作业管理器安全性

在灵活管理环境中,必须有一个用户标识有权使用作业管理器和处理已注册的节点。

必需安全角色

您需要下列角色才能使用作业管理器:

表 1. 作业管理器任务的必需安全角色. 角色包括管理员、操作员、配置员和监视员。
管理任务 必需安全角色
向作业管理器注册或注销 管理员
提交作业 操作员
更改作业管理器配置 配置员
阅读作业管理器配置或作业历史记录 监视员

如果由管理代理程序管理的基本(独立)应用程序服务器节点向作业管理器注册,那么您需要下列角色才能使用管理代理程序并管理其节点:

表 2. 管理代理程序任务的必需安全角色. 角色包括管理员以及操作或节点所需的角色。
管理任务 必需安全角色
向管理代理程序注册或注销基本(独立)节点 管理员
使用管理代理程序: 正在执行的操作所需的管理角色
使用管理子系统,例如已注册的节点 已注册的基本节点所需的管理角色

作业在目标上运行时,用户必须具有包括该作业所需的角色在内的特权。例如,要创建应用程序服务器的作业至少需要基本节点或 WebSphere® Application Server Network Deployment 单元中的配置员角色。

远程主机上的 Installation Manager 或 Liberty作业的安全性

当访问的远程主机需要用户名和密码时(例如,Installation Manager 或 Liberty),您必须提供有效的操作系统用户名和密码,才能在远程主机上运行作业。您可以提供以下类型的授权:

操作系统用户名和密码
用户名和密码是主机的登录值。如果主机不需要密码,那么在提交作业时不需要提供密码。
Sudo
如果要让一个替代用户在主机上执行命令,那么可以在作业运行前使用 sudo 更改用户,然后根据需要指定替代用户的用户名和密码。sudo 意味着“替代用户执行”。如果主机不需要密码,那么在提交作业时不需要提供密码。
公用-专用密钥认证
可以使用公用/专用密钥认证。当提交作业时,可以指定密钥库的完整路径,如果密钥库需要,那么同时指定口令。安全 Shell (SSH) 专用密钥使管理员能够以特定用户名在远程主机上运行作业。该密钥对密码加密,以防止其他用户使用。

对于 Liberty 服务器,您使用的授权类型取决于为每个主机配置的用户名:

单个用户名
如果所有主机都仅使用一个用户名,那么只须确保 Liberty资源的安装目录对于该用户是可写的。要支持向不同主机提交作业,请确保在各个主机上配置了相同的用户名或者使用 SSH 密钥作为各个主机的不同用户名进行认证。
切换到单个用户名
如果主机支持多用户名,那么可以以不同用户名提交作业,但应使用 sudo 切换到单个通用用户名。只有通用用户名才能管理 Liberty资源。此用户名通常配置为禁用登录。
不同用户名
在某些配置中,可以以不同操作系统用户名安装各个 Liberty资源。例如,共享资源可能以一个或多个用户名安装,并且设置为全局只读或者对特定操作系统组只读。非共享的工作资源可以为不同用户名专门创建。

可以通过控制各个资源的根目录的文件许可权来控制可以安装 Liberty资源的人员。如果将该目录设置为仅对一个用户可写,那么只有一个用户可以安装至此目录。如果将该目录设置为对一组用户可写,那么属于该组的用户都可以将资源安装在该根目录下。如果将该目录设置为全局可写,那么所有用户都可以安装至此目录。

在安装期间,可以设置禁止其他用户修改资源的文件许可权。例如,可以预先创建带有文件许可权的 ${WLP_WORKING_DIR}/project1,这样它仅对特定用户或特定组可写。在用户安装新的 Liberty(例如,server1)后,可以配置 ${WLP_WORKING_DIR}/project1/server1,这样其他用户无法对其进行更改。

当多个用户可以访问资源时,必须设置使库存作业能够查找所有可用资源的变量或作业参数:

  • 您必须定义 WLP_ADDITIONAL_DIRS 变量,以便在所有相关路径中搜索资源;或者
  • 必须确保所有资源对于用于运行库存作业的用户名为可读。资源必须创建为全局可读,操作系统组使用属于该组的用户名可读取这些资源,或者必须使用 root 用户名运行库存作业。

基本安全配置

管理代理程序和作业管理器支持两种不同的基本安全配置:

  • 同一个安全域

    在此配置中,拓扑中的所有单元共享同一个用户注册表,因此共享同一个安全域。对于管理代理程序及其已注册的基本节点,以及对于拓扑中的任何作业管理器或 WebSphere Application Server Network Deployment 单元,情况亦如此。

