MBean 설명자에 세분화된 MBean 보안 지정
세분화된 관리 보안을 구현하려면 관리 Bean(MBean)이 나타내는 자원 인스턴스를 코드로 식별하고 해당 자원 인스턴스에 필요한 역할을 사용자에게 지정해야 합니다. 이 주제는 자원을 식별하고 필수 역할을 지정하기 위해 수행해야 할 작업에 대해 설명합니다. 이 주제는 또한 MBean 메소드를 다른 사용자 ID에서 실행하여 다른 자원 인스턴스에서 해당 메소드에 액세스할 수 있도록 설정하는 방법에 대해 설명합니다. 마지막으로 이 주제는 프로그램 방식 인터페이스를 사용하여 MBean 메소드가 자원 인스턴스에 액세스할 수 있는지 여부를 확인하는 방법에 대해 설명합니다.
시작하기 전에
이 태스크 정보
프로시저
- MBean이 나타내는 자원 인스턴스 및 MBean 메소드를 호출하는
데 필요한 역할을 판별하십시오.
모든 MBean 메소드에는 기본 MBean 보안 정책을 갖습니다. MBean 메소드가 기본 보안 정책을 사용하는 경우, MBean이 나타내는 자원 인스턴스는 MBean이 실행되는 서버로 가정합니다. MBean 또는 MBean 메소드가 실행되는 서버 이외의 자원 인스턴스를 나타내는 경우 다음 단계를 수행하십시오.
- MBean을 나타내는 자원 인스턴스를 식별하십시오.
- MBean(예: 서버 MBean)이 MBean이 실행되는 서버에 액세스하고 수정하는 경우, MBean을 호출하는 사용자에게 서버에 대한 액세스 권한이 부여되었는지 확인하는 보안 정책을 지정하지 마십시오. 이미 기본 보안 정책이 적용되고 있기 때문입니다. 대부분의 경우 MBean을 사용하여 서버에 액세스하고 서버를 수정할 수 있습니다.
- 서버 내부에서 실행되는 MBean이 서버에 직접 속하지 않는 자원에 액세스하고
해당 자원을 수정할 수 있는 경우, MBean 메소드가 실행되도록 허용하기 전에 MBean을
호출하는 사용자에게 자원 인스턴스에 대한 액세스 권한이 부여되었는지 여부를
확인하십시오.
대부분의 경우 자원 인스턴스를 나타내는 MBean의 오브젝트 이름에서 키-값 쌍을 식별하여 자원 인스턴스를 식별하십시오. resourceIndentifierKey 속성은 키를 정의합니다.
예를 들어, EJBModule MBean을 사용하여 서버 내부에서 실행되는 애플리케이션 내부의 EJB(Enterprise JavaBeans)에 액세스할 수 있습니다. 이러한 경우 EJBModule MBean의 오브젝트 이름에는 키-값 쌍이 포함됩니다. 해당 키는 Application입니다. 이 값은 EJBModule MBean이 액세스하려는 자원 인스턴스를 나타냅니다. 이 MBean 메소드를 호출하는 사용자는 MBean 메소드가 실행되도록 허용하기 전에 이 애플리케이션 인스턴스에 대한 액세스 권한이 부여되었는지 확인합니다.
다음 예제는 MBean 설명자에서 EJBModule MBean 유형에 대한 세분화된 관리 보안을 설명하는 방법을 보여줍니다.<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE MBean SYSTEM "MbeanDescriptor.dtd"> <MBean type="EJBModule" j2eeType="EJBModule" version="5.0" platform="dynamicproxy" resourceIdentifierKey="Application" resourceType="Application" deployerMBean="true" description="Management interface for the EJBModule component.">
- MBean을 호출하기 전에 MBean이 액세스하는 자원을 판별할 수
있지만 MBean이 액세스하는 자원 인스턴스를 판별하기 위해 MBean
오브젝트 이름을 사용할 수 없는 경우, 대신 MBean으로 전달되는 매개변수를
사용하십시오.
자원 인스턴스를 나타내는 매개변수 값으로 MBean 메소드 매개변수 이름을 식별하십시오. MBean 설명자의 해당 매개변수 메타데이터를 자원 ID로 표시하십시오. 매개변수를 자원 ID로 표시하려면 resourceType 속성을 추가하십시오. 이 속성은 매개변수 값에 포함되는 유형 자원을 지정합니다. MBean 메소드 매개변수에 대한 resourceType 속성이 있는 경우, 매개변수 값은 MBean 메소드가 나타내는 자원 인스턴스를 판별합니다.
예를 들어, 각 서버에서 하나의 ApplicationManager MBean 인스턴스가 실행됩니다. 동일한 MBean을 사용하여 서버의 모든 애플리케이션을 시작하고 중지할 수 있습니다. 이 MBean의 시작 및 중지 메소드는 각각 애플리케이션 이름을 매개변수로 사용합니다. 해당 메소드는 매개변수를 사용하여 이 MBean 메소드가 액세스하려는 애플리케이션의 인스턴스를 판별합니다.
