管理ロール
Java™ Platform, Enterprise Edition (Java EE) ロール・ベースの許可の概念は、WebSphere® Application Server の管理サブシステムを保護するように拡張されています。
いくつかの管理ロールが定義されており、Web ベースの管理コンソールまたはシステム管理スクリプト・インターフェースのいずれかから、 特定の管理機能を実行するために必要なさまざまなレベルの権限が提供されています。 許可ポリシーは、管理セキュリティー が使用可能になっている場合にのみ有効です。次の表は、管理ロールについての説明です。
ロール | 説明 |
---|---|
モニター | モニター・ロールを使用する個々のユーザーまたはグループの持つ特権は最少となります。モニターでは、以下のタスクが実行できます。
|
コンフィギュレーター | コンフィギュレーター・ロールを使用する個々のユーザーまたはグループは、モニター特権に加え、WebSphere Application Server 構成を変更できる権限を持ちます。
コンフィギュレーターは日常的な構成タスクをすべて行うことができます。例えば、コンフィギュレーターは、以下のタスクを実行できます。
|
オペレーター | オペレーター・ロールを使用する個々のユーザーまたはグループは、モニター特権に加え、ランタイムの状態を変更できる権限を持ちます。例えば、オペレーターは、以下のタスクを実行できます。
|
管理者 | 管理者ロールを使用する個々のユーザーまたはグループは、オペレーター特権とコンフィギュレーター特権に加え、管理者ロールにのみ与えられる追加特権を持ちます。例えば、管理者は、以下のタスクを実行できます。
重要: 管理者は、このほかにも adminsecuritymanager ロールがなければ、
ユーザーおよびグループを管理者のロールにマップできません。
|
iscadmins | このロールは、管理コンソールのユーザーのみ使用可能です。
wsadmin ユーザーは使用できません。このロールを付与されたユーザーには、統合リポジトリー内でユーザーおよびグループを管理する管理者特権が付与されます。
例えば、iscadmins のロールのユーザーは、以下のタスクを実行できます。
|
デプロイヤー | このロールを付与されたユーザーは、アプリケーションに対し、構成操作、および実行時の操作の両方を実行できます。詳しくは、デプロイヤー・ロール セクションを参照してください。 |
セキュリティー・マネージャーの管理 | wsadmin スクリプトおよび管理コンソールを使用して、ユーザーおよびグループをセル・レベルの 「セキュリティー・マネージャーの管理」ロールに割り当てることができます。 「セキュリティー・マネージャーの管理」ロールを使用すると、ユーザーおよびグループを、 管理ユーザー・ロールおよび管理グループ・ロールに割り当てることができます。ただし、管理者は、ユーザーおよびグループを、「セキュリティー・マネージャーの管理」ロールを含む管理ユーザー・ロールおよび管理グループ・ロールに割り当てることはできません。 詳しくは、「セキュリティー・マネージャーの管理」ロール セクションを参照してください。 |
監査員 | このロールを付与されたユーザーは、セキュリティー監査サブシステムの構成設定を
表示および変更することができます。例えば、監査員のロールを持つユーザーは、以下のタスクを実行できます。
|
管理セキュリティーを使用可能にする際に指定されたサーバー ID および管理 ID (指定された場合) は、自動的に管理者ロールにマップされます。
適切な権限を与えられたユーザーが WebSphere Application Server 管理コンソールを使用することで、ユーザーおよびグループを管理ロールに追加したり、管理ロールから除去したりすることができます。 監査員のロール以外の管理ユーザー/グループ・ロールを変更するには、 1 次管理ユーザー名を使用して管理コンソールにログオンする必要があります。 監査員のロールを持つユーザーのみ、監査員ユーザー/グループのロールを変更できます。 セキュリティー監査が初期状態で有効の場合、 1 次管理ユーザーには監査員のロールも与えられ、 監査員のロールのものも含め、すべての管理ユーザー/グループのロールを管理することができます。 ベスト・プラクティスは、 特定のユーザーではなくグループ (複数も可) を、管理ロールにマップする ことです。これは、グループを管理する方が柔軟性があり、容易であるた めです。
ユーザーまたはグループのマッピングに加えて、 特別な対象も管理ロールにマップすることができます。 特別な対象とは、特定クラスのユーザーを一般化したものです。特別な対象が AllAuthenticated である場合、 管理ロールのアクセス検査によって、要求を出しているユーザーが少なくとも認証済みであることを意味します。 特別な対象が Everyone である場合、認証されているか否かにかかわらず、 セキュリティーが使用可能になっていない場合と同様に、すべてのユーザーがアクションを実行できることを意味します。
