WebSphere Application Server предоставляет возможность обеспечения безопасности административной консоли, чтобы использовать ее могли только пользователи, прошедшие аутентификацию. Обратите внимание, что включение административной безопасности не приводит к включению безопасности приложений.
В версии 6.1 вы можете включить административную безопасность в ходе установки и создания профилей. Если сделать это в распределенной системе, вы автоматически получите файловый реестр пользователей, в который будет включен выбранный вами административный пользовательский ID. Данный реестр позже можно интегрировать с реестром, выбранным для обеспечения безопасности приложений. На платформах z/OS вы будете иметь возможность использовать файловый реестр или же защищенную базу данных z/OS, совместимую с SAF. Вы можете включить административную безопасность после создания профиля, используя административную консоль, для чего нужно перейти к пункту Security (Безопасность) → Secure administration, applications, and infrastructure (Защитить администрирование, приложения и инфраструктуру). Такой способ обеспечивает большую гибкость при определении параметров безопасности.
Прежде чем включать любой тип защиты, вам нужно заполнить элементы конфигурации, относящиеся к аутентификации, авторизации и сфере действия (реестр пользователей). Также вам нужно занести в выбранный реестр пользователей, как минимум, один пользовательский идентификатор, который будет использоваться как ID администратора.
Рис. 4.13. Включение административной безопасности
Внимание. Помните, что когда вы устанавливаете флажок, включающий административную безопасность, автоматически устанавливаются флажки безопасности приложений и безопасности Java 2. Если вы не готовы на данном этапе использовать системы безопасности Java 2 и приложений, обязательно снимите эти флажки.
Административная безопасность основывается на идентификации пользователей и групп, которые определены в действующем реестре пользователей, и на назначении ролей каждому из этих пользователей. Когда вы выполняете вход в административную консоль, вы должны правильно указать пользовательский ID и пароль. Роль пользовательского ID определяет, какие административные действия данный пользователь может производить.
Тонкая настройка административной безопасности (новинка).
В версиях WebSphere Application Server, предшествующих 6.1, пользователи, получившие роль администратора, могли администрировать все экземпляры ресурсов в ячейке. В версии 6.1 административные роли теперь определяются относительно экземпляров ресурсов, а не относительно всей ячейки. Ресурсы, требующие одинаковых привилегий доступа, помещаются в группу, которая называется группой авторизации. Пользователям может быть предоставлен доступ к группе авторизации путем назначения им необходимой административной роли внутри данной группы.
Группа авторизации масштаба ячейки существует для обратной совместимости: пользователи, которым назначена роль администратора в группе авторизации ячейки, по-прежнему имеют доступ ко всем ресурсам ячейки.
• Administrator (Администратор).
Роль администратора имеет привилегии оператора, конфигуратора, а также права, необходимые для доступа к критичным данным, включая пароль сервера, пароль и ключи LTPA (Lightweight Third Party Authentication) и т. д.
• Configurator (Конфигуратор).
Роль конфигуратора имеет права мониторинга и возможность изменять конфигурацию WebSphere Application Server.
• Operator (Оператор).
Роль оператора имеет права мониторинга и возможность изменять состояние среды исполнения. Например, оператор может запускать и останавливать службы.
• Deployer (Специалист по размещению).
Роль специалиста по размещению доступна только для пользователей wsadmin, но не для пользователей административной консоли. Пользователи, которым присвоена эта роль, могут выполнять как операции по конфигурированию, так и операции периода выполнения над приложениями.
• AdminSecurityManager (Менеджер административной безопасности).
Роль менеджера административной безопасности доступна только для пользователей wsadmin, но не для пользователей административной консоли. С помощью wsadmin пользователи, которым назначена данная роль, могут назначать пользователям административные роли. Если включена тонкая настройка административной безопасности, пользователи с этой ролью могут управлять группами авторизации.
• Iscadmins (Консольные администраторы).
Данная роль имеет административные привилегии для управления пользователями и группами только из административной консоли.
Управление назначением ролей осуществляется из административной консоли. Перейдите к пункту Users and groups (Пользователи и группы) → Administrative User Roles (Административные роли пользователей) или Users and groups (Пользователи и группы) → Administrative Group Roles (Административные роли групп).
Если вы используете файловое хранилище, вы можете добавлять пользователей и группы при помощи консоли, для чего нужно открыть пункт Users and groups (Пользователи и группы) → Manage Users (Управление пользователями) или Users and groups (Пользователи и группы) → Manage Groups (Управление группами).
После сохранения конфигурации вы должны перезапустить сервер приложений в автономной серверной среде или администратор развертывания в распределенной серверной среде.
В следующий раз при входе в административную консоль вам нужно будет пройти аутентификацию как пользователя, которому назначена административная роль. При вводе команд в окне команд вам также будет предложено указать пользовательский ID и пароль.