授予管理角色访问权

您可以将用户和组指定到管理角色,以标识能够执行 WebSphere® Application Server 管理功能的用户。

开始之前

管理角色使您能够控制对 WebSphere Application Server 管理功能的访问权。请参阅管理角色中对这些角色的描述。

[z/OS]
  • 使用系统授权工具(SAF)授权来控制对管理角色的访问:当 com.ibm.security.SAF.authorization 设置为 true 时,使用 SAF EJBROLE 概要文件来控制对管理角色的访问。请参阅将系统授权工具用于基于角色的授权,以了解更多信息。
  • 如果您在 z/OS® Profile Management Tool 中创建概要文件期间选择了使用 z/OS 安全性产品,并且还对 SAF 概要文件前缀(以前称为 z/OS 安全域)指定了值,那么下列管理角色由定制作业定义。您可以在概要文件创建期间指定 SAF 概要文件前缀,并且,configGroup 表示您选择的 WebSphere Application Server 配置组名。
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)administrator UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)monitor       UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)configurator  UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)operator      UACC(NONE)
    RDEFINE EJBROLE (optionalSAFProfilePrefix.)auditor       UACC(NONE)
    
    PERMIT (optionalSAFProfilePrefix.)administrator CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)monitor       CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)configurator  CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)operator      CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSAFProfilePrefix.)auditor       CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
  • 以后,如果您决定启用 SAF 授权,那么必须发出这些资源访问控制设施 (RACF) 命令以启用正确的 WebSphere Application Server 操作。通过将用户连接到配置组,可以使该用户能够访问所有管理功能:
    CONNECT  mvsid  GROUP(configGroup)
  • 另外,也可以通过发出以下 RACF 命令将各个用户指定到特定角色:
    PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
  • 不需要重新启动服务器以使 SAF EJBROLE 更改生效。但是,在进行 SAF 更改后,必须发出以下 RACF 命令或等效的安全性系统命令以刷新安全性表:
    SETROPTS RACLIST(EJBROLE)  REFRESH
  • 使用 WebSphere 授权功能来控制对管理角色的访问权:如果 com.ibm.security.SAF.authorization 设置为 false,那么将使用 WebSphere Application Server 授权功能和管理控制台来控制对管理角色的访问权。
[AIX Solaris HP-UX Linux Windows][IBM i]
  • 在将用户指定到管理角色之前,必须设置用户注册表。要了解有关受支持注册表类型的信息,请参阅选择注册表或存储库
  • 要将用户指定到管理角色,需要执行下列步骤。
[AIX Solaris HP-UX Linux Windows][IBM i]

关于此任务

请使用管理控制台将用户和组指定到管理角色以及标识能够执行 WebSphere Application Server 管理功能的用户。在管理控制台中:

过程

  1. 单击用户和组。单击管理用户角色管理组角色
  2. 要添加用户或组,请在“控制台用户”或“控制台组”面板上单击添加
  3. 要添加新的管理员用户,请按照页面上的指示信息执行操作以指定用户,然后选择管理员角色。将用户添加到“已映射至角色”列表后,单击确定。指定的用户将映射至安全角色。
  4. 要添加新的管理组,请按照页面上的指示信息执行操作以指定组名或特殊主体集,突出显示管理员角色,然后单击确定 指定的组或特殊主体集将映射至安全角色。
  5. 要移除用户或组指定,在“控制台用户”或“控制台组”面板上单击移除。在“控制台用户”或“控制台组”面板上,选中要移除的用户或组的复选框,然后单击确定
  6. 为了管理要显示的用户或组的集合,单击“用户角色或组角色”面板上的显示过滤器功能。在搜索项框中,输入值,然后单击执行。例如,user* 仅显示那些以 user 作为前缀的用户。
  7. 修改完成后,单击保存以保存映射。
  8. 重新启动 Application Server 以使更改生效。
  9. [AIX Solaris HP-UX Linux Windows][IBM i]关闭节点、Node Agent 和 Deployment Manager。
  10. [AIX Solaris HP-UX Linux Windows][IBM i]验证 Java 进程是否正在运行。 如果他们正在运行,请停止这些进程。
  11. [AIX Solaris HP-UX Linux Windows][IBM i]重新启动 Deployment Manager。
  12. [AIX Solaris HP-UX Linux Windows]重新同步节点。 要对节点进行再同步,请对每个节点运行 install_root/bin/syncNodeinstall_root/bin/syncNode.sh 命令。请使用 synchNode 命令。
  13. [IBM i]重新同步节点。 要对节点进行再同步,请从 Qshell 命令行中对每个节点运行 install_root/bin/syncNode 脚本。请使用 synchNode 命令。
  14. [AIX Solaris HP-UX Linux Windows]重新启动节点。 要重新启动节点,请对每个节点运行 install_root/bin/startNodeinstall_root/bin/startNode.sh 命令。请使用 startNode 命令。
  15. [IBM i]重新启动节点。 要重新启动节点,请从 Qshell 命令行中对每个节点运行 install_root/bin/startNode 脚本。请使用 startNode 命令。
  16. [AIX Solaris HP-UX Linux Windows][IBM i]如果可能的话,启动任何集群。
[AIX Solaris HP-UX Linux Windows]

下一步做什么

[AIX Solaris HP-UX Linux Windows]给用户指定管理角色后,必须重新启动 Deployment Manager 以使新的角色生效。但是,直到启用安全性后,管理资源才受保护。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tselugradro
文件名:tsec_tselugradro.html