관리 역할
Java™ EE(Java Platform, Enterprise Edition) 역할 기반 권한 개념은 WebSphere® Application Server 관리 서브시스템을 보호하도록 확장되었습니다.
웹 기반 관리 콘솔 또는 시스템 관리 스크립트 인터페이스로부터 특정 관리 기능을 수행하는 데 필요한 권한의 정도를 제공하기 위해 많은 관리 역할이 정의되었습니다. 권한 정책은 관리 보안이 사용 가능할 때만 강제 실행됩니다. 다음 표는 관리 역할에 대해 설명합니다.
기능 | 설명 |
---|---|
모니터 | 모니터 역할을 사용하는 개인 또는 그룹은
최소 특권을 가집니다. 모니터는 다음 태스크를 완료할 수 있습니다.
|
구성자 | 구성자 역할을 사용하는 개인 또는 그룹에는 모니터 특권과
WebSphere Application Server 구성을
변경할 수 있는 능력이 있습니다.
구성자는 모든 일일 구성 태스크를 수행할 수 있습니다. 예를 들어,
구성자는 다음 태스크를 완료할 수 있습니다.
|
조작자 | 운영자 역할을 사용하는 개인 또는 그룹은 모니터 특권과 런타임
상태를 변경할 수 있는 능력을 가집니다. 예를 들어,
운영자는 다음 태스크를 완료할 수 있습니다.
|
관리자 | 관리자 역할을 사용하는 개인 또는 그룹에는 운영자 및 구성자 특권과 관리자 역할에만 부여된 추가 특권이
있습니다. 예를 들어, 관리자는 다음 태스크를 완료할 수 있습니다.
중요사항: 관리자는
관리자 역할에 사용자 및 그룹을 맵핑할 수 없습니다.
|
iscadmins | 이 역할은 wsadmin 사용자가 아닌 관리 콘솔 사용자만
사용 가능합니다. 이 역할이 부여된 사용자는 연합 저장소에서 사용자 및 그룹을 관리할 수 있는 관리자 권한을 가집니다.
예를 들어 iscadmins 역할 사용자는 다음 태스크를 완료할 수 있습니다.
|
Deployer | 이 역할이 부여된 사용자는 애플리케이션에서 구성 조치와 런타임 조작을 모두 완료할 수 있습니다. 자세한 내용은 배치자 역할 절을 참조하십시오. |
관리 보안 관리자 | 사용자 및 그룹을 wsadmin 스크립트 및 관리 콘솔을 통해 셀 레벨에서 관리 보안 관리자 역할에 지정할 수 있습니다. 관리 보안 관리자 역할을 사용하면, 사용자 및 그룹을 관리 사용자 역할 및 관리 그룹 역할에 지정할 수 있습니다. 그러나 관리자는 관리 보안 관리자 역할을 포함하여 사용자 및 그룹을 관리 사용자 역할 및 관리 그룹 역할에 지정할 수 있습니다. 자세한 내용은 관리 보안 관리자 역할 절을 참조하십시오. |
감사자 | 이 역할이 부여된 사용자가 보안 감사 서브시스템의
구성 설정값을 보고 수정할 수 있습니다. 예를 들어, 감사자 역할이 있는 사용자는 다음 태스크를 완료할 수 있습니다.
|
관리 보안을 사용 가능하게 할 때 지정된 서버 ID 및 지정된 경우 관리 ID는 자동으로 관리자 역할에 맵핑됩니다.
적절한 권한이 부여된 사용자가 WebSphere Application Server 관리 콘솔을 사용하여 관리 역할에서 사용자 및 그룹을 추가하거나 제거할 수 있습니다. 1차 관리 사용자 이름은 감사자 역할 이외의 관리 사용자 및 그룹 역할을 변경할 수 있는 관리 콘솔에 로그온하는 데 사용해야 합니다. 감사자 역할이 있는 사용자는 감사자 사용자 및 그룹 역할을 변경할 수 있습니다. 보안 감사를 처음 사용 가능으로 지정하면 기본 관리 사용자에게도 감사자 역할을 지정하고, 이 사용자는 감사자 역할에 있는 관리 사용자 및 그룹 역할을 포함하여 모든 관리 사용자와 그룹 역할을 관리할 수 있습니다. 가장 좋은 방법은 특정 사용자가 아닌 그룹을 관리 역할에 맵핑시키는 것입니다. 이 방법이 관리자에게 더욱 융통성있고 쉬운 방법입니다.
사용자 또는 그룹을 맵핑하는 것 외에 특수 주제를 관리 역할에 맵핑할 수 있습니다. 특수 주제는 특정 사용자 클래스를 일반화한 것입니다. AllAuthenticated 특수 주제는 관리 역할의 액세스 확인을 통해 최소한 요청 주제 사용자가 인증은 되었음을 의미합니다. Everyone 특수 주제는 보안이 사용 가능하지 않은 것처럼 인증 여부와 무관하게 모든 사용자가 조치를 수행할 수 있음을 의미합니다.
