In der vorherigen Lerneinheit haben Sie Benutzerprincipals in der JAAS-Berechtigungsrichtlinie (Java Authentication and Authorization Service) einzelne benutzerbasierte Berechtigungen zugeordnet. Wenn Sie jedoch Hunderte oder Tausende von Benutzern haben, verwenden Sie die gruppenbasierte Berechtigung, die den Zugriff auf der Basis von Gruppen und nicht auf der Basis einzelner Benutzer autorisiert.
Leider enthält das Subject-Objekt, das über WebSphere Application Server authentifiziert wird, nur einen Benutzerprincipal. Dieses Objekt enthält keinen Gruppenprincipal. Sie können ein angepasstes Anmeldemodul hinzufügen, um den Gruppenprincipal in das Subject-Objekt einzutragen.
In diesem Lernprogramm hat das angepasste Anmeldemodul den Namen com.ibm.websphere.samples.objectgrid.security.lm.WASAddGroupLoginModule. Das Modul ist in der Datei groupLM.jar enthalten. Speichern Sie diese JAR-Datei im Verzeichnis WAS-INSTALL/lib/ext.
grant codebase "http://www.ibm.com/com/ibm/ws/objectgrid/security/PrivilegedAction"
principal com.ibm.websphere.sample.xs.security.WSGroupPrincipal
"defaultWIMFileBasedRealm/cn=operatorGroup,o=defaultWIMFileBasedRealm" {
permission com.ibm.websphere.objectgrid.security.MapPermission "Grid.Map1", "read";
};
grant codebase "http://www.ibm.com/com/ibm/ws/objectgrid/security/PrivilegedAction"
principal com.ibm.websphere.sample.xs.security.WSGroupPrincipal
"defaultWIMFileBasedRealm/cn=adminGroup,o=defaultWIMFileBasedRealm" {
permission com.ibm.websphere.objectgrid.security.MapPermission "Grid.Map1", "all";
};
Der Principalname ist WSGroupPrincipal und stellt die Gruppe dar.Verwenden Sie die folgenden Schritte, um das bereitgestellte Anmeldemodul "com.ibm.websphere.samples.objectgrid.security.lm.WASAddGroupLoginModule" zu konfigurieren:
Führen Sie in der Administrationskonsole die folgenden Schritte für die Server "xs1" und "xs2" im Cluster "xsCluster" aus. Wenn eine andere Implementierungstopologie verwendet wird, führen Sie die folgenden Schritte für die Anwendungsserver aus, die die Container-Server hosten.
Mit der Beispielanwendung können Sie prüfen, ob die Gruppenberechtigung vom Anmeldemodul konfiguriert wird.
Sie haben Gruppen konfiguriert, um die Zuordnung von Berechtigungen zu den Benutzern Ihrer Anwendung zu vereinfachen.