[z/OS]

詳細な管理許可に使用する System Authorization Facility

詳細な管理セキュリティーが使用されている場合、管理リソースは複数の許可グループに分割されます。 許可グループごとに、独自の許可テーブルが含まれています。 このテーブルは、その許可グループに対する、ユーザーから管理者へのロール・マッピングを表しています。

すべての許可グループに対して同一の管理ロールのセットが存在します。 しかし、管理ロールにマップされるユーザーは、さまざまです。 これまでどおり、セル内のすべてのリソースへのアクセスを表すセル・レベルの管理ロールがあります。

Resource Access Control Facility (RACF®) または System Authorization Facility (SAF) を使用して、ユーザーからロールへのマッピングを構成する場合、以前に定義されたセル・レベルの管理者ロール用の EJBROLE プロファイルとともに、各許可グループのロールごとに 1 つの EJBROLE プロファイルを定義する必要があります。 管理許可用の RACF EJBROLE クラスで定義されるプロファイルは 6 つあります。管理者、コンフィギュレーター、モニター、オペレーター、デプロイヤーおよび adminsecuritymanager です。

許可グループは、WebSphere® Application Server 構成ツール (wsadmin) を使用して作成できます。許可グループを作成したら、wsadmin を使用して許可グループ内のユーザーからロールへのマッピングを行うこともできます。 しかし、RACF を使用してユーザーから管理ロールへのマッピングを保管した場合、 RACF 管理者は、追加のステップを実行して、ユーザーからロールへのマッピングを行う必要があります。 新規に作成された許可グループ内の管理者ロールごとに、EJBROLE プロファイルを定義する必要があります。 その後で、ユーザーに、新規に作成された EJBROLE プロファイルへのアクセス権を付与する必要があります。

例えば、wsadmin を使用して、以下の許可グループ、 およびユーザーからロールへのマッピングが既に作成されている場合は、次のようにします。
表 1. 許可グループおよびユーザーからロールへのマッピング. 以下の表に、許可グループとユーザーからロールへのマッピングをリストします。
グループ ユーザーからロールへのマッピング ユーザーからロールへのマッピング ユーザーからロールへのマッピング ユーザーからロールへのマッピング ユーザーからロールへのマッピング ユーザーからロールへのマッピング
group1 administrator=user1 コンフィギュレーター オペレーター モニター deployer=user3 adminsecuritymanager
group2 administrator=user2 コンフィギュレーター operator=user4 モニター デプロイヤー (deployer) adminsecuritymanager
次に、次のスクリプトを使用して、同じ情報を RACF に反映できます。
/* activate EJBROLE class */
SETROPTS CLASSACT(EJBROLE)

/* Defining EJBROLE profiles for admin roles in group1 and group2 */

/* define the roles in RACF for group1 */
RDEFINE EJBROLE domainName.group1.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group1.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group1.operator UACC(NONE)
RDEFINE EJBROLE domainName.group1.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group1.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group1.adminsecuritymanager UACC(NONE)

/* define the roles in RACF for group2 */
RDEFINE EJBROLE domainName.group2.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group2.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group2.operator UACC(NONE)
RDEFINE EJBROLE domainName.group2.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group2.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group2.adminsecuritymanager UACC(NONE)

/* Mapping users to roles in group1 and group2 */

/* map user1 to administrator role in group1 */
PERMIT domainName.group1.administrator CLASS(EJBROLE)  ID(USER1) ACCESS(READ)
/* map user3 to deployer role in group1 */
PERMIT domainName.group1.deployer CLASS(EJBROLE)  ID(USER3) ACCESS(READ)

/* map user2 to administrator role in group2 */
PERMIT domainName.group2.administrator CLASS(EJBROLE)  ID(USER2) ACCESS(READ)
/* map user4 to operator role in group2 */
PERMIT domainName.group2.operator CLASS(EJBROLE)  ID(USER4) ACCESS(READ)


/* refresh the EJBROLE class in RACF */
SETROPTS RACLIST(EJBROLE) REFRESH"     

ここで、domainName は、WebSphere Application Server セルのセキュリティー・ドメインを表します。

各許可グループ内のすべてのロールの EJBROLE プロファイルは、 ユーザーがそのロールにマップされているかどうかにかかわらず、作成する必要があることに注意してください。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_fineg_saf
ファイル名:csec_fineg_saf.html