管理ロールへのアクセスの許可
ユーザーおよびグループを管理ロールに割り当て、 WebSphere® Application Server の管理機能を実行できるユーザーを識別できます。
始める前に
管理ロールにより、WebSphere Application Server の管理機能へのアクセスを制御できます。 『管理ロール』にあるこれらのロールの説明を参照してください。
![[z/OS]](../images/ngzos.gif)
- System Authorization Facility (SAF) 許可を使用した管理ロールへのアクセスの制御: com.ibm.security.SAF.authorization を true に設定すると、管理ロールへのアクセス制御に、SAF EJBROLE プロファイルが使用されます。詳しくは、ロール・ベースの許可の System Authorization Facilityを参照してください。
- z/OS® プロファイル管理ツールでプロファイルを作成する際に「z/OS セキュリティー製品の使用」を選択し、
さらに SAF プロファイル接頭部 (以前には、z/OS セキュリティー・ドメインと呼ばれていました) の値を指定すると、
以下の管理ロールがカスタマイズ・ジョブによって定義されます。SAF プロファイル接頭部はプロファイルの作成時に指定することができます。また、configGroup は選択した WebSphere
Application Server 構成グループ名を表します。
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator UACC(NONE) RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor UACC(NONE) PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)monitor CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)configurator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)operator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSAFProfilePrefix.)auditor CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
- 後で SAF 許可をオンにすることを決定した場合は、適切な WebSphere
Application Server 操作を使用可能にするため、上記の Resource Access Control Facility (RACF) コマンドを実行する必要があります。
次のように、構成グループに接続することによって、すべての管理機能にユーザー・アクセスを付与することができます。
CONNECT mvsid GROUP(configGroup)
- 次の RACF コマンドを発行して、
個々のユーザーに特定のロールを割り当てることもできます。
PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
- SAF EJBROLE の変更を有効にする場合、
サーバーを再始動する必要はありません。ただし、SAF が変更されたら、
次の RACF
コマンド (またはセキュリティー・システムの同等のコマンド) を発行して、
セキュリティー・テーブルを更新する必要があります。
SETROPTS RACLIST(EJBROLE) REFRESH
- WebSphere 許可を使用した管理ロールへのアクセスの制御: com.ibm.security.SAF.authorization を false に設定すると、 管理ロールへのアクセス制御に、WebSphere Application Server 許可と管理コンソールが使用されます。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
- ユーザーに管理ロールを割り当てる前に、ユーザー・レジストリーを設定する必要があります。 サポートされるレジストリー・タイプの詳細については、レジストリーまたはリポジトリーの選択を参照してください。
- ユーザーを管理ロールに割り当てるには、以下のステップに従う必要があります。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
このタスクについて
手順
- 「ユーザーおよびグループ」をクリックします。「Administrative User Roles」または「Administrative Group Roles」のいずれかをクリックします。
- ユーザーまたはグループを追加するには、「Console users」または「Console groups」パネルで「追加」をクリックします。
- 新規の管理者ユーザーを追加するには、 ユーザーを指定して、「管理者」ロールを選択するページの指示に従います。 ユーザーが「ロールにマップ済み」リストに追加されたら、「OK」をクリックします。指定されたユーザーはセキュリティー・ロールにマップされます。
- 新規の管理グループを追加するには、グループ名または特別な対象を指定するページの指示に従い、「管理者」ロールを強調表示にして「OK」をクリックします。 指定されたユーザーまたは特別な対象はセキュリティー・ロールにマップされます。
- ユーザーまたはグループの割り当てを除去するには、「Console User」または「Console Group」パネルで「除去」をクリックします。「Console Users」または「Console Groups」パネル で、除去するユーザーまたはグループのチェック・ボックスを選択してから、「OK」をクリックします。
- ユーザーまたはグループのセットの表示を管理するには、 「User Roles」または「Group Roles」のパネルで、 「フィルター機能を表示」をクリックします。 「検索項目」ボックスに、値を入力して「実行」をクリックします。 例えば、user* は、user という接頭部を持つユーザーのみを表示します。
- 変更が完了したら、「保存」をクリックしてマッピングを保存します。
- アプリケーション・サーバーを再始動して変更を有効にします。
ノード、ノード・エージェント、およびデプロイメント・マネージャーをシャットダウンします。
Java プロセスが実行されていないことを確認します。 実行されている場合は、それらのプロセスの実行を中止します。
デプロイメント・マネージャーを再始動します。
ノードを再同期します。 ノードを再同期するには、それぞれのノードに install_root/bin/syncNode または install_root/bin/syncNode.sh コマンドを実行します。 synchNode コマンドを使用します。
ノードを再同期します。 ノードを再同期するには、各ノードの Qshell コマンド行から、install_root/bin/syncNode スクリプトを実行します。synchNode コマンドを使用します。
ノードを再始動します。 ノードを再始動するには、 それぞれのノードに install_root/bin/startNode または install_root/bin/startNode.sh コマンドを実行します。startNode コマンドを使用します。
ノードを再始動します。 ノードを再始動するには、各ノードの Qshell コマンド行から、install_root/bin/startNode スクリプトを実行します。startNode コマンドを使用します。
該当する場合は、すべてのクラスターを開始します。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
次のタスク
ユーザーを
管理ロールに割り当てたら、新しいロールを有効にするために、デプロイメント・マネージャーを再始動する必要があります。
ただし、管理リソースは、セキュリティーを使用可能にするまでは保護されません。