管理基于角色的访问控制(RBAC)
IBM WebSphere Business
Integration Server 的一个重要功能是可以对使用角色访问系统的用户授予许可权,该功能称为基于角色的访问控制(RBAC)。角色可以容易地由管理员定义并分配给一组用户,以将对重要组件的访问权仅限于已验证的用户。可以根据功能关联来分配角色,这将显著减少管理负担。将角色分配给一个或多个用户将允许他们仅访问角色定义中包括的系统组件。
使用 RBAC 功能可以确保只有具有管理角色许可权的管理员或用户才允许创建用户和分配角色。如果 RBAC
在服务器上处于不活动状态,则任何用户都可以创建用户和角色而不需要进行验证。
注:
当在 InterChange Server Express 中激活
RBAC 时,RBAC 运行时状态会显示在“系统管理器”屏幕上。
有关配置基于角色的访问控制的信息,请参阅设置 RBAC 的步骤。
注:
失败事件管理器使用 RBAC 功能来建立角色,这些角色管理对失败事件信息的访问控制。
本节包括以下主题:
设置 RBAC 的步骤
取消激活 RBAC 的步骤
管理角色
管理用户
管理用户和角色分配
管理安全策略许可权
管理成员和安全策略信息
安全管理
设置 RBAC 的步骤
在设置 RBAC 之前,必须至少对一个用户分配管理员角色。如果没有对任何用户分配管理员角色,则服务器将总是在禁用 RBAC 的情况下重新引导。执行下列步骤来设置基于角色的访问控制:
- 在“安全性 RBAC”选项卡(位于服务器的“编辑配置”上下文菜单中)上,选择“启用 RBAC”的复选框。
- 选择要应用基于角色的访问控制的用户注册表,即“存储库”或 LDAP。
注:
如果您选择 LDAP 用户注册表,则必须确保设置服务器隐私密钥库以保证正常的功能。
- 在“服务器启动用户名”字段中,输入要启动服务器的用户名。
- 在“服务器启动密码”字段中,输入与用户名相关联的密码。
- 如果您选择了“存储库”,则在以下字段中输入详细信息:
- 主机名
- 数据库
- 端口号
- 用户名
- 密码
- 最大连接数,它是用户可以打开的最大连接数
- 最大连接重试次数,它是您可以尝试启动连接的最大次数
- 连接重试时间间隔,它是连接重试之间的时间量
- 如果您选择了 LDAP,则在以下字段中输入详细信息:
- LDAP Url,它是 LDAP 安装的 URL
- 用户名,它是用户帐户,不区分大小写
- 密码,它是用户帐户的密码
- 用户基本 DN,它是基本专有名称并且充当所有搜索和更新的根
- 用户名属性,它是 InterChange Server 用作为用户名的模式中的属性
- 搜索条件,它是检索 LDAP 用户时要使用的搜索条件,是可选的
- 最大搜索返回,它是从搜索返回的最大条目数
- SSL,当它设置为 True 时,将使用 SSL 协议保护连接
- 要打开“审计”设置,选择“启用审计”复选框并在以下字段中输入详细信息:
- 审计日志目录,它是审计日志文件的路径
- 审计日志频率,例如,每天、每周或每月
- 审计文件大小,它是审计文件的最大大小,以 MB 计
取消激活 RBAC 的步骤
执行下列步骤来取消激活 RBAC:
- 在“安全性 RBAC”选项卡上,选择“启用 RBAC”复选框。禁用 RBAC 功能会导致该屏幕中的所有字段变灰。
管理角色
基于角色的访问控制(RBAC)支持多个用户和基于角色的增强型安全性功能。角色是一组共享公共功能的用户。将功能分配到角色可以使管理员在许可权分配期间减少负担,从而能够更有效地工作。
如果服务器的功能不再需要某个角色,则您可以选择从列表中删除该角色。一旦删除某个角色,则会从适用的用户中除去该角色的所有引用。
注:
