[z/OS]

当使用本地操作系统注册表时,控制对控制台用户的访问

添加控制台用户并对单元向这些用户授权涉及调整用户注册表和授权设置。用户注册表定制属性管理对控制台用户授权的形式。不管使用哪种授权形式,结果是在最先启用安全性后,WebSphere® 管理员标识的 MVS™ 用户标识都能够访问所有管理控制台功能并使用管理脚本工具。

关于此任务

如果使用非本地操作系统注册表和系统授权工具 (SAF),那么必须使用标识映射以将 WebSphere Application Server 标识映射到 SAF 用户标识。要让 SAF 管理控制台角色,必须对单元启用 SAF 授权。要启用 SAF 授权,请单击安全性 > 全局安全性 > 外部授权提供程序 >,然后单击系统授权工具 (SAF) 授权以启用 SAF 授权。如果启用该选项,那么将使用 SAF EJBROLE 概要文件对控制台用户进行授权。否则在缺省情况下,管理控制台将用于对控制台用户和组授权。

无论选择哪种类型的注册表或权限设置,配置过程授权 WebSphere 配置组(允许所有 WebSphere 服务器标识),以及 WebSphere 管理员标识的 MVS 用户标识执行以下任务:
  • 访问所有管理控制台功能
  • 当首次启用安全性时,使用管理脚本工具
在 z/OS® 上选择 SAF 授权时,服务器的特殊主体集不用作管理用户标识。(请注意,使用 WebSphere z/OS Profile Management Tool 或 zpmt 命令会生成管理用户,其作为可用于授权的管理组的成员。)

使用 SAF 授权控制对管理功能的访问

如果在系统定制期间选择了“SAF 授权”,那么所有管理角色的管理 EJBROLE 概要文件都是由 RACF® 作业定义(这些作业是使用 z/OS Profile Management Tool 来生成)。接着,如果选择 SAF 授权,请发出以下 RACF 命令(或等价的安全服务器命令)以使您的服务器和管理员可管理 WebSphere Application Server:
注: 另外,可指定 SAF 概要文件前缀(先前称为 z/OS 安全域)的值。
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor       UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator  UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)deployer      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)adminsecuritymanager      UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor      UACC(NONE)

PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(adminGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)monitor       CLASS(EJBROLE) ID(monitorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)configurator  CLASS(EJBROLE) ID(configuratorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)operator      CLASS(EJBROLE) ID(operatorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)deployer      CLASS(EJBROLE) ID(deployerGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)adminsecuritymanager  CLASS(EJBROLE) ID(adminSecurityGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)auditor  CLASS(EJBROLE) ID(auditorGroup) ACCESS(READ)
如果其他用户要求访问管理功能,那么您可以允许上述任何角色的用户发出以下 RACF 命令:
PERMIT (optionalSAFProfilePrefix.)rolename   CLASS(EJBROLE)  ID(mvsid) ACCESS(READ)
通过将用户连接到配置组,您可以让该用户访问所有管理功能:
CONNECT  mvsid  GROUP(configGroup)

使用 WebSphere 授权来控制对管理功能的访问:

要将用户指定给管理角色,请完成以下步骤。

过程

  1. 在管理控制台中,展开系统管理 > 控制台设置
  2. 单击控制台用户 > 添加控制台组 > 添加
  3. 根据需要添加用户标识。 有关控制台用户角色的更多信息,请参阅管理角色和命名服务授权
    注:
    • 当 SAF 授权生效时,将忽略管理控制台中指定的 WebSphere Application Server 授权。
    • SAF 角色名是区分大小写的。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_addconsole
文件名:tsec_addconsole.html