このトピックでは、デフォルトの管理対象 Bean (MBean) セキュリティー・ポリシーについて説明します。 ほとんどの場合、 MBean の開発者はセキュリティー・ポリシーを指定する必要はありません。
<MBean type="ConfigRepository" version="5.0" platform="common" description="Management interface for the configuration repository." configureMBean="true">
<MBean type="EJBModule" j2eeType="EJBModule" version="5.0" platform="dynamicproxy" resourceIdentifierKey="Application" resourceType="Application" deployerMBean="true" description="Management interface for the EJBModule component.">
WebSphere Application Server の拡張役割ベースのアクセス制御は、 役割の継承をサポートしています。 管理役割には、管理者、コンフィギュレーター、オペレーター、 デプロイヤー、およびモニターの 5 つがあります。 モニター役割は、最小特権の管理役割です。 モニター役割を付与されるユーザーは、 WebSphere Application Server の構成およびランタイム状況を表示することはできますが、 変更を行うことはできません。 他の管理役割には、モニター役割と同じ特権に加えて、 それぞれ固有の特権セットがあります。
コンフィギュレーター役割には、 WebSphere Application Server の構成データを変更する権限が与えられています。オペレーター役割には、 ランタイムの状態 (管理リソースの開始および停止など) を変更する権限が与えられています。 コンフィギュレーター役割ではランタイム状況を変更することはできず、 逆にオペレーター役割では、WebSphere Application Server の構成は変更できません。 管理者役割には、 コンフィギュレーター役割とオペレーター役割が含まれるだけでなく、その両者を合わせたよりも多くの権限が与えられます。 管理者役割では、 管理セキュリティー構成を変更することもできます。 管理役割の継承関係を簡単な図で表します。 デプロイヤー役割は、アプリケーション管理のコンフィギュレーター役割とオペレーター役割を組み合わせたものです。 デプロイヤー役割は、アプリケーションに対してコンフィギュレーターとオペレーターの両方の権限を持っていま す。 管理役割の継承関係を図で表します。
インパクト値が INFO である構成 MBean メソッドには、 モニター役割が必要です。 インパクト値が ACTION である構成 MBean メソッドには、 コンフィギュレーター役割が必要です。インパクト値が INFO であるデプロイヤー MBean メソッドには、 モニター役割が必要です。 インパクト値が ACTION であるデプロイヤー MBean メソッドには、 デプロイヤー役割が必要です。 管理役割はすべてモニター役割でもあるので、 どの管理役割でも、インパクト値が INFO である構成 MBean メソッドとデプロイヤー MBean メソッドにアクセスできます。 管理者役割はコンフィギュレーター役割でもあるので、 インパクト値が ACTION である構成 MBean メソッドにアクセスできます。
構成 MBean のデフォルトのセキュリティー・ポリシーを要約すると、 次の表のようになります。
メソッド・インパクト | モニター役割 | オペレーター役割 | コンフィギュレーター役割 | デプロイヤー役割 | 管理者役割 |
---|---|---|---|---|---|
INFO | X | X | X | X | X |
ACTION | X | X |
オペレーション MBean のデフォルトのセキュリティー・ポリシーを要約すると、 次の表のようになります。
メソッド・インパクト | モニター役割 | オペレーター役割 | コンフィギュレーター役割 | デプロイヤー役割 | 管理者役割 |
---|---|---|---|---|---|
INFO | X | X | X | X | X |
ACTION | X | X |
デプロイヤー MBean のデフォルトのセキュリティー・ポリシーを要約すると、 次の表のようになります。
メソッド・インパクト | モニター役割 | オペレーター役割 | コンフィギュレーター役割 | デプロイヤー役割 | 管理者役割 |
---|---|---|---|---|---|
INFO | X | X | X | X | X |
ACTION | X | X | X |
MBean の configureMBean 属性と deployerMBean 属性が、 ともに true に設定されている場合、すべてのアクションに必要な役割は、 コンフィギュレーターまたはモニターのいずれかです。 そのような MBean は、現在システムには定義されていません。