[z/OS]

将系统授权工具用于细粒度管理授权

使用细粒度管理安全性时,管理资源将划分到多个授权组。每个授权组都包含它自己的授权表,此表表示该授权组的用户至管理员角色的映射。

所有授权组都存在同一组管理角色。但是,映射至管理角色的用户可以不同。还有单元级别的管理角色,用于表示对于单元中的所有资源的访问权。

当使用资源访问控制设施 (RACF®) 或者系统授权工具 (SAF) 来配置用户至角色的映射时,必须为每个授权组中的每个角色定义一个 EJBROLE 概要文件,以及单元级别的管理员角色的先前定义的 EJBROLE 概要文件。在 RACF EJBROLE 类中定义了用于管理授权的六个概要文件。它们分别是管理员、配置员、监视员、操作员、部署者和 adminsecuritymanager。

可以使用 WebSphere® Application Server 配置工具 (wsadmin) 来创建授权组。创建授权组之后,还可以使用 wsadmin 在该授权组中执行用户至角色的映射。但是,当使用 RACF 来存储用户至管理角色的映射时,RACF 管理员必须执行其他步骤来映射用户至角色的映射。对于新创建的授权组中的每个管理员角色,必须定义 EJBROLE 概要文件。然后,必须为用户授予对于新创建的 EJBROLE 概要文件的访问权。

例如,如果已经使用 wsadmin 创建了下列授权组以及用户至角色的映射:
表 1. 授权组以及用户至角色的映射. 此表列示了授权组以及用户至角色的映射。
用户至角色的映射 用户至角色的映射 用户至角色的映射 用户至角色的映射 用户至角色的映射 用户至角色的映射
group1 管理员 = user1 配置员 操作员 监视员 部署者 = user3 adminsecuritymanager
group2 管理员 = user2 配置员 操作员 = user4 监视员 部署者 adminsecuritymanager
然后,可以使用以下脚本在 RACF 中反映同一信息:
/* activate EJBROLE class */
SETROPTS CLASSACT(EJBROLE)

/* Defining EJBROLE profiles for admin roles in group1 and group2 */

/* define the roles in RACF for group1 */
RDEFINE EJBROLE domainName.group1.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group1.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group1.operator UACC(NONE)
RDEFINE EJBROLE domainName.group1.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group1.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group1.adminsecuritymanager UACC(NONE)

/* define the roles in RACF for group2 */
RDEFINE EJBROLE domainName.group2.administrator UACC(NONE)
RDEFINE EJBROLE domainName.group2.configurator UACC(NONE)
RDEFINE EJBROLE domainName.group2.operator UACC(NONE)
RDEFINE EJBROLE domainName.group2.monitor UACC(NONE)
RDEFINE EJBROLE domainName.group2.deployer UACC(NONE)
RDEFINE EJBROLE domainName.group2.adminsecuritymanager UACC(NONE)

/* Mapping users to roles in group1 and group2 */

/* map user1 to administrator role in group1 */
PERMIT domainName.group1.administrator CLASS(EJBROLE)  ID(USER1) ACCESS(READ)
/* map user3 to deployer role in group1 */
PERMIT domainName.group1.deployer CLASS(EJBROLE)  ID(USER3) ACCESS(READ)

/* map user2 to administrator role in group2 */
PERMIT domainName.group2.administrator CLASS(EJBROLE)  ID(USER2) ACCESS(READ)
/* map user4 to operator role in group2 */
PERMIT domainName.group2.operator CLASS(EJBROLE)  ID(USER4) ACCESS(READ)


/* refresh the EJBROLE class in RACF */
SETROPTS RACLIST(EJBROLE) REFRESH"     

其中 domainName 表示 WebSphere Application Server 单元的安全域。

请注意,应为每个授权组中的所有角色都创建 EJBROLE 概要文件,无论是否已将任何用户映射至该角色都是如此。


指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_fineg_saf
文件名:csec_fineg_saf.html