작업 스케줄러 보안 개요
사용자가 작업에 대해 수행하는 조치는 적용 중인 보안 모델에 따라 다릅니다. 작업에 대한 사용자 조치는 역할 기반, 그룹 기반 또는 이 둘의 조합이 될 수 있습니다.
역할 기반 보안
역할 기반 보안이 사용되는 경우 lrsubmitter 역할, lradmin 역할 또는 lrmonitor 역할을 작업에서 실행되도록 부여해야 합니다. lradmin 역할에 지정된 사용자는 작업 소유권에 상관없이 모든 작업에서 작업 스케줄러 애플리케이션 조치를 수행합니다. lrsubmitter 역할에 지정된 사용자는 제출자가 소유한 작업에서만 보기 및 수행할 수 있습니다. lrmonitor 역할에 지정된 사용자는 모든 사용자의 작업 및 작업 로그를 볼 수 있습니다.
그룹 보안
그룹 보안 모델에서 그룹 결합 자체는 모든 작업 관련 보안 결정의 기본입니다. 관리자는 작업 역할을 특정 사용자에게 지정하지 않습니다. 사용자는 사용자 및 작업이 동일 그룹의 멤버인 경우에만 작업에 대해 조치를 완료할 수 있습니다. 예를 들어, 두 사용자가 동일한 그룹의 멤버이고 각각은 해당하는 동일 그룹에 지정되는 작업을 제출하면 두 사용자는 두 작업 중 하나에 대한 조치를 보고 수행할 수 있습니다.
WebSphere® Application Server에서는 작업 스케줄러 조작에 대해 역할 기반 검사를 수행하기 때문에 lradmin 역할을 애플리케이션 범주에서 모두 인증됨에 한 번만 지정해야 합니다. 그룹의 사용자는 lradmin 역할과 동일한 권한을 갖고 lradmin 역할이 수행할 수 있는 그룹의 작업에 대해 동일한 조작을 수행할 수 있습니다.
사용자 및 그룹 멤버십
그룹 보안 기능에는 그룹 멤버십 SPI 또는 그룹 멤버십을 지원하고(예: LDAP(Lightweight Directory Access Protocol)) 연합 저장소로 구성되는 사용자 저장소의 구현이 필요합니다.
그룹 멤버십 필터 SPI를 사용하여 연합 저장소를 기능 보강할 수 있습니다.
저장소를 사용하는 경우 저장소를 연합 저장소로 구성해야 하며 WebSphere Application Server 구성이 한 개의 저장소만 사용하는 경우에도 마찬가지입니다. 연합 저장소 기능은 로컬 OS, LDAP, Active Directory를 포함하여 다중 저장소 기술을 지원합니다.
또한,
연합 저장소 기능은 SAF(System Authorization Facility)도 지원합니다.
저장소를 사용하는 경우 모든 WebSphere Application Server 사용자 및 그룹을 구성된 저장소 기술의 관리 기술을 사용하여 정의해야 합니다.
그룹 및 역할 보안
그룹 및 역할 보안 모델에서 그룹 결합 및 역할 기반 보안 모두 작업 관련 보안 의사결정을 관리합니다. 이는, 사용자 및 작업이 동일 그룹의 멤버인 경우 및 사용자 역할이 작업 조치를 허용하는 경우에만 작업 관련 조치를 수행할 수 있음을 나타냅니다.
예를 들어, 두 사용자가 동일한 그룹의 멤버이고 각각은 해당하는 동일 그룹에 지정되는 작업을 제출하면 두 사용자는 두 작업 중 하나에 대해 해당 역할 지정에 따라 조치를 보고 수행할 수 있습니다. 첫 번째 사용자가 lradmin 역할이면 해당 사용자는 두 작업에 대해 작업 조치를 보고 수행할 수 있습니다. 두 번째 사용자가 lrsubmitter 역할이며, 해당 사용자는 두 번째 사용자가 제출한 작업에 대해서만 작업 조치를 보고 수행할 수 있습니다. 두 번째 사용자가 lrsubmitter 역할이 아니라 lrmonitor 역할인 경우 해당 사용자는 작업을 제출할 수 없지만 첫 번째 사용자가 제출한 작업을 볼 수는 있습니다.