失败事件管理器也使用
RBAC 功能来建立角色,这些角色管理对失败事件信息的访问控制。
创建角色的步骤
执行下列步骤来创建角色:
- 右键单击服务器名并从列表中选择“用户和角色”。
- 在“用户和角色管理”选项卡上,选择“角色”选项卡。
- 右键单击主“角色”文件夹并选择“新建角色”。这将显示“角色名称”对话框。
- 输入角色名称。一旦命名了角色,就不能重新命名它。
- 必要时,输入角色描述。角色描述是可选字段。
- 选择确定。
删除角色的步骤
执行下列步骤来删除角色:
注:
角色 administrator 是缺省值,不能删除它。它是区分大小写的。
- 右键单击服务器名并从列表中选择“用户和角色”。
- 右键单击角色并选择“删除角色”。
- 当出现提示时,选择“确定”以删除角色。一旦删除了角色,就不能恢复它。
管理用户
在“用户和角色管理”屏幕上,角色列示在树目录屏幕下。您可以将一个用户分配到任何数目的角色中。分配到角色的用户列示在他们所分配的角色下的树目录中,以便可以快速容易地看到许可权和责任。
另外,您可以导入或导出用户信息供 RBAC 功能使用。
添加用户的步骤
执行下列步骤来将用户添加至 RBAC:
- 右键单击服务器名并从列表中选择“用户和角色”。
- 在“用户和角色管理”选项卡上,选择“用户”选项卡。
- 右键单击主“用户”文件夹并选择“新建用户”。这将显示“创建用户”对话框。
- 在“用户名”字段中,输入用户的名称。
- 在“密码”字段中,输入用户的密码。
- 确认密码。
- 在“专有名称”、“公共名”和“姓氏”字段中添加信息。
- 选择确定。
删除用户的步骤
执行下列步骤来从 RBAC 删除用户:
注:
Guest 是唯一的缺省用户,不能删除它。
- 右键单击服务器名并从列表中选择“用户和角色”。
- 右键单击用户并选择“删除用户”。
- 当出现提示时,选择“确定”以删除用户。删除某个用户会将该用户从所有预先分配的角色中除去。
导入用户和密码的步骤
执行下列步骤来将用户和密码导入到 RBAC:
注:
当 DATABASE 是用户注册表时,支持导入用户。然而,对于
LDAP 用户注册表,此功能不受支持。建议您创建中央用户注册表数据库或中央 LDAP 注册表,以使多台
InterChange Server Express 机器都能够使用此中央注册表,而不是在各台 InterChange
Server Express 机器之间传送用户注册表。
- 右键单击服务器名并选择“导入 > 用户注册表”。这将显示“导入”对话框,您可以在该对话框中指定二进制文件的路径。此路径应该在正在运行
InterChange Server Express 的服务器上有效。
- 选择要导入的文件。
导出用户和密码的步骤
执行下列步骤来将用户和密码导出到 RBAC:
注:
当 DATABASE 是用户注册表时,支持导出用户。然而,对于
LDAP 用户注册表,此功能不受支持。建议您创建中央用户注册表数据库或中央 LDAP 注册表,以使多台
InterChange Server Express 机器都能够使用此中央注册表,而不是在各台 InterChange
Server 机器之间传送用户注册表。
- 右键单击服务器名并选择“导出 > 用户注册表”。这将显示“导出”对话框,您可以在该对话框中指定文件路径。
- 选择要导出的文件的目标。此路径应该在正在运行
InterChange Server 的服务器上有效。
管理用户和角色分配
将角色分配给可用的用户可以大大减轻管理员分配对重要功能的各种许可权的负担。可以将用户分配到许多角色中,所有角色由用户的登录标识进行控制。分配到角色的用户列示在他们所分配的角色下的树目录中。执行下列步骤来将角色分配给用户:
