ロールおよびグループを使用して、ジョブ・スケジューラー を
セキュアにすることができます。そうすると、ユーザーがジョブに関する操作を実行できるのは、ユーザーとジョブが同じ
グループのメンバーであり、かつ、ユーザーのロールでその操作が許可されている場合のみに
なります。
始める前に
デプロイメント・マネージャーおよびすべてのノード・エージェントを開始します。
このタスクについて
WebSphere® Application Server グローバル・セキュリティーを使用可能にする。統合リポジトリー用のユーザー・レジストリー・ブリッジを構成します。
VMM SAF マッピング・モジュールをインストールして構成し、このモジュールを 3 つのログイン・モジュールに
追加します。次に、RACF® を
使用して、グループを作成し、そのグループにユーザーを追加します。グループをジョブに割り当てます。
lradmin ロールおよび lrsubmitter ロールに対して EJBROLE プロファイルを定義します。
手順
- グローバル・セキュリティーを使用可能にします。
WebSphere Application Server 資料で、セキュリティーの使用可能化に関する
セクションを参照し、指示に従ってください。グローバル・セキュリティーのパネルで、
以下のオプションが選択されていることを確認してください。
- 「管理セキュリティーを使用可能にする」および「アプリケーション・セキュリティーを使用可能にする」
- 「使用可能なレルム定義」に対して「統合リポジトリー」
- 「許可プロバイダー」に対して「SAF 代行を使用可能にする」
- 統合リポジトリー用のユーザー・レジストリー・ブリッジを構成します。
WebSphere Application Server 資料で、統合リポジトリー用のユーザー・レジストリー・ブリッジ
の wsadmin スクリプトを使用した構成に関するセクションを参照し、指示に従ってください。
- SampleVMMSAFMappingModule モジュールをインストールして構成します。
製品のカスタム System Authorization Facility マッピング・モジュールのインストールと構成に関するセクションを参照し、指示に従ってください。このモジュールを WEB_INBOUND、RMI_INBOUND、
および DEFAULT ログイン・モジュールに追加します。
- 変更を同期化し、セルを再始動します。
- グループを作成し、そのグループにユーザーを追加します。
RACF ユーザーズ・ガイド「Security Server RACF ユーザーズ・ガイド」でグループの作成およびグループへのユーザーの追加に関する説明を参照してください。
- バッチ環境が使用するポリシーを示すカスタム・プロパティーを設定します。
- を展開します。
- 「追加プロパティー」で、をクリックします。
- 「名前」フィールドに JOB_SECURITY_POLICY と入力し、「値」フィールドに GROUP と入力します。
- 「OK」をクリックします。
- グループをジョブに割り当てます。
ジョブはいずれかのユーザー・グループおよび管理グループに
属します。JOB_SECURITY_ADMIN_GROUP 変数
が定義されていない場合、ジョブ・スケジューラーが管理グループを各ジョブに自動的に
割り当てます。
- lradmin ロールおよび lrsubmitter ロールに対して EJBROLE プロファイルを定義します。
z/OS® オペレーティング・システムで System Authorization Facility (SAF) の EJBROLE プロファイルを使用してロール・ベースのセキュリティーを管理する場合、lradmin ロールおよび lrsubmitter ロールの EJBROLE プロファイルを定義してください。これらのロールを、バッチ・ジョブ管理者および実行依頼者の適切な SAF ユーザー ID に許可します。
タスクの結果
グループを作成し、そのグループにユーザーを割り当てました。また、
ユーザー ID に適切なロールを許可して、ロールによって許可されている操作であればユーザーがジョブを管理できるように
しました。
次のタスク
グループおよびロールによるセキュリティーを使用してジョブを管理します。
- ジョブをサブミットします。
- 前のステップで作成したユーザーを使用して、ジョブ・ログの表示など、ジョブに関する操作を行います。