다음 예제는 MBean 설명자에서 이 MBean 유형에 대한 세분화된 관리 보안을 설명하는 방법을 보여줍니다.<operation description="Start Application" impact="ACTION" name="startApplication" role="operation" targetObjectType="objectReference" type="void" proxyInvokeType="spray"> <signature> <parameter description="Application Name" resourceType="Application" name="applicationName" type="java.lang.String"/> </signature> </operation>
- MBean이 호출될 때까지 MBean이 액세스하는 자원을 판별할 수 없는 경우,
API를 사용하여 MBean을 호출하는 사용자에게
자원 인스턴스에 대한 액세스 권한이 부여되었는지 여부를 확인하십시오.
excludeAccessCheck 속성을 사용하여 MBean 또는 MBean 메소드가 액세스 검사에서 제외된 것으로 MBean 설명자에 표시하십시오. MBean이 액세스 검사에서 제외된 것으로 표시되는 경우, 해당 메소드 또한 모두 액세스 검사에서 제외됩니다.
예를 들어, 배치 관리자에서 실행되는 ConfigService MBean은 모든 자원을 셀에 구성하는 데 사용됩니다. MBean 메소드를 호출하기 전에 이 MBean을 액세스 검사에서 제외시키십시오. MBean이 자원 액세스를 시도할 때 ConfigService MBean에 구성 자원에 대한 액세스 권한이 부여되었는지 확인하십시오.
다음 예제는 MBean 설명자에서 ConfigServices MBean 유형에 대한 세분화된 관리 보안을 설명하는 방법을 보여줍니다.
일부 구문은 인쇄를 위해 여러 줄로 표시됩니다.<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE MBean SYSTEM "MbeanDescriptor.dtd"> <MBean version="5.0" platform="proxy" collaboratorClass="com.ibm.ws390.management.proxy.ConfigServiceManager" description="Config Service component provides service of configuration related tasks on top of configuration repository service." type="ConfigService" excludeAccessCheck="true" configureMBean="true">
다음 예제는 MBean 메소드 로직을 호출하여 프로그래밍 방식으로 권한 검사를 수행하는 방법을 보여줍니다.// Get administration authorizer. AdminAuthorizer aa = AdminAuthorizerFactory.getAdminAuthorizer(); // Set the role that is required for this operation. String role = com.ibm.ws.security.util.Constants.CONFIG_ROLE; // Set the resource name. // cells/cellName is optional. String resource = "/nodes/"+ nodeName + /servers/" + serverName; // Check access if ( aa != null && !aa.checkAccess(resource, role) ) // Disallow access. else // Allow access.
- MBean 및 MBean 메소드에 필요한 역할을 지정하십시오.
해당 역할은 기본 MBean 보안 정책에 대한 주제에서 설명하는 대로 MBean 유형 및 MBean 메소드의 영향을 기반으로 자동으로 지정됩니다.
- MBean을 나타내는 자원 인스턴스를 식별하십시오.
- 위임 모드를 지정하십시오.
경우에 따라, 초기 액세스 검사를 수행한 후 다른 자원 인스턴스에 액세스할 수 있도록 MBean 메소드를 다른 사용자 ID로 실행해야 합니다. 예를 들어, CellSync MBean의 syncNode 조작은 동기화되는 노드의 인스턴스에 대한 운영자 역할을 사용자에게 부여합니다. syncNode 조작은 셀 범위의 자원에 액세스합니다. 사용자는 셀 디렉토리의 열린 파일에 대한 액세스 권한을 갖고 있지 않을 수 있습니다. MBean은 초기 액세스 검사 후 System으로서 실행해야 액세스 거부 문제점 없이 조작이 완료됩니다.
runAs 속성을 System으로 지정하여 MBean 또는 MBean 메소드에 대한 위임 모드를 지정하십시오. MBean에 대한 runAs 속성을 설정하는 경우, 해당 값은 해당 MBean의 모든 MBean 메소드에 적용됩니다.
다음 예제는 MBean 설명자에서 CellSync MBean 유형에 대한 세분화된 관리 보안을 설명하는 방법을 보여줍니다.<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE MBean SYSTEM "MbeanDescriptor.dtd"> <MBean type="CellSync" version="5.0.1" platform="common" runAs="System" description="Management interface for the configuration synchronization logic performed at the central 배치 관리자 for the cell."> <operation description="Initiate a synchronization request for a given node" impact="ACTION" name="syncNode" role="operation" targetObjectType="objectReference" type="ja va.lang.Boolean"> <signature> <parameter resourceType="Node" description="The name of the node" name="nodeName" type="java.lang.String"/> </signature> </operation>
결과


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjmx_admin_finegr_mbsec
파일 이름:tjmx_admin_finegr_mbsec.html