Funções Administrativas>
O conceito de autorização baseado em função do Java™ EE (Java Platform, Enterprise Edition) é estendido para proteger o subsistema administrativo do WebSphere Application Server.
Várias funções administrativas foram definidas para fornecer graus de autoridade necessários para desempenhar algumas funções administrativas a partir do console administrativo baseado na Web ou da interface de script de gerenciamento de sistemas. A política de autorização é aplicada somente quando segurança administrativa é ativada. A tabela a seguir descreve as funções administrativas:
Função | Description |
---|---|
Monitor | Um indivíduo ou grupo que utiliza a função de monitor tem a menor quantidade de privilégios. Um monitor pode concluir as seguintes tarefas:
|
Configurador | Um indivíduo ou grupo que utiliza a função de configurador tem o privilégio
de monitor mais a capacidade de alterar a configuração do WebSphere Application Server.
O configurador pode executar todas as tarefas diárias de configuração. Por exemplo, um configurador pode concluir as seguintes tarefas:
|
Operador | Uma pessoa ou um grupo que utiliza a função de operador possui privilégios de monitor, além da capacidade de alterar o estado do tempo de execução.
Por exemplo, um operador pode concluir as seguintes tarefas:
|
Administrator | Um indivíduo ou grupo que utiliza a função de administrador possui os privilégios de operador e de configurador, e também privilégios adicionais concedidos apenas para a função de administrador. Por exemplo, um administrador pode concluir as seguintes tarefas:
Importante: Um administrador não pode mapear usuários e grupos para as funções de administrador se também ele não possuir a função adminsecuritymanager.
|
iscadmins | Essa função está disponível somente para usuários do console administrativo, não para usuários do wsadmin. Os
usuários aos quais é concedida essa função têm privilégios de
administrador para gerenciar usuário e grupos nos repositórios federados. Por exemplo, um usuário da função iscadmins pode concluir as seguintes tarefas:
|
Implementador | Os usuários com essa função podem executar ações de configuração e operações de tempo de execução nos aplicativos. Consulte a seção Função de Implementador para obter detalhes adicionais. |
Gerenciador de Segurança do Administrador | É possível atribuir usuários e grupos à função Gerenciador de Segurança do Administrador no nível de célula por meio de scripts wsadmin e do console administrativo. Utilizando a função Gerenciador de Segurança do Administrador, é possível atribuir usuários e grupos às funções de usuário administrativo e funções de grupo administrativo. Entretanto, um administrador não pode atribuir usuários e grupos a funções de usuário administrativo e funções de grupo administrativo, inclusive a função Gerenciador de Segurança do Administrador. Consulte a seção Função Gerenciador de Segurança do Administrador para obter detalhes adicionais. |
Auditor | Os usuários que receberam esta função podem visualizar
e modificar as definições de configuração para o subsistema de auditoria de segurança. Por exemplo, um usuário com a função de auditor pode concluir as seguintes tarefas:
|
O ID do servidor que é especificado e o ID administrativo, se especificado, quando a ativação de segurança administrativa é mapeada automaticamente para a função de administrador.
Os usuários e grupos podem ser incluídos ou removidos de funções administrativas utilizando o console administrativo do WebSphere Application Server por um determinado usuário com a autoridade apropriada. O nome de usuário administrativo Primário deve ser utilizado para efetuar logon no console administrativo, para alterar as funções administrativas de usuários e grupos, exceto a função de auditor. Apenas um usuário com a função de auditor poderá alterar as funções de usuários e grupos do auditor. Quando a auditoria de segurança é ativada inicialmente, o usuário administrativo Primário também recebe a função de auditor, que poderá gerenciar todas as funções administrativas de usuários e grupos, incluindo as da função de auditor. Uma boa prática é mapear um grupo ou grupos em vez de usuários específicos, para funções administrativas, porque é mais flexível e mais fácil de administrar.
Além do mapeamento de usuários ou de grupos, um objeto especial também pode ser mapeado para as funções administrativas. Um objeto de objeto especial é uma generalização de uma classe de usuários específica. O objeto especial AllAuthenticated significa que a verificação de acesso da função administrativa assegura que o usuário que está fazendo o pedido seja pelo menos autenticado. O assunto especial Everyone significa que qualquer um, autenticado ou não, pode executar a ação, como se a segurança não estivesse ativada.
