Autorizando Acesso a Funções Administrativas

É possível designar usuários e grupos a funções administrativas para identificar os usuários que podem executar as funções administrativas do WebSphere Application Server.

Antes de Iniciar

As funções administrativas permitem controlar o acesso às funções administrativas do WebSphere Application Server. Consulte as descrições dessas funções em Funções Administrativas.

[z/OS]
  • Utilizando a autorização SAF (System Authorization Facility) para controlar o acesso a funções administrativas: Quando com.ibm.security.SAF.authorization estiver definida como true, os perfis SAF EJBROLE serão utilizados para controlar o acesso a funções administrativas. Consulte System Authorization Facility para Autorização Baseada em Função para obter informações adicionais.
  • Se você selecionar Usar um Produto de Segurança do z/OS durante a criação do perfil no z/OS Profile Management Tool, e além disso, você especificar um valor para o prefixo do perfil SAF (citado anteriormente como domínio de segurança do z/OS), as seguintes funções administrativas serão definidas pelas tarefas de customização. O prefixo do perfil do SAF pode ser especificado durante a criação de perfil, e o configGroup representa o nome do grupo de configuração do WebSphere Application Server escolhido.
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor       UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator  UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator      UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor       UACC(NONE)
    
    PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)monitor       CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)configurator  CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)operator      CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)auditor       CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
  • Se você decidir posteriormente ativar a autorização SAF, emita esses comandos RACF (Resource Access Control Facility) para permitir a operação correta do WebSphere Application Server. É possível conceder a um usuário acesso a todas as funções administrativas, conectando-se ao grupo de configuração:
    CONNECT  mvsid  GROUP(configGroup)
  • Você também pode designar usuários individuais a funções específicas emitindo o seguinte comando RACF:
    PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
  • Não é necessário reiniciar o servidor para que as alterações de SAF EJBROLE sejam efetivadas. No entanto, depois que as alterações de SAF forem feitas, emita o seguinte comando RACF (ou o equivalente para seu sistema de segurança) para atualizar as tabelas de segurança:
    SETROPTS RACLIST(EJBROLE)  REFRESH
  • Utilizando a Autorização do WebSphere para controlar o acesso às funções administrativas: Quando com.ibm.security.SAF.authorization estiver configurado como false, a autorização do WebSphere Application Server e o console administrativo serão utilizados para controlar o acesso às funções administrativas.
[AIX Solaris HP-UX Linux Windows][IBM i]
  • Antes de designar usuários a funções administrativas, você deve configurar seu registro de usuário. Para obter informações sobre os tipos de registro suportados, consulte Selecionando um Registro ou Repositório.
  • As etapas a seguir são necessárias para atribuir usuários a funções administrativas.
[AIX Solaris HP-UX Linux Windows][IBM i]

Sobre Esta Tarefa

Utilize o console administrativo para designar usuários e grupos às funções administrativas e para identificar os usuários que podem executar as funções administrativas do WebSphere Application Server. No console administrativo,

Procedimento

  1. Clique em Usuários e Grupos. Clique em Funções do usuário Administrativo ou em Funções do Grupo Administrativo.
  2. Para incluir um usuário ou um grupo, clique em Incluir no painel Usuários do Console ou Grupos do Console.
  3. Para incluir um novo usuário administrador, siga as instruções na página para especificar um usuário e selecione a função Administrador. Quando o usuário for incluído na lista Mapeado para a Função, clique em OK. O usuário especificado será mapeado para a função de segurança.
  4. Para incluir um novo grupo administrativo, siga as instruções na página para especificar um nome de grupo ou um objeto Especial, selecione a função Administrador e clique em OK. O grupo ou o objeto especial especificado será mapeado para a função de segurança.
  5. Para remover uma atribuição de usuário ou grupo, clique em Remover no painel Usuários do Console ou Grupos do Console. No painel Usuários do Console ou Grupos do Console, selecione a caixa de opções do usuário ou o grupo a ser removido e clique em OK.
  6. Para gerenciar o conjunto de usuários ou grupos para exibição, clique em Mostrar Função do Filtro no painel Funções do Usuário ou Funções do Grupo. Na caixa Procurar Termo(s), digite um valor e, em seguida, clique em Ir. Por exemplo, user* exibe apenas os usuários com o prefixo do usuário.
  7. Depois que as modificações forem concluídas, clique em Salvar para salvar os mapeamentos.
  8. Reinicie o servidor de aplicativos para que as mudanças sejam efetivadas.
  9. [AIX Solaris HP-UX Linux Windows][IBM i]Encerre os nós, os agentes do nó e o gerenciador de implementação.
  10. [AIX Solaris HP-UX Linux Windows][IBM i]Verifique se os processos Java não estão em execução. Se estiverem, interrompa esses processos.
  11. [AIX Solaris HP-UX Linux Windows][IBM i]Reinicie o gerenciador de implementação.
  12. [AIX Solaris HP-UX Linux Windows]Sincronize novamente os nós. Para ressincronizar os nós, execute o comando install_root/bin/syncNode ou install_root/bin/syncNode.sh para cada nó. Use o comando synchNode.
  13. [IBM i]Sincronize novamente os nós. Para ressincronizar os nós, execute o script install_root/bin/syncNode a partir da linha de comandos de Qshell para cada nó. Use o comando synchNode.
  14. [AIX Solaris HP-UX Linux Windows]Inicie novamente os nós. Para reiniciar os nós, execute o comando install_root/bin/startNode ou install_root/bin/startNode.sh para cada nó. Use o comando startNode.
  15. [IBM i]Inicie novamente os nós. Para reiniciar os nós, execute o script install_root/bin/startNode na linha de comandos de Qshell para cada nó. Use o comando startNode.
  16. [AIX Solaris HP-UX Linux Windows][IBM i]Inicie os clusters, se for aplicável.
[AIX Solaris HP-UX Linux Windows]

O que Fazer Depois

[AIX Solaris HP-UX Linux Windows]Depois de designar usuários a funções administrativas, é preciso reiniciar o Deployment Manager para que as novas funções sejam efetivadas. No entanto, os recursos administrativos não serão protegidos até que você ative a segurança.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tselugradro
Nome do arquivo: tsec_tselugradro.html