|
Systemwalker Centric Manager 導入手引書 - UNIX共通 -
|
目次
索引
 
|
[EE]
2.17.4.1 マネージャ起動条件記述ファイルの作成
マネージャ起動条件記述ファイルは、マネージャを起動するための情報をエディタを使用して以下の形式で作成します。
- 1レコード256桁(バイト)以内で作成します。
- #以降はコメントとみなされます。
- キーワード(“port”、“kind”など)と“=”の間には空白を入れず、連続して記述します。
IDカードセキュリティの各機能に必要な起動条件ファイルの内容を以下に示します。
|
機能 |
マネージャ起動条件ファイル内容 |
|
端末の保護 |
基本情報および操作判定情報内のユーザ情報 |
|
操作の保護 |
基本情報および操作判定情報内を設定 |
|
IDカード/ICカード情報照会 |
基本情報を設定 |
◆基本情報
マネージャの動作環境を記述します。なお、省略値がない項目は省略することはできません。
- port:
- エージェントが起動されている運用管理クライアントと接続するためのポート番号を指定します。省略した場合は、9343となります。通常、このパラメタは省略します。
- kind:
- マネージャが管理するエージェントの動作を指定します。なお、エージェント起動条件ファイルに指定されている場合は、エージェントはその指定内容で動作します。
- NOTERM(省略値):
- 操作の保護機能、IDカード/ICカード情報照会機能だけ使用します。
- TERM:
- 操作の保護機能、IDカード/ICカード情報照会機能、および端末の保護機能を使用します。
- interval(単位:秒):
- カードデータの有効時間を指定します。(0〜3600秒)
エージェントは指定した時間、無操作状態(PC端末に入力がない状態)が続いた場合、以下に示す処理を行います。
|
カードリーダのタイプ |
端末の保護機能を使用する場合 |
操作の保護機能またはIDカード/ICカード情報照会機能のみを使用する場合 |
|
手動スライド式 |
- カードデータが無効になります。
- PC端末がロックされます(カードセキュリティウィンドウ内にマウスポインタが閉じ込められます)。
- PC端末のブザーが鳴ります。
|
- カードデータが無効になります。
- PC端末のブザーが鳴ります。
|
|
モータ式 |
- PC端末のブザーが鳴ります。
- IDカードの取り出し忘れの警告メッセージが表示されます。
|
- PC端末のブザーが鳴ります。
- IDカードの取り出し忘れの警告メッセージが表示されます。
|
|
ICカード |
- カードデータが無効になります。
- PC端末がロックされます(カードセキュリティウィンドウ内にマウスポインタが閉じ込められます)。
- PC端末のブザーが鳴ります。
- ICカードの取り出し忘れの警告メッセージが表示されます。
|
- カードデータが無効になります。
- PC端末のブザーが鳴ります。
- ICカードの取り出し忘れの警告メッセージが表示されます。
|
また、0秒を指定した場合、上記処理は行いません。
- log:
- 端末の保護機能、および操作の保護機能で操作ログを出力する場合に出力する種類(1から6)を指定します。ログを出力しない場合は指定しません。ログファイルの種類については“Systemwalker Centric Manager 使用手引書 監視機能編”を参照してください。
- ldir:
- ログファイルを格納するディレクトリ名を128文字(バイト)以内で指定します。省略した場合は以下のディレクトリに出力します。省略値以外を指定した場合、バックアップコマンドによるログファイルの退避は行われません。
/var/opt/FJSVsidcd/log
- lsize(単位:100KB):
- ログを切り替えるファイルのサイズ(1〜9)を指定します。省略値は3です。
- lnum:
- 保存するログファイル数(2〜9)を指定します。省略値は3です。
◆操作判定情報
- ck_other:
- Systemwalkerコンソールでの操作に対する操作保護を実施するかを指定します。ここで対象となる操作は、操作保護の対象となっている操作に限られます。操作保護を実施する場合は、“y”を指定します。操作保護を実施しない場合は、“n”(省略値)を指定します。
対象となる操作については“IDカードセキュリティの対象となる操作の設定”を参照してください。
IDカードセキュリティを使用した運用を行わない場合
IDカードセキュリティを使用した運用をしていたが、今後運用しないようにする場合、ck_other に“n”を指定します。
- pos:
- カードの読み込み開始位置、および読み込む長さを指定します。指定方法を以下に示します。
pos=開始位置,長さ
- 開始位置:
- IDカードまたはICカードのデータ領域内の開始位置(0〜68)を指定します。
- 長さ:
- 読み込む長さ(1〜69バイト)を指定します。
