使用管理控制台创建细颗粒度管理授权组
可通过选择管理资源作为授权组的一部分,来创建细颗粒度的管理授权组。可以将用户或组指定给此新管理授权组,并且同时为他们提供对包含在其中的管理资源的访问权。
开始之前
过程
- 浏览到安全性 > 管理授权组 > 新建。
- 在名称字段中输入管理授权组的名称。 此字段是必填字段。此名称在单元结构中必须是唯一的。如果此名称不是唯一的,那么不会在此过程结束时创建新的管理授权组。
- 从“资源”部分选择您想要新的管理授权组控制其访问的资源。
用黑色文本显示的资源可供选择。
用灰色显示的资源已经是不同管理授权组的成员。因此,不能将这些资源包含在新的管理授权组中。当某个资源是另一个授权组的成员时,该组的名称就会显示在该资源名称旁边。例如:server_1 (group_1)
过滤选项包括以下各项:
- 节点。(与节点相关联的所有资源。)
- 服务器。(与服务器相关联的所有资源。)
- Web 服务器。(与 Web 服务器相关联的所有资源。)
- 集群。(与集群相关联的所有资源。)
- 应用程序。(与应用程序相关联的所有资源。)
- 节点组。(与节点组相关联的所有资源。)
- 所有范围。(显示授权组树的缺省视图。)
- 已分配的范围。(显示已显式地分配给当前授权组的所有范围。)
- 单击确定或应用。
- 如果要将用户角色关联到此新管理授权组,请执行以下操作:
- 单击位于“其他属性”部分下的管理用户角色。 可用的用户角色如下所示:
- 管理员
- 使用管理员角色的个人或组拥有操作员和配置员特权以及单独授予管理员角色的特权。例如,管理员可以完成下列任务:
- 修改服务器用户标识和密码。
- 配置认证和授权机制。
- 启用或禁用管理安全性。
- 启用或禁用 Java™ 2 安全性。
- 更改轻量级第三方认证 (LTPA) 密码并生成密钥。
- 在联合存储库配置中创建、更新或删除用户。
- 在联合存储库配置中创建、更新或删除组。
注: 管理员不能将用户和组映射至管理员角色。. - 配置员
- 使用配置员角色的个人或组拥有监视员特权以及更改 WebSphere® Application Server 配置的能力。配置员可以执行所有日常配置任务。例如,配置员可以完成下列任务:
- 创建资源。
- 映射应用程序服务器。
- 安装和卸载应用程序。
- 部署应用程序。
- 为应用程序指定从用户和组到角色的映射。
- 为应用程序设置 Java 2 安全许可权。
- 定制公共安全互操作性 V2 (CSIv2)、安全认证服务 (SAS) 和安全套接字层 (SSL) 配置。要点: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 SAS。
- 部署者
- 被授予此角色的用户可以对应用程序执行配置操作和运行时操作。
- 操作员
- 使用操作员角色的个人或组拥有监视员特权以及更改运行时状态的能力。例如,操作员可以完成下列任务:
- 停止和启动服务器。
- 在管理控制台中监视服务器状态。
- 监视员
- 使用监视员角色的个人或组拥有最少的特权。监视员可以完成下列任务:
- 查看 WebSphere Application Server 配置。
- 查看 Application Server 的当前状态。
- Admin 安全管理员
- 通过使用 Admin 安全管理员角色,可以对用户和组指定管理用户角色和管理组角色。但是,管理员不能对用户和组指定包括 Admin 安全管理员角色在内的管理用户角色和管理组角色。
- 单击添加...。 将显示“新建用户”页面。
- 从角色列表框中选择相应的角色。
- 通过在搜索字符串字段中输入文本来选择一个或多个用户,然后单击搜索。单击箭头以将一个或多个可用用户添加到已映射至角色字段。 可通过单击全选来选择多个用户和角色。
- 单击确定。 将返回“管理用户角色”页面。会在“管理用户角色”表中显示新用户及其相应的角色。
- 对要进行角色映射的每个新用户重复步骤 B 到 E。
- 单击位于“其他属性”部分下的管理用户角色。 可用的用户角色如下所示:
- 如果要将组关联到此新用户角色,请执行以下操作:
- 单击位于“其他属性”部分下的管理组角色。
- 单击添加...。 将显示“新建组”页面。
- 从角色列表框中选择一个或多个相应角色。
- 通过在搜索字符串字段中输入文本来选择一个或多个用户,然后单击搜索。单击箭头以将一个或多个可用用户添加到已映射至角色字段。 可通过单击全选来选择多个用户和角色。
- 选择从特殊主体集中选择或按如下指定来映射组选项。
如果选中从特殊主体集中选择选项,那么可以选择 ALL AUTHENTICATED 或 ALL AUTHENTICATED IN TRUSTED REALMS 值。
可用和已映射至角色字段中将显示用户组和角色列表。从可用字段中选择用户组,然后从已映射至角色字段中选择要与一个或多个组相关联的角色。可以选择多个组和角色。
- 单击确定。 将返回“管理组角色”页面。“管理组角色”表中会显示此新组及其角色。
- 对要进行角色映射的每个新组重复步骤 B 到 E。
- 如果要创建另一个管理授权组,请单击应用。 创建了当前管理授权组。重复步骤 2 到 6 以创建另一个管理授权组。
- 如果不想创建另一个管理授权组,请单击确定。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_create_admin_auth_group
文件名:tsec_create_admin_auth_group.html