WebSphere Application Server V7 高级安全性加强，第 1 部分：安全性加强概述和方法（下）

核心提示： 与大多数系统一样，WebSphere Application Server 允许多个主体担任管理员，WebSphere Application Server V7 高级安全性加强，第 1 部分：安全性加强概述和方法（下）(9)，只需使用管理应用程序并进入系统管理控制台用户（或用户组）部分，指定应

与大多数系统一样，WebSphere Application Server 允许多个主体担任管理员。只需使用管理应用程序并进入系统管理控制台用户（或用户组）部分，指定应该授予管理权限的其他用户或用户组。当进行这样的授权之后，在管理 WebSphere Application Server 时每个人都可以以自己的身份进行身份验证。从 WebSphere Application Server 5.0.2 开始，会导致更改 WebSphere Application Server 配置的所有管理操作都需要经过部署管理器的审核，包括执行更改的主体的身份。从 V7 开始，引入了一个新的审计框架，它可以提供更详细的管理操作审计信息。显然，如果每个管理员有单独的身份，这些审计记录会更有用。

在由中心管理员管理多个 WebSphere Application Server 计算单元的环境中，为每个管理员授予单独的管理访问权限会非常方便。虽然每个计算单元都有自己的本地 “根” ID 和密码，但是可以配置所有这些计算单元以共享公共注册表，这样管理员就可以使用相同的 ID 和密码来管理每个计算单元。

23. 利用管理角色

根据版本不同，WebSphere Application Server 允许不同的管理角色：Administrator、Operator、Monitor、Configurator、 AdminSecurityManager、iscadmins、Deployer、Auditor。这些角色使得授予个人（和自治系统）适当的访问权限成为可能。强烈建议尽可能利用角色。通过使用权限较少的 Monitor 和 Operator 角色，可以限制管理员能够执行的操作。例如，可以只授予较为低级的管理员启动和停止服务器的能力；只授予夜间操作员监视系统的能力（Monitor）。这些操作让人员只具有他们需要的权限，从而极大地限制了损害风险。