デプロイヤー・ロール
デプロイヤーのロールを付与されたユーザーは、アプリケーションの構成、および実行時の操作のすべてを実行できます。デプロイヤーのロールは、コンフィギュレーターおよびオペレーターの両方のロールの一部を含みます。ただし、デプロイヤーのロールを付与された ユーザーは、サーバー、ノードなどの他のリソースを構成、または操作することはできません。
非常に細かな管理セキュリティーが使用されている場合、 アプリケーションの構成、および操作をできるのは、そのアプリケーションのデプロイヤーのロールを付与されたユーザーのみです。
セル・レベルのコンフィギュレーターは、 アプリケーションの構成を行えます。また、 セル・レベルのオペレーターは、アプリケーションを操作 (開始および停止) できます。 ただし、セル・レベルでデプロイヤーのロールを付与された ユーザーも、すべてのアプリケーションの構成および操作を行うことができます。
オペレーション | 必要なロール (いずれか 1 つ) |
---|---|
アプリケーションを インストール | セル・コンフィギュレーター、ターゲット・デプロイヤー |
アプリケーションをアンインストール | セル・コンフィギュレーター、アプリケーション・デプロイヤー、ターゲット・デプロイヤー |
アプリケーションをリスト | セル・モニター、アプリケーション・モニター |
アプリケーションを編集、更新、再デプロイ | セル・コンフィギュレーター、アプリケーション・デプロイヤー |
アプリケーションをエクスポート | セル・モニター、アプリケーション・モニター |
アプリケーションの開始または停止 | セル・オペレーター、アプリケーション・デプロイヤー |
- セル・コンフィギュレーター
- セル・レベルでのコンフィギュレーターのロールを指定します。
- アプリケーション・デプロイヤー
- 管理されるアプリケーションに対するデプロイヤーのロールを指定します。
- ターゲット・デプロイヤー
- アプリケーションがターゲットとなっているすべてのサーバーまたはクラスターに対するデプロイヤーのロールを指定します。
ターゲット・デプロイヤーのロールを付与されている場合は、ターゲット上に新しいアプリケーションをインストールできます。
ただし、インストールされたアプリケーションを編集または更新する場合は、インストールされたアプリケーション・デプロイヤーの許可グループに含まれている必要があります。
ターゲット・デプロイヤーは、新しいアプリケーションを明示的に開始または停止することができません。 ただし、ターゲット・デプロイヤーがターゲット上でサーバーを開始した場合、自動開始属性が yes に設定されているすべてのアプリケーションが、サーバーの開始と同時に開始されます。
アプリケーション・デプロイヤーは、ターゲット・デプロイヤーによってアプリケーションが開始されないようにする場合、この属性を true に設定することをお勧めします。
「セキュリティー・マネージャーの管理」ロール
「セキュリティー・マネージャーの管理」ロールでは、管理セキュリティーの管理と、それ以外のアプリケーションの管理が分離されます。
デフォルトで、serverId および adminID (指定された場合) は、セル・レベルの許可テーブルでこのロールに割り当てられます。 このロールは、モニターのロールを含みます。ただし、管理者のロールは、 「セキュリティー・マネージャーの管理」ロールを含みません。
アクション | ロール |
---|---|
セル・レベルの管理のロールにユーザーをマップする | セルの管理セキュリティー・マネージャーのみ |
特定の許可グループの管理ロールにユーザーをマップする | 許可グループの管理セキュリティー・マネージャーまたはセル内の管理セキュリティー・マネージャーのみ |
許可グループを管理し、リソースの作成、削除、許可グループへの追加、または許可グループまたはリストからの除去を行います。 | セルの管理セキュリティー・マネージャーのみ |
監査員ロール
監査員のロールは、 セキュリティー監査の管理を管理セキュリティーやその他のアプリケーション管理と別個に扱います。
監査員ロールが追加されて、監査員の権限を管理者の権限から明確に分離できるようになりました。 監査員ロールを管理者に付与して、両者の権限を結合することもできます。 セキュリティーが最初に使用可能になると、監査員ロールは、1 次管理者に割り当てられます。 状況によって、権限の分離が必要な場合、管理者は、監査員ロールを自分自身から除去して、監査員ロールを他のユーザーに割り当てることができます。
監査員ロールに関するきめの細かいセキュリティーは実装されていないため、結果として、監査員ロールのために、モニターのロールが必要となる場合があります。 このプロセスにより、監査員は、管理者によって管理されているパネルを読み取ることができますが、変更することはできません。 監査員は、セキュリティー監査サブシステムに関連付けられているパネルを読み取り、変更する全権限を持っています。 ただし、管理者は、それらのパネルに関するモニターのロールを持ちますが、それらのパネルを変更することはできません。