WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: AIX , HP-UX, i5/OS, Linux, Solaris, Windows, Windows Vista, z/OS

             目次と検索結果のパーソナライズ化

管理の役割へのアクセスの許可

ユーザーおよびグループを管理者の役割へ割り当て、 WebSphere Application Server の管理機能が実行可能なユーザーを識別できます。

始める前に

管理役割により、WebSphere Application Server の管理機能へのアクセスを制御できます。 管理の役割 にあるこれらの役割の説明を参照してください。

[z/OS]
  • System Authorization Facility (SAF) 許可を使用した管理役割へのアクセスの制御: com.ibm.security.SAF.authorization を true に設定すると、管理役割へのアクセス制御に、SAF EJBROLE プロファイルが使用されます。
  • Customization Dialog で、 セキュリティー・ドメイン・セットアップ時に「Use SAF EJBROLE profiles to enforce Java 2 Platform, Enterprise Edition (J2EE) roles」を選択した場合、カスタマイズ・ジョブによって次の管理役割が定義されます。 セキュリティー・ドメイン・セットアップ時に、 セキュリティー・ドメイン名が指定される場合があります。また、configGroup は選択した WebSphere Application Server 構成グループ名を表します。SAF 役割名では、大/小文字が区別されます。
    RDEFINE EJBROLE (optionalSecurityDomainName.)administrator UACC(NONE)
    RDEFINE EJBROLE (optionalSecurityDomainName.)monitor       UACC(NONE)
    RDEFINE EJBROLE (optionalSecurityDomainName.)configurator  UACC(NONE)
    RDEFINE EJBROLE (optionalSecurityDomainName.)operator      UACC(NONE)
    
    PERMIT (optionalSecurityDomainName.)administrator CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSecurityDomainName.)monitor       CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSecurityDomainName.)configurator  CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    PERMIT (optionalSecurityDomainName.)operator      CLASS(EJBROLE) ID(configGroup) ACCESS(READ)
    
  • 将来 SAF 許可を使用することを決定した場合は、適切な WebSphere Application Server 操作を使用可能にするため、上記の Resource Access Control Facility (RACF) コマンドを実行する必要があります。 次のように、構成グループに接続することによって、すべての管理機能にユーザー・アクセスを付与することができます。
    CONNECT  mvsid  GROUP(configGroup)
  • 次の RACF コマンドを発行して、 個々のユーザーに特定の役割を割り当てることもできます。
    PERMIT (optionalSecurityDomainName.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
  • SAF EJBROLE の変更を有効にする場合、 サーバーを再始動する必要はありません。ただし、SAF が変更されたら、 次の RACF コマンド (またはセキュリティー・システムの同等のコマンド) を発行して、 セキュリティー・テーブルを更新する必要があります。
    SETROPTS RACLIST(EJBROLE)  REFRESH
  • WebSphere 許可を使用した管理役割へのアクセスの制御: com.ibm.security.SAF.authorization を false に設定すると、 管理役割へのアクセス制御に、WebSphere Application Server 許可と管理コンソールが使用されます。
[AIX HP-UX Linux Solaris Windows] [i5/OS]
  • ユーザーに管理役割を割り当てる前に、ユーザー・レジストリーを設定する必要があります。 サポートされるレジストリー・タイプの詳細については、レジストリーまたはリポジトリーの選択 を参照してください。
  • ユーザーを管理役割に割り当てるには、以下のステップに従う必要があります。

このタスクについて [AIX HP-UX Linux Solaris Windows] [i5/OS]

管理コンソールを使用して、 ユーザーおよびグループを管理役割に割り当て、WebSphere Application Server の管理機能を 実行できるユーザーを識別します。管理コンソールで以下を実行します。

