![[z/OS]](../images/ngzos.gif)
세분화된 관리 권한 부여를 위한 SAF(System Authorization Facility)
세분화된 관리 보안이 사용되는 경우 관리 자원은 다중 권한 그룹으로 파티셔닝됩니다. 각 권한 그룹은 자체 권한 테이블을 포함하고 이는 해당 권한 그룹에 대한 사용자 대 관리자 역할 맵핑을 표시합니다.
관리 역할에 대한 동일한 세트가 모든 권한 그룹에 대해 존재합니다. 그렇지만 관리 역할에 맵핑되는 사용자는 다를 수 있습니다. 셀 내의 모든 자원에 대한 액세스를 나타내는 셀 레벨의 관리 역할도 여전히 있습니다.
RACF®(Resource Access Control Facility) 또는 SAF(System Authorization Facility)가 사용자 대 역할 맵핑 구성에 사용되는 경우 각 권한 그룹의 각 역할에 대한 한 개의 EJBROLE 프로파일과 셀 레벨 관리자 역할에 대해 이전에 정의된 EJBROLE 프로파일을 정의해야 합니다. 관리 권한에 대해 6개의 프로파일이 RACF EJBROLE 클래스에 정의됩니다. 이는 관리자, 구성자, 모니터, 연산자, 배치자, adminsecuritymanager입니다.
권한 그룹은 WebSphere® Application Server 구성 도구(wsadmin)를 사용하여 작성 가능합니다. 권한 그룹을 작성한 후에 권한 그룹 내의 사용자 대 역할 맵핑은 wsadmin을 사용해서도 수행 가능합니다. 그렇지만 RACF가 사용자 대 관리 역할 맵핑 저장에 사용되면 RACF 관리자는 추가 단계를 수행하여 사용자 대 역할 맵핑을 맵핑해야 합니다. 새로 작성한 권한 그룹 내의 각 관리자 역할에 대해 EJBROLE 프로파일을 정의해야 합니다. 그러면 사용자는 새로 작성된 EJBROLE 프로파일에 액세스가 부여됩니다.
그룹 | 사용자 대 역할 맵핑 | 사용자 대 역할 맵핑 | 사용자 대 역할 맵핑 | 사용자 대 역할 맵핑 | 사용자 대 역할 맵핑 | 사용자 대 역할 맵핑 |
---|---|---|---|---|---|---|
group1 | administrator=user1 | 구성자 | 운영자 | 모니터 | deployer=user3 | adminsecuritymanager |
group2 | administrator=user2 | 구성자 | operator=user4 | 모니터 | 배치자 | adminsecuritymanager |
/* activate EJBROLE class */
SETROPTS CLASSACT(EJBROLE)
/* Defining EJBROLE profiles for admin roles in group1 and group2 */
/* define the roles in RACF for group1 */
RDEFINE EJBROLE domainName.group1.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group1.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group1.operator UACC(NONE)
RDEFINE EJBROLE domainName.group1.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group1.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group1.adminsecuritymanager UACC(NONE)
/* define the roles in RACF for group2 */
RDEFINE EJBROLE domainName.group2.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group2.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group2.operator UACC(NONE)
RDEFINE EJBROLE domainName.group2.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group2.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group2.adminsecuritymanager UACC(NONE)
/* Mapping users to roles in group1 and group2 */
/* map user1 to administrator role in group1 */
PERMIT domainName.group1.administrator CLASS(EJBROLE) ID(USER1) ACCESS(READ)
/* map user3 to deployer role in group1 */
PERMIT domainName.group1.deployer CLASS(EJBROLE) ID(USER3) ACCESS(READ)
/* map user2 to administrator role in group2 */
PERMIT domainName.group2.administrator CLASS(EJBROLE) ID(USER2) ACCESS(READ)
/* map user4 to operator role in group2 */
PERMIT domainName.group2.operator CLASS(EJBROLE) ID(USER4) ACCESS(READ)
/* refresh the EJBROLE class in RACF */
SETROPTS RACLIST(EJBROLE) REFRESH"
여기서 domainName은 WebSphere Application Server 셀의 보안 도메인을 나타냅니다.
각 권한 부여 그룹의 모든 역할에 대한 EJBROLE 프로파일은 어떤 사용자가 해당 역할에 맵핑되는지에 상관없이 작성되어야 합니다.