您可以使用角色和组来保护 作业调度程序。如果用户和作业是相同组的成员并且用户角色允许执行操作,那么该用户可以对该作业执行操作。
开始之前
启动 Deployment Manager 和所有 Node Agent。
关于此任务
启用
WebSphere® Application Server 全局安全性。配置联合存储库的用户注册表网桥。
安装和配置 VMM SAF 映射模块并将该模块添加到三个登录模块中。然后,使用 RACF® 创建一个组并将用户添加到该组中。将组分配给作业。定义 lradmin 和 lrsubmitter 角色的 EJBROLE 概要文件。
过程
- 启用全局安全性。
请阅读
WebSphere Application Server 文档中关于启用安全性的部分并遵循指示信息执行操作。在“全局安全性”面板上,请确保选择了以下选项。
- 启用管理安全性和启用应用程序安全性
- 联合存储库(对于可用的领域定义)
- 启用 SAF 委派(对于授权提供程序)
- 配置联合存储库的用户注册表网桥。
请阅读 WebSphere Application Server 文档中关于使用 wsadmin 脚本编制来配置联合存储库的用户注册表网桥的部分并遵循指示信息执行操作。
- 安装和配置 SampleVMMSAFMappingModule 模块。
请阅读关于为产品安装和配置定制系统授权工具映射模块的部分并遵循指示信息执行操作。将模块添加到 WEB_INBOUND、RMI_INBOUND 和 DEFAULT 登录模块。
- 同步更改并重新启动单元。
- 创建组并向该组添加用户。
请阅读 RACF 用户指南《安全服务器 RACF 常规用户指南》中关于创建组并向该组添加用户的信息。
- 设置用于指示批处理环境所使用的策略的定制属性。
- 展开。
- 在“其他属性”下,单击。
- 在名称字段中,输入 JOB_SECURITY_POLICY,然后在值字段中,输入 GROUP。
- 单击确定。
- 将组分配给作业。
作业属于用户组和管理组。如果未定义 JOB_SECURITY_ADMIN_GROUP 变量,那么作业调度程序会自动将管理组分配给每一个作业。
- 定义 lradmin 和 lrsubmitter 角色的 EJBROLE 概要文件。
如果使用 z/OS® 操作系统上的系统授权工具 (SAF) EJBROLE 概要文件来管理基于角色的安全性,请定义 lradmin 和 lrsubmitter 角色的 EJBROLE 概要文件。允许将这些角色分配给批处理作业管理员和提交者的相应 SAF 用户标识。
结果
您已创建了一个组并将用户分配给该组。还允许向用户标识分配相应的角色,以便在角色允许执行操作时,用户可以管理作业。
下一步做什么
使用组和角色安全性管理作业。
- 提交作业。
- 让您在上一步中创建的用户对该作业执行操作(例如通过查看作业日志)。