コンソール・ユーザーを追加することと、コンソール・ユーザーにセルを許可することには、ユーザー・レジストリーと許可設定の調整が伴います。 ユーザー・レジストリーのカスタム・プロパティーにより、コンソール・ユーザーに対する許可の形式が決まります。 使用される許可の形式に関係なく、WebSphere 管理者の識別用 MVS ユーザー ID では、 セキュリティーが最初に有効になると、すべての管理コンソール機能にアクセスでき、 管理スクリプト・ツールを使用することができるようになります。
ローカル以外のオペレーティング・システムのレジストリーおよび SAF 許可が使用されている場合は、ID マッピングを使用して WebSphere Application Server ID を SAF ユーザー ID にマップする必要があります。コンソールの役割を SAF 許可によって管理するには、セルに対して SAF 許可をオンにする必要があります。SAF 許可を使用可能にするには、 「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」>「外部許可プロバイダー」とクリックして、次に「System Authorization Facility (SAF) の許可」をクリックします。 このオプションを使用可能にすると、SAF EJBROLE プロファイルはコンソール・ユーザーの許可に使用されます。 このオプションが使用可能になっていない場合には、コンソール・ユーザーおよびグループを許可するために、 デフォルトで管理コンソールが使用されます。
SAF 許可を使用した管理機能へのアクセスの制御
RDEFINE EJBROLE (optionalSecurityDomainName.)administrator UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)monitor UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)configurator UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)operator UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)deployer UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)adminsecuritymanager UACC(NONE) PERMIT (optionalSecurityDomainName.)administrator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSecurityDomainName.)monitor CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSecurityDomainName.)configurator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSecurityDomainName.)operator CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSecurityDomainName.)deployer CLASS(EJBROLE) ID(configGroup) ACCESS(READ) PERMIT (optionalSecurityDomainName.)adminsecuritymanager CLASS(EJBROLE) ID(configGroup) ACCESS(READ)追加ユーザーが管理機能へのアクセスを必要とする場合、次の RACF コマンドを発行することによって、ユーザーを上記の任意の役割に許可することができます。
PERMIT (optionalSecurityDomainName.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
CONNECT mvsid GROUP(configGroup)
WebSphere 許可を使用した管理機能へのアクセスの制御:
管理の役割にユーザーを割り当てるには、以下のステップを行います。