[z/OS]

세분화된 관리 권한 부여를 위한 SAF(System Authorization Facility)

세분화된 관리 보안이 사용되는 경우 관리 자원은 다중 권한 그룹으로 파티셔닝됩니다. 각 권한 그룹은 자체 권한 테이블을 포함하고 이는 해당 권한 그룹에 대한 사용자 대 관리자 역할 맵핑을 표시합니다.

관리 역할에 대한 동일한 세트가 모든 권한 그룹에 대해 존재합니다. 그렇지만 관리 역할에 맵핑되는 사용자는 다를 수 있습니다. 셀 내의 모든 자원에 대한 액세스를 나타내는 셀 레벨의 관리 역할도 여전히 있습니다.

RACF®(Resource Access Control Facility) 또는 SAF(System Authorization Facility)가 사용자 대 역할 맵핑 구성에 사용되는 경우 각 권한 그룹의 각 역할에 대한 한 개의 EJBROLE 프로파일과 셀 레벨 관리자 역할에 대해 이전에 정의된 EJBROLE 프로파일을 정의해야 합니다. 관리 권한에 대해 6개의 프로파일이 RACF EJBROLE 클래스에 정의됩니다. 이는 관리자, 구성자, 모니터, 연산자, 배치자, adminsecuritymanager입니다.

권한 그룹은 WebSphere® Application Server 구성 도구(wsadmin)를 사용하여 작성 가능합니다. 권한 그룹을 작성한 후에 권한 그룹 내의 사용자 대 역할 맵핑은 wsadmin을 사용해서도 수행 가능합니다. 그렇지만 RACF가 사용자 대 관리 역할 맵핑 저장에 사용되면 RACF 관리자는 추가 단계를 수행하여 사용자 대 역할 맵핑을 맵핑해야 합니다. 새로 작성한 권한 그룹 내의 각 관리자 역할에 대해 EJBROLE 프로파일을 정의해야 합니다. 그러면 사용자는 새로 작성된 EJBROLE 프로파일에 액세스가 부여됩니다.

예를 들어, 다음 권한 그룹 및 사용자 대 역할 맵핑이 wsadmin을 사용하여 이미 작성된 경우:
표 1. 권한 그룹 및 사용자 대 역할 맵핑. 테이블은 권한 그룹 및 사용자 대 역할 맵핑을 나열합니다.
그룹 사용자 대 역할 맵핑 사용자 대 역할 맵핑 사용자 대 역할 맵핑 사용자 대 역할 맵핑 사용자 대 역할 맵핑 사용자 대 역할 맵핑
group1 administrator=user1 구성자 운영자 모니터 deployer=user3 adminsecuritymanager
group2 administrator=user2 구성자 operator=user4 모니터 배치자 adminsecuritymanager
그러면 다음 스크립트가 RACF의 동일 정보를 반영하기 위해 사용 가능합니다.
/* activate EJBROLE class */
SETROPTS CLASSACT(EJBROLE)

/* Defining EJBROLE profiles for admin roles in group1 and group2 */

/* define the roles in RACF for group1 */
RDEFINE EJBROLE domainName.group1.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group1.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group1.operator UACC(NONE)
RDEFINE EJBROLE domainName.group1.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group1.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group1.adminsecuritymanager UACC(NONE)

/* define the roles in RACF for group2 */
RDEFINE EJBROLE domainName.group2.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group2.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group2.operator UACC(NONE)
RDEFINE EJBROLE domainName.group2.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group2.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group2.adminsecuritymanager UACC(NONE)

/* Mapping users to roles in group1 and group2 */

/* map user1 to administrator role in group1 */
PERMIT domainName.group1.administrator CLASS(EJBROLE)  ID(USER1) ACCESS(READ)
/* map user3 to deployer role in group1 */
PERMIT domainName.group1.deployer CLASS(EJBROLE)  ID(USER3) ACCESS(READ)

/* map user2 to administrator role in group2 */
PERMIT domainName.group2.administrator CLASS(EJBROLE)  ID(USER2) ACCESS(READ)
/* map user4 to operator role in group2 */
PERMIT domainName.group2.operator CLASS(EJBROLE)  ID(USER4) ACCESS(READ)


/* refresh the EJBROLE class in RACF */
SETROPTS RACLIST(EJBROLE) REFRESH"     

여기서 domainName은 WebSphere Application Server 셀의 보안 도메인을 나타냅니다.

각 권한 부여 그룹의 모든 역할에 대한 EJBROLE 프로파일은 어떤 사용자가 해당 역할에 맵핑되는지에 상관없이 작성되어야 합니다.


주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_fineg_saf
파일 이름:csec_fineg_saf.html