![[z/OS]](../images/ngzos.gif)
ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御
コンソール・ユーザーを追加することと、コンソール・ユーザーにセルを許可することには、ユーザー・レジストリーと許可設定の調整が伴います。 ユーザー・レジストリーのカスタム・プロパティーにより、コンソール・ユーザーに対する許可の形式が決まります。 使用される許可の形式に関係なく、WebSphere® 管理者 ID の MVS™ ユーザー ID は、セキュリティーが最初に有効になると、すべての管理コンソール機能にアクセスでき、管理スクリプト・ツールを使用することができるようになります。
このタスクについて
ローカル以外のオペレーティング・システムのレジストリーおよび System Authorization Facility (SAF) 許可が使用されている場合は、ID マッピングを使用して WebSphere Application Server ID を SAF ユーザー ID にマップする必要があります。 コンソールのロールを SAF 許可によって管理するには、セルに対して SAF 許可をオンにする必要があります。 SAF 許可を使用可能にするには、 「セキュリティー」>「グローバル・セキュリティー」>「外部許可プロバイダー」 とクリックして、次に「System Authorization Facility (SAF) の許可」をクリックします。 このオプションを使用可能にすると、SAF EJBROLE プロファイルはコンソール・ユーザーの許可に使用されます。 このオプションが使用可能になっていない場合には、コンソール・ユーザーおよびグループを許可するために、 デフォルトで管理コンソールが使用されます。
- すべての管理コンソール機能にアクセスします
- 最初にセキュリティーが有効になったとき、管理スクリプト・ツールを使用します
SAF 許可を使用した管理機能へのアクセスの制御
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)deployer UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor UACC(NONE)
PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(adminGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)monitor CLASS(EJBROLE) ID(monitorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)configurator CLASS(EJBROLE) ID(configuratorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)operator CLASS(EJBROLE) ID(operatorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)deployer CLASS(EJBROLE) ID(deployerGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)adminsecuritymanager CLASS(EJBROLE) ID(adminSecurityGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)auditor CLASS(EJBROLE) ID(auditorGroup) ACCESS(READ)
追加ユーザーが管理機能へのアクセスを必要とする場合、次の RACF コマンドを実行することによって、上記の任意のロールをユーザーに許可することができます。
PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
CONNECT mvsid GROUP(configGroup)
WebSphere 許可を使用した管理機能へのアクセスの制御:
管理ロールにユーザーを割り当てるには、以下のステップを行います。