Funções Administrativas>

O conceito de autorização baseado em função do Java™ EE (Java Platform, Enterprise Edition) é estendido para proteger o subsistema administrativo do WebSphere Application Server.

Várias funções administrativas foram definidas para fornecer graus de autoridade necessários para desempenhar algumas funções administrativas a partir do console administrativo baseado na Web ou da interface de script de gerenciamento de sistemas. A política de autorização é aplicada somente quando segurança administrativa é ativada. A tabela a seguir descreve as funções administrativas:

Tabela 1. Funções Administrativas>. Funções Administrativas>
Função Description
Monitor Um indivíduo ou grupo que utiliza a função de monitor tem a menor quantidade de privilégios. Um monitor pode concluir as seguintes tarefas:
  • Visualizar a configuração do WebSphere Application Server.
  • Visualizar o estado atual do Application Server.
Configurador Um indivíduo ou grupo que utiliza a função de configurador tem o privilégio de monitor mais a capacidade de alterar a configuração do WebSphere Application Server. O configurador pode executar todas as tarefas diárias de configuração. Por exemplo, um configurador pode concluir as seguintes tarefas:
  • Criar um recurso.
  • Mapear um servidor de aplicativos.
  • Instalar e desinstalar um aplicativo.
  • Implementar um aplicativo.
  • Designar mapeamento de usuários e grupos para funções para os aplicativos.
  • Configurar as permissões de segurança Java 2 para aplicativos.
Operador Uma pessoa ou um grupo que utiliza a função de operador possui privilégios de monitor, além da capacidade de alterar o estado do tempo de execução. Por exemplo, um operador pode concluir as seguintes tarefas:
  • Parar e iniciar o servidor.
  • Monitorar o status do servidor no console administrativo.
Administrator Um indivíduo ou grupo que utiliza a função de administrador possui os privilégios de operador e de configurador, e também privilégios adicionais concedidos apenas para a função de administrador. Por exemplo, um administrador pode concluir as seguintes tarefas:
  • Modificar o ID do usuário e a senha do servidor.
  • Configurar mecanismos de autenticação e autorização.
  • Ativar ou desativar segurança administrativa.
  • Ativar ou desativar segurança Java 2.
  • Alterar a senha LTPA (Lightweight Third Party Authentication) e gerar chaves.
  • Criar, atualizar ou excluir usuários da configuração de repositórios federados.
  • Criar, atualizar ou excluir grupos da configuração de repositórios federados.
  • Customizar as configurações CSIv2 (Common Secure Interoperability Versão 2), SAS (Security Authentication Service) e SSL (Secure Sockets Layer).
    Importante: SAS é suportado apenas entre servidores Versão 6.0.x e de versões anteriores que foram federados em uma célula Versão 6.1.
Importante: Um administrador não pode mapear usuários e grupos para as funções de administrador se também ele não possuir a função adminsecuritymanager.
iscadmins Essa função está disponível somente para usuários do console administrativo, não para usuários do wsadmin. Os usuários aos quais é concedida essa função têm privilégios de administrador para gerenciar usuário e grupos nos repositórios federados. Por exemplo, um usuário da função iscadmins pode concluir as seguintes tarefas:
  • Criar, atualizar ou excluir usuários da configuração de repositórios federados.
  • Criar, atualizar ou excluir grupos da configuração de repositórios federados.
Implementador Os usuários com essa função podem executar ações de configuração e operações de tempo de execução nos aplicativos. Consulte a seção Função de Implementador para obter detalhes adicionais.
Gerenciador de Segurança do Administrador É possível atribuir usuários e grupos à função Gerenciador de Segurança do Administrador no nível de célula por meio de scripts wsadmin e do console administrativo. Utilizando a função Gerenciador de Segurança do Administrador, é possível atribuir usuários e grupos às funções de usuário administrativo e funções de grupo administrativo. Entretanto, um administrador não pode atribuir usuários e grupos a funções de usuário administrativo e funções de grupo administrativo, inclusive a função Gerenciador de Segurança do Administrador. Consulte a seção Função Gerenciador de Segurança do Administrador para obter detalhes adicionais.
Auditor Os usuários que receberam esta função podem visualizar e modificar as definições de configuração para o subsistema de auditoria de segurança. Por exemplo, um usuário com a função de auditor pode concluir as seguintes tarefas:
  • Ativar e desativar o subsistema de auditoria de segurança.
  • Selecionar a implementação do factory de eventos a ser utilizada com o ponto de plug-in do factory de eventos.
  • Selecionar e configurar o provedor de serviços, ou emissor. ou ambos para serem utilizados com o ponto de plug-in do provedor de serviços.
  • Configurar a política de auditoria que descreve o comportamento do servidor de aplicativos no caso de um erro com o subsistema de auditoria de segurança.
  • Definir quais eventos de segurança devem ser auditados.
A função de auditoria inclui a função de monitor. Isto permite que o auditor visualize mas não altere o restaure da configuração de segurança. Consulte a seção Função do Auditor para obter detalhes adicionais.

O ID do servidor que é especificado e o ID administrativo, se especificado, quando a ativação de segurança administrativa é mapeada automaticamente para a função de administrador.

Os usuários e grupos podem ser incluídos ou removidos de funções administrativas utilizando o console administrativo do WebSphere Application Server por um determinado usuário com a autoridade apropriada. O nome de usuário administrativo Primário deve ser utilizado para efetuar logon no console administrativo, para alterar as funções administrativas de usuários e grupos, exceto a função de auditor. Apenas um usuário com a função de auditor poderá alterar as funções de usuários e grupos do auditor. Quando a auditoria de segurança é ativada inicialmente, o usuário administrativo Primário também recebe a função de auditor, que poderá gerenciar todas as funções administrativas de usuários e grupos, incluindo as da função de auditor. Uma boa prática é mapear um grupo ou grupos em vez de usuários específicos, para funções administrativas, porque é mais flexível e mais fácil de administrar.

