[z/OS]

로컬 OS 레지스트리를 사용할 때 콘솔 사용자에 대한 액세스 제어

콘솔 사용자를 추가하고 이들에게 셀의 권한을 부여하는 작업은 사용자 레지스트리와 권한 부여 설정을 조정하는 것과 관련됩니다. 사용자 레지스트리 사용자 정의 특성은 콘솔 사용자의 권한 부여 양식을 관리합니다. 사용되는 권한 부여 양식과 관계없이 결과물은 WebSphere® 관리자 ID의 MVS™ 사용자 ID가 모든 관리 콘솔 기능에 액세스할 수 있고 보안이 처음으로 사용 가능할 때 관리 스크립팅 도구를 사용할 수 있다는 것입니다.

이 태스크 정보

비로컬 운영 체제 레지스트리 및 SAF(System Authorization Facility) 권한이 사용되는 경우에는 ID 맵핑을 사용하여 WebSphere Application Server ID를 SAF 사용자 ID에 맵핑해야 합니다. 콘솔 역할을 SAF 권한이 관리하게 하려면 셀의 SAF 권한을 켜야 합니다. SAF 권한을 사용하려면, 보안 > 글로벌 보안 > 외부 권한 제공자>를 클릭한 후에 SAF(System Authorization Facility) 권한을 클릭하여 SAF 권한을 사용 가능하게 하십시오. 옵션을 사용으로 설정하면 콘솔 사용자에게 권한을 부여하기 위해 SAF EJBROLE 프로파일이 사용됩니다. 그렇지 않으면 콘솔 사용자 및 그룹에 권한을 부여하기 위해 기본적으로 관리 콘솔이 사용됩니다.

어떤 유형의 레지스트리 또는 권한 설정이 선택되는지와 관계없이 구성 프로세스는 모든 WebSphere Server ID가 허용되는 WebSphere 구성 그룹의 권한을 부여하고 다음을 수행하기 위해 WebSphere 관리자 ID의 MVS 사용자 ID의 권한을 부여합니다.
  • 모든 관리 콘솔 기능에 액세스하십시오.
  • 보안이 처음으로 사용 가능할 때 관리 스크립팅 도구를 사용하십시오.
z/OS®에서 SAF 권한이 선택되면 서버의 특수 제목은 관리 사용자 ID로서 사용되지 않습니다. (WebSphere z/OS 프로파일 관리 도구 또는 zpmt 명령을 사용하면 권한 부여에 사용될 수 있는 관리 그룹의 구성원이 관리 사용자를 생성함을 유의하십시오.)

관리 기능에 대한 액세스를 제어하기 위해 SAF 권한 부여 사용

시스템 사용자 정의 동안에 SAF 권한이 선택되면 모든 관리 역할의 관리 EJBROLE 프로파일이 z/OS 프로파일 관리 도구를 사용하여 생성된 RACF® 작업에 의해 정의됩니다. SAF 인증이 연속적으로 선택되면 다음 RACF 명령(또는 이와 동등한 보안 서버 명령)을 실행하여 서버와 관리자가 WebSphere Application Server를 관리할 수 있도록 하십시오.
참고: 추가로 이전에 z/OS 보안 도메인으로 알려진 SAF 프로파일 접두부에 값을 지정할 수도 있습니다.
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor       UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator  UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)deployer      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)adminsecuritymanager      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor      UACC(NONE)

PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(adminGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)monitor       CLASS(EJBROLE) ID(monitorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)configurator  CLASS(EJBROLE) ID(configuratorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)operator      CLASS(EJBROLE) ID(operatorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)deployer      CLASS(EJBROLE) ID(deployerGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)adminsecuritymanager  CLASS(EJBROLE) ID(adminSecurityGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)auditor  CLASS(EJBROLE) ID(auditorGroup) ACCESS(READ)
추가 사용자에게 관리 기능에 대한 액세스가 필요하면 다음 RACF 명령을 실행하여 사용자에게 이전의 역할을 허용할 수 있습니다.
PERMIT (optionalSAFProfilePrefix.)rolename   CLASS(EJBROLE)  ID(mvsid) ACCESS(READ)
모든 관리 기능을 구성 그룹에 연결하여 이에 대한 사용자 액세스를 제공할 수 있습니다.
CONNECT  mvsid  GROUP(configGroup)

관리 기능에 대한 액세스를 제어하기 위해 WebSphere 인증을 사용

사용자를 관리 역할에 지정하려면 다음 단계를 완료하십시오.

프로시저

  1. 관리 콘솔에서 시스템 관리 > 콘솔 설정을 펼치십시오.
  2. 콘솔 사용자 > 추가 또는 콘솔 그룹 > 추가를 클릭하십시오.
  3. 원하는 대로 사용자 ID를 추가하십시오. 콘솔 사용자 역할에 대한 자세한 정보는 관리 역할 및 네이밍 서비스 권한의 내용을 참조하십시오.
    참고:
    • SAF 권한 부여가 적용될 때 WebSphere Application Server 권한 부여는 관리 콘솔에 지정된 대로 무시됩니다.
    • SAF 역할 이름은 대소문자를 구분합니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_addconsole
파일 이름:tsec_addconsole.html