使用角色保护 作业调度程序
可以通过将用户和组映射至特定的安全角色来保护 作业调度程序。
开始之前
无论作业所有权如何,分配有 lradmin 角色的用户都有权对所有作业执行所有 作业调度程序 应用程序操作,而分配有 lrsubmitter 角色的用户只能对提交者自己拥有的那些作业执行操作。
lrmonitor 角色中的用户可以查看和下载所有作业日志,但不能提交作业或对作业执行操作。
注: 要在 HTTPS 端口上启动 lrcmd.sh | .bat,必须在调度程序服务器上配置 SSL。请遵循以下 developerWorks 主题中的序列中第三部分内的步骤,使用 Rational® Application
Developer V7 构建带有传输级别安全性的 Web Service,第 3 部分:配置 HTTPS。要访问这些主题,您必须是 developerWorks 的注册用户。如果您未向 developerWorks 注册,请遵循 IBM® 注册页面上的指示信息进行操作。
如果使用 z/OS® 操作系统上的系统授权工具 (SAF) EJBROLE 概要文件,请定义 lradmin 和 lrsubmitter 角色的 EJBROLE 概要文件。允许将这些角色分配给相应的 SAF 用户标识。请不要通过管理控制台来控制许可权,如以下过程中所述。
关于此任务
过程
- 单击 。
- 选择管理安全性和应用程序安全性。
- 通过指定其中一个可用的领域定义来配置用户帐户存储库。
- 已配置 WebSphere® Application Server 安全性之后,单击应用以保存配置。
- 展开 。
- 选择要配置的角色。
- 如果要将一个或多个用户分配给目标角色,请单击查找用户;如果要在组级别进行角色分配,请单击查找组。
- 选择要分配给目标角色的用户或组。
- 单击确定并保存配置。
- 重新启动单元。
下一步做什么
<app_server_root>/bin/lrcmd.[bat|sh]
-cmd=<name_of_command> <command_arguments> [-host=<host> -port=<port>]
-userid=<user_ID> -password=<password>
其中:
- <host> 是 作业调度程序 服务器主机名称。如果未指定,那么缺省值为 localhost。
- <port> 是调度程序服务器 HTTP (HTTPS) 端口。如果未指定,那么缺省值为 80。
请参阅以下示例:
D:\IBM\WebSphere\AppServer\bin\lrcmd -cmd=submit
-xJCL=D:\IBM\WebSphere\AppServer\samples\Batch\postingSampleXJCL.xml
-port=9445 -host=wasxd01.ibm.com -userid=mylradmin -password=w2g0u1tf