Além do mapeamento de usuários ou de grupos, um objeto especial também pode ser mapeado para as funções administrativas. Um objeto de objeto especial é uma generalização de uma classe de usuários específica. O objeto especial AllAuthenticated significa que a verificação de acesso da função administrativa assegura que o usuário que está fazendo o pedido seja pelo menos autenticado. O assunto especial Everyone significa que qualquer um, autenticado ou não, pode executar a ação, como se a segurança não estivesse ativada.

Função de Implementador

Um usuário que recebe a função de implementador poderá executar todas as operações de configuração e de tempo de execução em um aplicativo. Uma função de implementador pode ser subconjuntos de funções de configurador e de operador. Porém, um usuário que recebe a função de implementador não poderá configurar ou operar nenhum outro recurso, como um servidor ou nó.

Quando a segurança administrativa fina é utilizada, somente um usuário com função de implementador para um aplicativo pode configurar e operar esse aplicativo.

Os configuradores no nível de célula podem configurar aplicativos. Os operadores no nível de célula também podem operar (iniciar e parar) aplicativos. No entanto, um usuário que recebe a função de implementador no nível de célula também poderá executar configuração e operação em todos os aplicativos.

Tabela 2. Recursos de Função do Implementador.

Essa tabela lista os recursos da função de implementador quando a segurança administrativa de baixa granularidade for usada.

Operação Funções Requeridas (Qualquer Uma)
Instalar o aplicativo Configurador de célula, implementador de destino
Desinstalar o aplicativo Configurador de célula, implementador de aplicativo, implementador de destino
Listar aplicativo Monitor de célula, monitor de aplicativo
Editar, atualizar e implementar novamente o aplicativo Configurador de célula, implementador de aplicativo
Exportar o aplicativo Monitor de célula, monitor de aplicativo
Iniciar ou parar o aplicativo Operador de célula, implementador de aplicativo
Em que:
Configurador de célula
Especifica a função de configurador no nível de célula.
Implementador de aplicativo
Especifica a função de implementador para o aplicativo que está sendo gerenciado.
Implementador de destino
Especifica a função de implementador para todos os servidores ou clusters para os quais um aplicativo é destinado. Se você tiver uma função de implementador de destino, é possível instalar um novo aplicativo no destino. No entanto, para editar ou atualizar o aplicativo instalado, você deve ser incluído no grupo de autorizações do implementador de aplicativos instalado.

O implementador de destino não pode iniciar ou parar um novo aplicativo explicitamente. No entanto, quando um implementador de destino inicia um servidor em um destino, todos os aplicativos que têm seu atributo auto-inicialização configurado para yes são iniciados quando o servidor é iniciado.

Recomenda-se que o implementador de aplicativos configure esse atributo para true se o implementador de aplicativos não quiser que o aplicativo seja iniciado pelo implementador e destino.

Função Gerenciador de Segurança do Administrador

A função Gerenciador de Segurança do Administrador separa a administração de segurança administrativa de outras administrações do aplicativo.

Por padrão, serverId e adminID, se especificados, são designados para essa função na tabela de autorizações no nível de célula. Essa função sugere uma função de monitor. No entanto, uma função de administrador não sugere a função Gerenciador de Segurança de Administrador.

Quando a segurança admin fina é utilizada, somente um usuário com essa função no nível de célula pode gerenciar grupos de autorizações administrativas. No entanto, um usuário com essa função para cada grupo de autorizações administrativas pode mapear usuários para funções administrativas para esses grupos. A lista a seguir resume os recursos da função Gerenciador de Segurança de Administrador em diferentes níveis, como nos níveis de célula e de grupo de autorização administrativa.
Tabela 3. Recursos de Função do Gerenciador de Segurança do Administrador.

Essa tabela lista os recursos da função de Gerenciador de Segurança do Administrador.

Ação Função
Mapear usuários para funções administrativas para o nível de célula Somente o Gerenciador de Segurança de Administrador da célula
Mapear usuários para funções administrativas para um grupo de autorizações Somente Gerenciador de Segurança de Administrador desse grupo de autorização ou o Gerenciador de Segurança de Administrador da célula
Gerenciar grupos de autorização, criar, excluir, incluir recurso em um grupo de autorizações ou remover recursos de um grupo ou lista de autorizações Somente o Gerenciador de Segurança de Administrador da célula

Função do Auditor

A função de auditor separa a administração de auditoria de segurança da segurança administrativa e de outra administração de aplicativo.

A função de auditor foi incluída para permitir diferenciar a autoridade de um auditor da autoridade do administrador. A função de auditor pode ser concedida aos administradores para combinar sua autoridade. Quando a segurança é ativada pela primeira vez, a função de auditor é designada ao administrador primário. Se, nesse caso, a separação de autoridade for necessária, administradores poderão remover a função de auditor deles mesmos e designá-la para outros usuários.

Uma segurança de baixa granularidade para a função de auditor não é implementada, fazendo com que a função de auditor exija a função de monitor. Esse processo permite que o auditor apenas leia, mas não modifique os painéis gerenciados pelo administrador. O auditor possui autoridade total para ler e modificar os painéis associados ao subsistema de auditoria de segurança. O administrador possuirá a função de monitor para esses painéis, mas não poderá modificá-los.


Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_adminroles
Nome do arquivo: rsec_adminroles.html