  • 不同的安全域

    在此配置中,对所有单元配置了不同的用户注册表,因此配置了不同的安全域。

对于管理代理程序拓扑,当用户登录到管理子系统的 JMX 连接器端口或者从管理控制台中选择已注册的节点时,将使用基本节点的授权表。

例如,假定 User1 被授予第一个基本节点的管理员权限,但未被授予第二个节点的权限。User2 被授予第二个节点的配置员权限,但未被授予第一个节点的权限。“同一个用户注册表”图演示了此示例:

“同一个安全域”配置

并且,假定 User1 能够使用用户名和密码以操作员身份登录到作业管理器。User1 能够使用用户名和密码以监视员身份登录到 Deployment Manager。“不同的用户注册表”图演示了此示例:

“不同的安全域”配置

虽然 User1 对于作业管理器和 Deployment Manager 而言用户名相同,但 User1 有可能具有不同的用户名和密码。

转移安全性信息

当产品将一个作业从作业管理器转移到管理代理程序、Deployment Manager 或主机时,产品还将转移关于作业提交者的安全性信息。此转移将在运行作业的同时对用户进行认证和授权。下列用户安全性信息可能随提交的作业一起传递:

  • 用户名和密码

    提交作业时,用户可以指定用户名和密码。当作业到达管理子系统或 Deployment Manager 时,将使用用户名和密码进行登录。

    对于“同一个用户注册表”配置,如果 John 向第一个基本节点提交作业,那么他可以在该作业中指定他的用户名和密码。将使用该用户名和密码来登录到第一个管理子系统,接着作业运行。如果 John 向 Deployment Manager 单元 或第二个基本节点提交作业,那么该作业将由于 John 不具有权限而失败。

    对于“不同的用户注册表”配置,John 可以向 Deployment Manager 单元提交作业并指定他在 Deployment Manager 单元上的用户名和密码。该作业到达 Deployment Manager 时,登录成功,该作业运行。如果 John 向基本节点提交作业,那么访问将被拒绝,并且该作业失败。

  • 安全性令牌

    如果用户未随作业一起指定用户名和密码,那么该用户的凭证将自动作为安全性令牌保存在数据库中。令牌包含用户安全性属性,包括组。提取一个作业时,将使用令牌向管理子系统或 Deployment Manager 进行认证和授权。

    对于“同一个用户注册表”配置,John 可以向第一个基本节点提交作业,而不必指定用户名和密码。此作业将运行,这是因为,John 的凭证将自动作为安全性令牌传播到管理子系统并用于为作业进行认证和授权。如果 John 向第二个基本节点或 Deployment Manager 单元提交作业,那么该作业将失败,这是因为他的安全性令牌在这两个环境中不具有权限。

    对于“不同的用户注册表”配置,用户的安全性令牌不会自动允许提交的作业针对管理子系统或 Deployment Manager 运行。要对另一个领域启用用户令牌,您必须使用“多安全域”功能。首先,必须使作业管理器领域作为已注册的基本节点和 Deployment Manager 单元的可信领域。另外,必须将用户的访问标识从作业管理器导入到本地授权表并对该访问标识指定角色。然后,该用户就可以提交作业,而不必传递用户名和密码。

    假定 John 在作业管理器上是操作员,但他的访问标识作为第一个基本节点的管理授权表中的管理员导入。虽然 John 在基本节点的用户注册表中不存在,但通过传递安全性令牌和管理授权表定义,John 在基本节点上具有管理员权限。John 可以对第一个基本节点提交作业,而不必指定用户名或密码。

    如果 John 向 Deployment Manager 提交作业,那么该作业将失败。John 的安全性令牌来自作业管理器领域,John 的访问标识尚未获得 Deployment Manager 授权。在这种情况下,管理员可以从作业管理器导出 John 的访问标识并将其导入到 Deployment Manager 中。另外,John 也可以在传递他在 Deployment Manager 上拥有的用户名和密码的情况下提交作业,这将使 John 能够以监视员角色运行作业。

    使用细颗粒安全性功能时,同一机制也适用。您必须在新授权组的授权表中获得授权。授权表还可以包含外部访问标识。

混合注册表配置

在更复杂的拓扑中,某些单元共享同一个用户注册表,而另一些单元并非如此,下列规则适用:

  • 如果目标节点或 Deployment Manager 识别您的用户名和密码,那么您始终可以在作业提交期间指定用户名和密码。
  • 如果作业管理器与目标节点或 Deployment Manager 使用同一个用户注册表,那么作业提交不需要用户名和密码。但是,您在目标节点或 Deployment Manager 上必须具有权限。
  • 如果作业管理器以及目标节点或 Deployment Manager 使用不同的用户注册表,已建立可信领域,并且已将作业提交者的访问标识导入到目标节点或 Deployment Manager 的管理授权表中,那么作业提交不需要用户名和密码。

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cagt_jobmgr_security
文件名:cagt_jobmgr_security.html