プロシージャー

  1. ユーザーおよびグループ」をクリックします。「Administrative User Roles」または「Administrative Group Roles」のいずれかをクリックします。
  2. ユーザーまたはグループを追加するには、「Console users」または「Console groups」パネルで「追加」をクリックします。
  3. 新規の管理者ユーザーを追加するために、「ユーザー」フィールドにユーザー ID を入力し、 「管理者」を強調表示して、「OK」をクリックします。検証エラーが発生しない場合は、指定したユーザーが、 割り当てられたセキュリティー役割とともに表示されます。
  4. 新規の管理グループを追加するには、「Specify group」フィールドにグループ名を入力するか、 「特別な対象」メニューから EVERYONE または ALL AUTHENTICATED を選択し、「管理者」を強調表示にして「OK」をクリックします。妥当性検査エラーが発生しなければ、指定したグループまたは特別な対象が、割り当てられたセキュリティー役割と共に表示されます。
  5. ユーザーまたはグループの割り当てを除去するには、「Console User」または「Console Group」パネルで「除去」をクリックします。「Console Users」または「Console Groups」パネル で、除去するユーザーまたはグループのチェック・ボックスを選択してから、「OK」をクリックします。
  6. ユーザーまたはグループのセットの表示を管理するには、 「User Roles」または「Group Roles」のパネルで、 「フィルター機能を表示」をクリックします。 「検索項目」ボックスに、値を入力して「実行」をクリックします。 例えば、user* は、user という接頭部を持つユーザーのみを表示します。
  7. 変更が完了したら、「保管」をクリックしてマッピングを保管します。
  8. アプリケーション・サーバーを再始動して変更を有効にします。
  9. [AIX HP-UX Linux Solaris Windows] [i5/OS] ノード、ノード・エージェント、およびデプロイメント・マネージャーをシャットダウンします。
  10. [AIX HP-UX Linux Solaris Windows] [i5/OS] Java プロセスが実行されていないことを確認します。 実行されている場合は、それらのプロセスの実行を中止します。
  11. [AIX HP-UX Linux Solaris Windows] [i5/OS] デプロイメント・マネージャーを再始動します。
  12. [AIX HP-UX Linux Solaris Windows] ノードを再同期します。 ノードを再同期するには、それぞれのノードに install_root/bin/syncNode または install_root/bin/syncNode.sh コマンドを実行します。 詳しくは、資料の syncNode コマンドを参照してください。
  13. [i5/OS] ノードを再同期します。 ノードを再同期するには、各ノードの Qshell コマンド行から、install_root/bin/syncNode スクリプトを実行します。詳しくは、資料の syncNode コマンドを参照してください。
  14. [AIX HP-UX Linux Solaris Windows] ノードを再始動します。 ノードを再始動するには、 それぞれのノードに install_root/bin/startNode または install_root/bin/startNode.sh コマンドを実行します。詳しくは、資料の startNode コマンドを参照してください。
  15. [i5/OS] ノードを再始動します。 ノードを再始動するには、各ノードの Qshell コマンド行から、install_root/bin/startNode スクリプトを実行します。詳しくは、資料の startNode コマンドを参照してください。
  16. [AIX HP-UX Linux Solaris Windows] [i5/OS] 該当する場合は、すべてのクラスターを開始します。

次の作業 [AIX HP-UX Linux Solaris Windows]

[AIX HP-UX Linux Solaris Windows] ユーザーを 管理役割に割り当てたら、新しい役割を有効にするために、デプロイメント・マネージャーを再始動する必要があります。 ただし、管理リソースは、セキュリティーを使用可能にするまでは保護されません。




サブトピック
管理ユーザーの役割設定および CORBA ネーミング・サービス・ユーザー設定
管理グループの役割および CORBA ネーミング・サービス・グループ
ネーミング役割へのユーザーの割り当て
管理の役割に関する変更の Tivoli Access Manager への伝搬
Tivoli Access Manager 用 migrateEAR ユーティリティー
関連概念
役割ベースの許可
アクセス制御の例外
管理役割およびネーミング・サービスの許可
関連タスク
役割へのユーザーおよびグループの割り当て
RunAs 役割へのユーザーの割り当て
[z/OS] ローカル OS レジストリー使用時のコンソール・ユーザーへのアクセス制御
リソースへのアクセスの許可
関連資料
[AIX HP-UX Linux Solaris Windows] syncNode コマンド
[AIX HP-UX Linux Solaris Windows] startNode コマンド
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/tsec_tselugradro.html