![[z/OS]](../images/ngzos.gif)
当使用本地操作系统注册表时,控制对控制台用户的访问
添加控制台用户并对单元向这些用户授权涉及调整用户注册表和授权设置。用户注册表定制属性管理对控制台用户授权的形式。不管使用哪种授权形式,结果是在最先启用安全性后,WebSphere® 管理员标识的 MVS™ 用户标识都能够访问所有管理控制台功能并使用管理脚本工具。
关于此任务
如果使用非本地操作系统注册表和系统授权工具 (SAF),那么必须使用标识映射以将 WebSphere Application Server 标识映射到 SAF 用户标识。要让 SAF 管理控制台角色,必须对单元启用 SAF 授权。要启用 SAF 授权,请单击安全性 > 全局安全性 > 外部授权提供程序 >,然后单击系统授权工具 (SAF) 授权以启用 SAF 授权。如果启用该选项,那么将使用 SAF EJBROLE 概要文件对控制台用户进行授权。否则在缺省情况下,管理控制台将用于对控制台用户和组授权。
无论选择哪种类型的注册表或权限设置,配置过程授权 WebSphere 配置组(允许所有 WebSphere 服务器标识),以及 WebSphere 管理员标识的 MVS 用户标识执行以下任务:
- 访问所有管理控制台功能
- 当首次启用安全性时,使用管理脚本工具
使用 SAF 授权控制对管理功能的访问
如果在系统定制期间选择了“SAF 授权”,那么所有管理角色的管理 EJBROLE 概要文件都是由 RACF® 作业定义(这些作业是使用 z/OS Profile Management Tool 来生成)。接着,如果选择 SAF 授权,请发出以下 RACF 命令(或等价的安全服务器命令)以使您的服务器和管理员可管理 WebSphere Application Server:
注: 另外,可指定 SAF 概要文件前缀(先前称为 z/OS 安全域)的值。
RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)deployer UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor UACC(NONE)
PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(adminGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)monitor CLASS(EJBROLE) ID(monitorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)configurator CLASS(EJBROLE) ID(configuratorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)operator CLASS(EJBROLE) ID(operatorGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)deployer CLASS(EJBROLE) ID(deployerGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)adminsecuritymanager CLASS(EJBROLE) ID(adminSecurityGroup) ACCESS(READ)
PERMIT (optionalSAFProfilePrefix.)auditor CLASS(EJBROLE) ID(auditorGroup) ACCESS(READ)
如果其他用户要求访问管理功能,那么您可以允许上述任何角色的用户发出以下 RACF 命令:PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
通过将用户连接到配置组,您可以让该用户访问所有管理功能:
CONNECT mvsid GROUP(configGroup)
使用 WebSphere 授权来控制对管理功能的访问:
要将用户指定给管理角色,请完成以下步骤。