Função de Implementador
Um usuário que recebe a função de implementador poderá executar todas as operações de configuração e de tempo de execução em um aplicativo. Uma função de implementador pode ser subconjuntos de funções de configurador e de operador. Porém, um usuário que recebe a função de implementador não poderá configurar ou operar nenhum outro recurso, como um servidor ou nó.
Quando a segurança administrativa fina é utilizada, somente um usuário com função de implementador para um aplicativo pode configurar e operar esse aplicativo.
Os configuradores no nível de célula podem configurar aplicativos. Os operadores no nível de célula também podem operar (iniciar e parar) aplicativos. No entanto, um usuário que recebe a função de implementador no nível de célula também poderá executar configuração e operação em todos os aplicativos.
Operação | Funções Requeridas (Qualquer Uma) |
---|---|
Instalar o aplicativo | Configurador de célula, implementador de destino |
Desinstalar o aplicativo | Configurador de célula, implementador de aplicativo, implementador de destino |
Listar aplicativo | Monitor de célula, monitor de aplicativo |
Editar, atualizar e implementar novamente o aplicativo | Configurador de célula, implementador de aplicativo |
Exportar o aplicativo | Monitor de célula, monitor de aplicativo |
Iniciar ou parar o aplicativo | Operador de célula, implementador de aplicativo |
- Configurador de célula
- Especifica a função de configurador no nível de célula.
- Implementador de aplicativo
- Especifica a função de implementador para o aplicativo que está sendo gerenciado.
- Implementador de destino
- Especifica a função de implementador para todos os servidores ou clusters para os quais um aplicativo é destinado. Se você tiver uma função de implementador de destino, é possível instalar um novo aplicativo no destino. No entanto, para editar ou atualizar o aplicativo instalado, você deve ser incluído no grupo de autorizações do implementador de aplicativos instalado.
O implementador de destino não pode iniciar ou parar um novo aplicativo explicitamente. No entanto, quando um implementador de destino inicia um servidor em um destino, todos os aplicativos que têm seu atributo auto-inicialização configurado para yes são iniciados quando o servidor é iniciado.
Recomenda-se que o implementador de aplicativos configure esse atributo para true se o implementador de aplicativos não quiser que o aplicativo seja iniciado pelo implementador e destino.
Função Gerenciador de Segurança do Administrador
A função Gerenciador de Segurança do Administrador separa a administração de segurança administrativa de outras administrações do aplicativo.
Por padrão, serverId e adminID, se especificados, são designados para essa função na tabela de autorizações no nível de célula. Essa função sugere uma função de monitor. No entanto, uma função de administrador não sugere a função Gerenciador de Segurança de Administrador.
Ação | Função |
---|---|
Mapear usuários para funções administrativas para o nível de célula | Somente o Gerenciador de Segurança de Administrador da célula |
Mapear usuários para funções administrativas para um grupo de autorizações | Somente Gerenciador de Segurança de Administrador desse grupo de autorização ou o Gerenciador de Segurança de Administrador da célula |
Gerenciar grupos de autorização, criar, excluir, incluir recurso em um grupo de autorizações ou remover recursos de um grupo ou lista de autorizações | Somente o Gerenciador de Segurança de Administrador da célula |
Função do Auditor
A função de auditor separa a administração de auditoria de segurança da segurança administrativa e de outra administração de aplicativo.
A função de auditor foi incluída para permitir diferenciar a autoridade de um auditor da autoridade do administrador. A função de auditor pode ser concedida aos administradores para combinar sua autoridade. Quando a segurança é ativada pela primeira vez, a função de auditor é designada ao administrador primário. Se, nesse caso, a separação de autoridade for necessária, administradores poderão remover a função de auditor deles mesmos e designá-la para outros usuários.
Uma segurança de baixa granularidade para a função de auditor não é implementada, fazendo com que a função de auditor exija a função de monitor. Esse processo permite que o auditor apenas leia, mas não modifique os painéis gerenciados pelo administrador. O auditor possui autoridade total para ler e modificar os painéis associados ao subsistema de auditoria de segurança. O administrador possuirá a função de monitor para esses painéis, mas não poderá modificá-los.