有するジョブについてのみ、表示およびアクションの実行が可能です。 lrmonitor ロールが割り当てられたユーザーは、全ユーザーのジョブおよびジョブ・ログの表示のみが可能です。
グループ・セキュリティー
グループ・セキュリティー・モデルでは、 グループの所属のみを基準として、ジョブ関連のセキュリティーをすべて決定します。 管理者は、ジョブのロールを特定のユーザーに割り当てません。 ユーザーとジョブが同じグループのメンバーである場合にのみ、ユーザーはジョブに対してアクションを実行することができます。 例えば、2 人のユーザーが同じグループのメンバーで、それぞれがその同じグループに割り当てられたジョブを 1 つサブミットすると、この 2 人のユーザーは、2 つのジョブのいずれに対しても表示およびアクションの実行を行うことができます。
WebSphere® Application Server はジョブ・スケジューラーの操作に対してロール・ベースの検査を行うため、 lradmin ロールの「アプリケーションのレルム内で認証済みすべて」への割り当てを行う必要があります。 グループ内のユーザーは lradmin ロールと同じ特権を持ち、 グループ内のジョブに対して、lradmin ロールで実行できる操作と同じ操作を実行できます。
ユーザーとグループ・メンバーシップ
グループ・セキュリティー機能には、グループ・メンバーシップ SPI の実装、あるいは、 Lightweight Directory Access Protocol (LDAP) などの、グループ・メンバーシップをサポートし、統合リポジトリーとして構成されたユーザー・リポジトリーが必要です。
グループ・メンバーシップ・フィルター SPI を使用して、統合リポジトリーを拡張することができます。
リポジトリーを使用する場合には、WebSphere Application Server 構成が 1 つのリポジトリーしか使用しない場合でも、 リポジトリーを統合リポジトリーとして構成する必要があります。 統合リポジトリー機能は、ローカル OS、LDAP、Active Directory など、複数のリポジトリー・テクノロジーをサポートします。
さらに、統合リポジトリー機能は、
System Authorization Facility (SAF) もサポートします。
リポジトリーを使用する際には、 構成されているリポジトリー・テクノロジーの管理機能を使用して、すべての WebSphere Application Server ユーザーおよびグループを定義する必要があります。
グループおよびロールのセキュリティー
グループおよびロールのセキュリティー・モデルでは、 グループの所属とロール・ベースの両方のセキュリティーによって、ジョブ関連のセキュリティーの決定が管理されます。 すなわち、ユーザーとジョブが同じグループのメンバーで、ユーザーのロールによってジョブ処置が許可される場合にのみ、ユーザーはジョブ関連の処置を実行することができます。
例えば、2 人のユーザーが同じグループのメンバーで、それぞれがその同じグループに割り当てられたジョブを 1 つサブミットすると、 どちらのユーザーも、自分のロール割り当てに応じて、それぞれその 2 つのジョブのいずれかについて表示およびアクションの実行を行うことができます。 1 人目のユーザーが lradmin ロールの場合、このユーザーは、両方のジョブについて表示およびジョブ・アクションの実行を行うことができます。 2 人目のユーザーが lrsubmitter ロールの場合、このユーザーは自分でサブミットしたジョブのみについて、表示およびジョブ・アクションの実行を行うことができます。 2 人目のユーザーが lrsubmitter ロールではなく lrmonitor ロールの場合、 このユーザーはジョブのサブミットはできませんが、1 人目のユーザーがサブミットしたジョブを表示することができます。