作业调度程序安全性概述
用户可以对作业采取的操作取决于正在实施的安全模型。用户对作业采取的操作既可以基于角色,又可以基于组,还可以是这两者的组合。
基于角色的安全性
启用了基于角色的安全性时,您必须具有 lrsubmitter 角色、lradmin 角色或 lrmonitor 角色才能对作业执行操作。无论作业所有权如何,分配有 lradmin 角色的用户有权对所有作业执行所有作业调度程序应用程序操作。分配有 lrsubmitter 角色的用户只能对提交者所拥有的作业执行查看和其他操作。分配有 lrmonitor 角色的用户只能查看所有用户的作业和作业日志。
组安全性
在组安全性模型中,只有组群关系才是所有与作业相关的安全性决策的基础。管理员不会将作业角色分配给特定的用户。只有当用户和作业是相同组的成员时,该用户才能完成对该作业的操作。例如,如果两个用户都是相同组的成员并且每一个用户都提交已分配给该相同组的作业,那么这两个用户都可以查看这两个作业中的任一作业并对其执行操作。
因为 WebSphere® Application Server 会对作业调度程序操作执行基于角色的检查,所以必须将 lradmin 角色单独分配给应用程序领域中的所有已认证用户。该组中的用户具有与 lradmin 角色相同的权限,并且可以对组中的作业执行与 lradmin 角色相同的操作。
用户和组成员资格
组安全性功能需要组成员资格 SPI 的实现或支持组成员资格(例如轻量级目录访问协议 (LDAP))且配置为联合存储库的用户资源库。
您可以使用组成员资格过滤器 SPI 来扩充联合存储库。
如果使用存储库,那么必须将该存储库配置为联合存储库,即使 WebSphere Application Server 配置只使用单个存储库也是如此。联合存储库功能支持多种存储库技术(包括本地操作系统、LDAP 和 Active Directory)。
此外,联合存储库功能还支持系统授权工具 (SAF)。
使用存储库时,必须通过已配置的存储库技术的管理功能来定义所有 WebSphere Application Server 用户和组。
组和角色安全性
在组和角色安全性模型中,组群关系和基于角色的安全性管理与作业相关的安全性决策。这表示,只有当用户和作业是相同组的成员并且该用户的角色允许执行作业操作时,该用户才能执行与作业相关的操作。
例如,如果两个用户都是相同组的成员并且每一个用户都提交已分配给该相同组的作业,那么这两个用户都可以查看这两个作业中的任一作业并对其执行操作(取决于他们的角色分配)。如果第一个用户具有 lradmin 角色,那么该用户可以查看这两个作业并对它们执行作业操作。如果第二个用户具有 lrsubmitter 角色,那么该用户只能查看第二个用户提交的作业并对该作业执行作业操作。如果第二个用户具有 lrmonitor 角色而不具有 lrsubmitter 角色,那么不允许该用户提交作业,但允许该用户查看第一个用户提交的作业。