배치자 역할
배치자 역할이 부여된 사용자는 애플리케이션에서 모든 구성 및 런타임 조작을 완료할 수 있습니다. 배치자 역할은 구성자 및 운영자 역할 모두의 서브세트일 수 있습니다. 그러나 배치자 역할이 부여된 사용자는 기타 자원(예: 서버, 노드)을 구성하거나 조작할 수 없습니다.
세분화된 관리 보안이 사용되는 경우 애플리케이션에 대한 배치자 역할이 부여된 사용자만 해당 애플리케이션을 구성하고 조작할 수 있습니다.
셀 레벨 구성자는 애플리케이션을 구성할 수 있습니다. 셀 레벨 운영자는 애플리케이션을 조작(시작 및 중지)할 수도 있습니다. 그러나 셀 레벨에서 배치자 역할이 부여된 사용자는 모든 애플리케이션에서 구성 및 조작을 완료할 수도 있습니다.
조작 | 필수 역할(아무거나) |
---|---|
애플리케이션 설치 | Cell-configurator, target-deployer |
애플리케이션 설치 제거 | Cell-configurator, application-deployer, target-deployer |
애플리케이션 나열 | Cell-monitor, application-monitor |
애플리케이션 편집, 업데이트 및 재배치 | Cell-configurator, application-deployer |
애플리케이션 내보내기 | Cell-monitor, application-monitor |
애플리케이션 시작 또는 중지 | Cell-operator, application-deployer |
- Cell-configurator
- 셀 레벨에서 구성자를 지정합니다.
- Application-deployer
- 관리 중인 애플리케이션에 대한 배치자 역할을 지정합니다.
- Target-deployer
- 애플리케이션이 대상인 모든 서버 또는 클러스터에 대한 배치자 역할을 지정합니다. 대상-배치자 역할이 있는 경우 대상에 새 애플리케이션을 설치할 수
있습니다. 그러나 설치된 애플리케이션을 편집 또는 업데이트하려면
설치된 애플리케이션-배치자의 권한 그룹에 사용자를 포함해야 합니다.
대상-배치자는 명시적으로 새 애플리케이션을 시작 또는 중지할 수 없습니다. 그러나 대상-배치자가 대상에서 서버를 시작하면 서버가 시작할 때 자동 시작 속성이 yes로 설정된 모든 애플리케이션이 시작됩니다.
대상-배치자가 애플리케이션을 시작하지 않도록 하려면 애플리케이션-배치자가 이 속성을 true로 설정하는 것이 좋습니다.
관리 보안 관리자 역할
관리 보안 관리자 역할은 기타 애플리케이션 관리에서 관리 보안 관리를 분리합니다.
기본적으로 serverId 및 adminID가 셀 레벨 권한 테이블의 이 역할에 지정됩니다. 이 역할은 모니터 역할을 내포합니다. 그러나 관리 역할은 관리 보안 관리자 역할을 내포하지 않습니다.
조치 | 기능 |
---|---|
사용자를 셀 레벨의 관리 역할에 맵핑 | 셀의 관리 보안 관리자만 |
사용자를 권한 그룹의 관리 역할에 맵핑 | 해당 권한 그룹의 관리 보안 관리자 또는 셀의 관리 보안 관리자만 |
권한 그룹 관리, 권한 그룹에 자원 추가, 작성, 삭제 또는 권한 그룹 또는 목록에서 자원 제거 | 셀의 관리 보안 관리자만 |
감사자 역할
감사자 역할은 관리 보안의 보안 감사 관리와 다른 애플리케이션 관리를 분리합니다.
관리자의 권한에서 감사자의 권한을 확실히 분리할 수 있도록 감사자 역할이 추가되었습니다. 감사자 역할은 관리자에게 감사를 결합할 권한을 부여할 수 있습니다. 보안을 처음 사용 가능으로 지정하면 감사 역할이 기본 관리자에게 지정됩니다. 사용자 환경에서 권한 분리가 필요한 경우 관리자는 관리자에게서 감사자 역할을 제거하고 다른 사용자에게 감사자 역할을 지정할 수 있습니다.
감사 역할에 대해 세분화된 보안이 구현되지 않아서 감사자 역할이 모니터 역할을 요청합니다. 이 프로세스로 인해 감사자는 관리자가 관리하는 패널을 읽을 수는 있지만 수정할 수는 없습니다. 감사자에게는 보안 감사 서브시스템과 연관된 패널을 읽고 수정할 모든 권한이 있습니다. 관리자는 패널에 대한 모니터 역할을 가지고 있지만 관리자는 해당 패널을 수정할 수는 없습니다.