[AIX Solaris HP-UX Linux Windows]

使用分布式操作系统上的角色和组来保护 作业调度程序

您可以使用角色和组来保护 作业调度程序。如果用户和作业是相同组的成员并且该用户的角色允许执行操作,那么该用户可以对该作业执行操作。

关于此任务

创建一个组以及属于该组的用户。对 作业调度程序 启用组角色安全性。

过程

  1. 创建一个组以及属于该组的用户。

    请阅读 WebSphere® Application Server 文档中关于将用户和组分配至角色的部分并遵循指示信息执行操作。对于此项任务,示例用户为 user2 并且示例组为 BATCH2GROUP

  2. 作业调度程序 启用组和角色安全性。
    1. 单击系统管理 > 作业调度程序 > 定制属性
    2. 单击新建,对于名称,请添加 JOB_SECURITY_POLICY,对于,请添加 GROUPROLE
    3. 单击应用以保存配置。
    4. 单击系统管理 > 作业调度程序 > 安全角色至用户/组映射
    5. 对于角色,请选择 lrsubmitter,然后选择映射用户... 以将 user2 用户映射至 lrsubmitter 角色。

      对于此示例,使用了 lrsubmitter 角色。您可以选择其他角色。

    6. 保存更新。
    7. 重新启动服务器。
    8. 验证是否已启用组和角色安全性。

      如果在 SystemOut.log 文件中看到以下消息,那么表示已启用组安全性:

      CWLRB5837I: WebSphere Application Server 批处理功能正在 GROUPROLE 安全策略下运行。
  3. 将组分配给作业。

    作业属于用户组和管理组。如果未定义 JOB_SECURITY_ADMIN_GROUP 变量,那么作业调度程序会自动将管理组分配给每一个作业。

    • 通过 JOB_SECURITY_ADMIN_GROUP 作业调度程序定制属性来配置管理组名的值:
      JOB_SECURITY_ADMIN_GROUP=JSYSADMN

      缺省管理组名为 JSYSADMN

    • 使用下列其中一种方法来分配该组。
      • 在 xJCL 中的组属性上定义该组,例如:
        <job-name=”{jobname}” group=”{group-name}” …  />
      • 使用 JOB_SECURITY_DEFAULT_GROUP 作业调度程序定制属性来设置作业调度程序缺省组名:
        JOB_SECURITY_DEFAULT_GROUP=JSYSDFLT

        缺省组名为 JSYSDFLT

      xJCL 中的组属性优先于作业调度程序定制属性。如果在 xJCL 中不指定组名,那么作业调度程序将指定缺省组名。

结果

您已创建了一个组以及属于该组的用户。您已将已认证用户映射至 lrsubmitter 安全角色。

下一步做什么

使用组和角色安全性管理作业。

  1. 提交作业。
  2. 让您在上一步中创建的 user2 用户使用 lrsubmitter 角色中的用户可以完成的操作对该作业执行操作。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tgrid_bgsecure_user_group
文件名:tgrid_bgsecure_user_group.html