将角色分配给用户的步骤
执行下列步骤来将角色分配给用户:
- 右键单击服务器名并选择“用户和角色”。
- 从列表中选择您要将角色分配到的用户。
- 右键单击用户名并选择“添加角色”。这将显示“添加角色”对话框,该对话框列示所有可用的角色。
- 选择一个或多个角色以分配给用户。
- 选择确定。
从角色中除去用户的步骤
执行下列步骤来从角色列表中除去用户:
- 右键单击服务器名并选择“用户和角色”。
- 从列表中选择您要从角色许可权中除去的用户。
- 右键单击用户名并选择“除去角色”。
- 当出现提示时,选择确定。这将从角色列表中除去该用户并从用户概要文件中除去所有角色许可权。
管理安全策略许可权
作为管理员,您可以将许可权分配给 RBAC 内的缺省角色。这些安全策略以及允许每个角色访问的操作列示在树目录中。
表 16 列示服务器中可以保护的操作。
表 16. 受保护的服务器操作
可保护的组件 |
访问受控制的操作 |
服务器 |
- 启动
- 关闭
- 安全性/管理用户/角色
- 监视
- 查看失败事件
- 部署
- 导出
- 删除
- 编译
- 导出配置文件
- 部署配置文件
|
协作模板 |
- 编译
|
协作对象 |
- 启动
- 停止
- 暂停
- 关闭
- 执行(AccessFramework 调用)
- 解析事务性状态
- 提交失败事件
- 删除失败事件
- 取消 LLBP 流
|
连接器 |
- 启动
- 停止
- 暂停
- 关闭代理程序
- 提交失败事件
- 删除失败事件
|
业务对象 |
|
业务规则 |
- 启动
- 停止
- 暂停
|
映射 |
- 编译
- 启动
- 停止
|
关系 |
- 启动
- 停止
|
基准程序 |
- 启动
- 停止
|
调度程序 |
|
DBConnectionCache |
|
管理成员和安全策略信息
管理员可以从任何已授权的服务器导入要用于 RBAC 功能的成员和安全策略信息。相反,也可以将成员关系和安全策略信息导出到文件以供在其它服务器上使用或进行存储。
导入成员和安全策略信息
执行下列步骤来导入成员或安全策略信息:
- 右键单击服务器名并选择“导入角色和安全策略”。这将显示“导入”对话框,您可以在该对话框中指定文件路径。
- 选择要导入的文件。如果您在“用户/角色管理”视图处于活动状态时导入信息,则更改将会在您关闭并重新打开该视图时才显示。
注:
您也可以在使用
repos_copy 时使用
-xmsp 选项来导入信息。有关使用
repos_copy 的信息,请参阅
使用 repos_copy。
导出成员和安全策略信息
执行下列步骤来导出成员或安全策略信息:
- 右键单击服务器名并选择“导出角色和安全策略”。这将显示“导出”对话框,您可以在该对话框中指定文件路径。
- 选择要导出的文件的目标。
注:
您也可以在使用
repos_copy 时使用
-xmsp 选项来导出信息。有关使用
repos_copy 的信息,请参阅
使用 repos_copy。
安全管理
作为管理员,您可以使用安全管理功能监视 RBAC 中角色的使用情况。InterChange
Server Express 在表中列示活动的用户,该表显示用户名、会话标识和用户登录到服务器已花费的时间。
注:
建议您不定期地刷新用户列表以保持准确的用户显示。通过在上下文菜单中选择“刷新”选项来刷新用户列表。
查看活动用户
执行下列步骤来查看活动用户:
- 右键单击服务器名并选择“安全性管理”。这将打开一个对话框,该对话框以表的格式显示所有活动用户。
注销活动用户
执行下列步骤来注销服务器的活动用户:
- 要将用户从所有会话中注销,从活动用户列表中选择要注销的用户。
- 要将用户从所选会话中注销,选择“注销会话”。
