![[z/OS]](../images/ngzos.gif)
詳細な管理許可に使用する System Authorization Facility
詳細な管理セキュリティーが使用されている場合、管理リソースは複数の許可グループに分割されます。 許可グループごとに、独自の許可テーブルが含まれています。 このテーブルは、その許可グループに対する、ユーザーから管理者へのロール・マッピングを表しています。
すべての許可グループに対して同一の管理ロールのセットが存在します。 しかし、管理ロールにマップされるユーザーは、さまざまです。 これまでどおり、セル内のすべてのリソースへのアクセスを表すセル・レベルの管理ロールがあります。
Resource Access Control Facility (RACF®) または System Authorization Facility (SAF) を使用して、ユーザーからロールへのマッピングを構成する場合、以前に定義されたセル・レベルの管理者ロール用の EJBROLE プロファイルとともに、各許可グループのロールごとに 1 つの EJBROLE プロファイルを定義する必要があります。 管理許可用の RACF EJBROLE クラスで定義されるプロファイルは 6 つあります。管理者、コンフィギュレーター、モニター、オペレーター、デプロイヤーおよび adminsecuritymanager です。
許可グループは、WebSphere® Application Server 構成ツール (wsadmin) を使用して作成できます。許可グループを作成したら、wsadmin を使用して許可グループ内のユーザーからロールへのマッピングを行うこともできます。 しかし、RACF を使用してユーザーから管理ロールへのマッピングを保管した場合、 RACF 管理者は、追加のステップを実行して、ユーザーからロールへのマッピングを行う必要があります。 新規に作成された許可グループ内の管理者ロールごとに、EJBROLE プロファイルを定義する必要があります。 その後で、ユーザーに、新規に作成された EJBROLE プロファイルへのアクセス権を付与する必要があります。
グループ | ユーザーからロールへのマッピング | ユーザーからロールへのマッピング | ユーザーからロールへのマッピング | ユーザーからロールへのマッピング | ユーザーからロールへのマッピング | ユーザーからロールへのマッピング |
---|---|---|---|---|---|---|
group1 | administrator=user1 | コンフィギュレーター | オペレーター | モニター | deployer=user3 | adminsecuritymanager |
group2 | administrator=user2 | コンフィギュレーター | operator=user4 | モニター | デプロイヤー (deployer) | adminsecuritymanager |
/* activate EJBROLE class */
SETROPTS CLASSACT(EJBROLE)
/* Defining EJBROLE profiles for admin roles in group1 and group2 */
/* define the roles in RACF for group1 */
RDEFINE EJBROLE domainName.group1.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group1.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group1.operator UACC(NONE)
RDEFINE EJBROLE domainName.group1.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group1.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group1.adminsecuritymanager UACC(NONE)
/* define the roles in RACF for group2 */
RDEFINE EJBROLE domainName.group2.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group2.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group2.operator UACC(NONE)
RDEFINE EJBROLE domainName.group2.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group2.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group2.adminsecuritymanager UACC(NONE)
/* Mapping users to roles in group1 and group2 */
/* map user1 to administrator role in group1 */
PERMIT domainName.group1.administrator CLASS(EJBROLE) ID(USER1) ACCESS(READ)
/* map user3 to deployer role in group1 */
PERMIT domainName.group1.deployer CLASS(EJBROLE) ID(USER3) ACCESS(READ)
/* map user2 to administrator role in group2 */
PERMIT domainName.group2.administrator CLASS(EJBROLE) ID(USER2) ACCESS(READ)
/* map user4 to operator role in group2 */
PERMIT domainName.group2.operator CLASS(EJBROLE) ID(USER4) ACCESS(READ)
/* refresh the EJBROLE class in RACF */
SETROPTS RACLIST(EJBROLE) REFRESH"
ここで、domainName は、WebSphere Application Server セルのセキュリティー・ドメインを表します。
各許可グループ内のすべてのロールの EJBROLE プロファイルは、 ユーザーがそのロールにマップされているかどうかにかかわらず、作成する必要があることに注意してください。