デフォルトの MBean セキュリティー・ポリシー

このトピックでは、デフォルトの管理対象 Bean (MBean) セキュリティー・ポリシーについて説明します。 ほとんどの場合、 MBean の開発者はセキュリティー・ポリシーを指定する必要はありません。

デフォルトの MBean セキュリティー・ポリシーには、3 つのタイプの MBean があります。
  • 構成タイプ MBean
  • ランタイム・タイプ MBean
  • デプロイヤー・タイプ MBean
MBean 記述子 XML ファイルのオプション属性で、 MBean のタイプが定義されます。
ConfigRepository MBean は、構成タイプの例です。 configRepository.xml 記述子ファイルで、configureMBean = "true" 属性は、その MBean が構成タイプであることを表しています。
<MBean type="ConfigRepository" 
  version="5.0"
  platform="common"
  description="Management interface for the configuration repository."
  configureMBean="true">
EJBModule MBean は、デプロイヤー・タイプ MBean の例です。 EJBModule.xml 記述子ファイルで、deployerMBean="true" 属性は、その MBean がデプロイヤー・タイプであることを表しています。
<MBean type="EJBModule" j2eeType="EJBModule"
  version="5.0"
  platform="dynamicproxy"
  resourceIdentifierKey="Application"
  resourceType="Application"
  deployerMBean="true"
  description="Management interface for the EJBModule component.">

WebSphere® Application Server の拡張ロール・ベースのアクセス制御は、ロールの継承をサポートしています。管理ロールには、管理者、コンフィギュレーター、オペレーター、デプロイヤー、およびモニターの 5 つがあります。 モニター・ロールは、最も特権が少ない管理ロールです。 モニター・ロールを付与されるユーザーは、WebSphere Application Server の構成およびランタイム状況を表示することはできますが、変更を行うことはできません。 他の管理ロールには、モニター・ロールと同じ特権に加えて、 それぞれ固有の特権セットがあります。

コンフィギュレーター・ロールには、WebSphere Application Server の構成データを変更する権限が与えられています。オペレーター・ロールには、 ランタイムの状態 (管理リソースの開始および停止など) を変更する権限が与えられています。 コンフィギュレーター・ロールではランタイム状況を変更することはできず、 逆にオペレーター・ロールでは、WebSphere Application Server の構成は変更できません。 管理者ロールには、 コンフィギュレーター・ロールとオペレーター・ロールが含まれるだけでなく、その両者を合わせたよりも多くの権限が与えられます。 管理者ロールでは、さらに、管理セキュリティー構成を変更することができます。 管理ロールの継承関係を簡単な図で表します。 デプロイヤー・ロールは、アプリケーション管理のコンフィギュレーター・ロールとオペレーター・ロールを組み合わせたものです。 デプロイヤー・ロールは、アプリケーションに対してコンフィギュレーターとオペレーターの両方の権限を持っています。 管理ロールの継承関係を図で表します。

管理セキュリティー・ロールの継承関係

個々の MBean メソッドまたはオペレーションには、インパクト属性が割り当てられ、 その値は INFO または ACTION のいずれかです。次にいくつかの例を挙げます。
  • get メソッドのインパクト値は INFO で、 write メソッドのインパクト値は ACTION です。
  • ConfigRepository MBean では、extract メソッドは構成データを変更せず、 そのインパクト値は INFO ですが、 modify メソッドのインパクト値は ACTION です。
  • Java™ 仮想マシン (JVM) MBean (MBean のオペレーター・タイプ) では、ggetCurrentTimeInMillis メソッドのインパクト値は ACTION となります。

インパクト値が INFO である構成 MBean メソッドには、 モニター・ロールが必要です。 インパクト値が ACTION である構成 MBean メソッドには、 コンフィギュレーター・ロールが必要です。インパクト値が INFO であるデプロイヤー MBean メソッドには、 モニター・ロールが必要です。 インパクト値が ACTION であるデプロイヤー MBean メソッドには、デプロイヤー・ロールが必要です。管理ロールはすべてモニター・ロールでもあるので、どの管理ロールでも、インパクト値が INFO である構成 MBean メソッドとデプロイヤー MBean メソッドにアクセスできます。 管理者ロールはコンフィギュレーター・ロールでもあるので、 インパクト値が ACTION である構成 MBean メソッドにアクセスできます。

構成 MBean のデフォルトのセキュリティー・ポリシーを要約すると、 次の表のようになります。

表 1. 構成 MBean メソッドのインパクト値とセキュリティー・ロール. X は、デフォルトで MBean メソッドにロールが必要であることを表しています。
メソッド・インパクト モニター・ロール オペレーター・ロール コンフィギュレーター・ロール デプロイヤー・ロール 管理者ロール
INFO X X X X X
ACTION     X   X

オペレーション MBean のデフォルトのセキュリティー・ポリシーを要約すると、 次の表のようになります。

表 2. オペレーション MBean メソッドのインパクト値とセキュリティー・ロール. X は、デフォルトで MBean メソッドにロールが必要であることを表しています。
メソッド・インパクト モニター・ロール オペレーター・ロール コンフィギュレーター・ロール デプロイヤー・ロール 管理者ロール
INFO X X X X X
ACTION   X     X

デプロイヤー MBean のデフォルトのセキュリティー・ポリシーを要約すると、 次の表のようになります。

表 3. デプロイヤー MBean メソッドのインパクト値とセキュリティー・ロール. X は、デフォルトで MBean メソッドにロールが必要であることを表しています。
メソッド・インパクト モニター・ロール オペレーター・ロール コンフィギュレーター・ロール デプロイヤー・ロール 管理者ロール
INFO X X X X X
ACTION   X   X X

MBean の configureMBean 属性と deployerMBean 属性が、 ともに true に設定されている場合、すべてのアクションに必要なロールは、 コンフィギュレーターまたはモニターのいずれかです。 そのような MBean は、現在システムには定義されていません。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjmx_admin_defmbsec
ファイル名:cjmx_admin_defmbsec.html