缺省 MBean 安全策略
此主题讨论缺省受管 Bean (MBean) 安全策略。在大多数情况下,MBean 开发者不必指定安全策略。
- 配置类型 MBean
- 运行时类型 MBean
- 部署者类型 MBean
<MBean type="ConfigRepository"
version="5.0"
platform="common"
description="Management interface for the configuration repository."
configureMBean="true">
<MBean type="EJBModule" j2eeType="EJBModule"
version="5.0"
platform="dynamicproxy"
resourceIdentifierKey="Application"
resourceType="Application"
deployerMBean="true"
description="Management interface for the EJBModule component.">
WebSphere® Application Server 扩展的基于角色的访问控制支持角色继承。存在五种管理角色:管理员、配置员、操作员、部署者和监视员。监视员角色是拥有最低级别特权的管理角色。被授予监视员角色的用户可查看 WebSphere Application Server 配置和运行时状态,但不能进行任何更改。其他每个管理角色都有自己的一组唯一特权及与监视员角色相同的特权。
配置员角色具有修改 WebSphere Application Server 配置数据的许可权。操作员角色具有更改运行时状态(如管理资源的启动和停止)的许可权。配置员角色不能更改运行时状态,反过来,操作员角色不能更改 WebSphere Application Server 配置。管理员角色包括配置员和操作员角色,但其许可权比配置员角色和操作员角色的许可权组合要大。管理员角色还可以更改管理安全性配置。管理角色继承关系用一个简单的图片做了说明。部署员角色是应用程序管理的配置员角色和操作员角色的组合。部署员角色具有配置员和操作员对应用程序的许可权。管理角色继承关系用一个图做了说明。
- get 方法具有影响值 INFO,而 write 方法具有影响值 ACTION。
- 在 ConfigRepository MBean 中,extract 方法不会更改配置数据,并且具有影响值 INFO,而 modify 方法具有影响值 ACTION。
- 在 Java™ 虚拟机 (JVM) MBean(操作员类型的 MBean)中,ggetCurrentTimeInMillis 方法具有影响值 ACTION。
具有影响值 INFO 的配置 MBean 方法需要监视员角色。具有影响值 ACTION 的配置 MBean 方法需要配置员角色。具有影响值 INFO 的部署者 MBean 方法需要监视员角色。具有影响值 ACTION 的部署者 MBean 方法需要部署者角色。因为所有管理角色都是监视员角色,所以任何管理角色都可以访问影响值为 INFO 的配置 MBean 方法和部署者 MBean 方法。管理员角色是配置员角色,并且可以访问影响值为 ACTION 的配置 MBean 方法。
配置 MBean 的缺省安全策略在下表中做了总结:
方法影响 | 监视员角色 | 操作员角色 | 配置员角色 | 部署者角色 | 管理员角色 |
---|---|---|---|---|---|
INFO | X | X | X | X | X |
ACTION | X | X |
操作 MBean 的缺省安全策略在下表中做了总结:
方法影响 | 监视员角色 | 操作员角色 | 配置员角色 | 部署者角色 | 管理员角色 |
---|---|---|---|---|---|
INFO | X | X | X | X | X |
ACTION | X | X |
部署者 MBean 的缺省安全策略在下表中做了总结:
方法影响 | 监视员角色 | 操作员角色 | 配置员角色 | 部署者角色 | 管理员角色 |
---|---|---|---|---|---|
INFO | X | X | X | X | X |
ACTION | X | X | X |
如果 MBean 同时将 configureMBean 属性和 deployerMBean 属性设置为 true,那么所有操作必需的角色为配置员或监视员。系统中尚未定义此类 MBean。