- level:
- 操作の保護機能で判定を行う操作が登録されていない場合の操作レベル(0〜127)を指定します。省略値は127です。
1) ユーザおよびユーザグループの登録 (!User 〜 !User-End)
“!User” から “!User-End”までの間にユーザグループ名と、そのユーザグループに所属するユーザ名、およびユーザのカードデータを以下の形式で記述します。(_: 空白またはタブ)
- ユーザグループ名:
- グループが認識できる一意の名前を英数字16文字以内で指定します。
- ユーザ情報(ユーザ名,カードデータ):
- 1個以上の空白またはタブの後にユーザ名、およびユーザのカードデータを記述します。
- ユーザ名:
- ユーザが識別できる一意の名前を英数字16文字以内で指定します。
- カードデータ:
- IDカードまたはICカードのposで指定した位置のデータを指定します。カードデータの文字列内に空白・カンマ(,)・#がある場合は文字列を引用符(")で囲みます。また、文字列内に\または引用符(")がある場合は、それぞれの文字の前に\を指定します。
2) 操作のレベルの登録
“!Operation”から“!Operation-End”までの間に、IDカードセキュリティで操作権限の判定を行う製品名と、その製品の操作に対するレベルを記述します。(_: 空白またはタブ)
- 製品名:
- 操作チェックする製品名を指定します。(英数字9文字以内)
指定する操作名については“IDカードセキュリティの対象となる操作の設定”を参照してください。
また、作成したアプリケーションから操作の保護機能を使用する場合は、製品名が重ならないように注意してください。
- 操作の登録(操作レベル,判定を行う操作):
- 1個以上の空白またはタブの後に操作レベルとその製品の操作を表す文字列を指定します。
- 操作レベル:
- 操作のレベル(0〜127)を指定します。
なお、レベル0の操作は、カードによるユーザの照会を行わないため、すべてのユーザが操作可能となります。
- 判定を行う操作:
- 操作の保護で指定する操作の文字列を128文字(バイト)以内で指定します。操作の文字列内に空白・カンマ(,)・#がある場合は文字列を引用符(")で囲みます。また、文字列内に\または引用符(")がある場合は、それぞれの文字の前に\を指定します。
ここで定義されていない操作に対しての操作レベルを登録する場合は、'*'を指定します。
操作名については“IDカードセキュリティの対象となる操作の設定”を参照してください。
3) 条件グループの登録
“!Condition”から“!Condition-End”までの間に一意の条件グループ名とそのグループにまとめる操作を記述します。(_: 空白またはタブ)
- 条件グループ名:
- 条件グループ名を英数字16文字以内の一意の名前で指定します。
- 操作可能条件(製品名,ユーザレベル):
- 1個以上の空白またはタブの後に製品と操作可能なレベルを指定します。
- 製品名:
- 操作のレベルの登録で指定した製品名を指定します。
- ユーザレベル:
- ユーザが操作可能なレベルを指定します。
4) グループへの条件の設定
“!!”から“!!”の間にグループの登録で設定したユーザグループが操作可能な条件を記述します。(_: 空白またはタブ)
- ユーザグループ名:
- ユーザグループの登録で指定したユーザグループ名を指定します。
- 操作対象名(object):
- 1個以上の空白またはタブの後、“object=”に続いて操作の保護機能で指定する操作対象名を64文字(バイト)以内で指定します。設定する操作対象名が複数ある場合は、カンマ(,)で区切って指定します。
オブジェクトと条件グループとの組み合わせが複数ある場合、object・conditionを一組として複数指定します。また、“*”を指定すると、個別に定義した操作対象名に当てはまらないものという扱いになります。
ここで指定する操作対象名については“IDカードセキュリティの対象となる操作の設定”を参照してください。
- 操作可能条件グループ名(condition):
- 1個以上の空白またはタブの後、“condition=”に続いて操作可能な条件グループ名を指定します。設定する操作可能条件グループが複数ある場合は、カンマ(,)で区切って指定します。オブジェクトと条件グループとの組み合わせが複数ある場合、object・conditionを一組として複数指定します。
■操作の可否判定
操作の保護機能を使用する場合、操作の可否は、指定した操作とカードデータを基に、マネージャ起動条件記述ファイルの操作判定情報により判定されます。
指定したレベルと操作の可否の判定は以下のようになります。
マネージャ起動条件記述ファイルに登録していない項目の可否判定を以下に示します。
|
登録していない項目 |
判定可否の動作 |
|
「ユーザ名」 |
ユーザレベルは0となり、判定を行う。
操作レベルが0の「判定を行う操作」に対してのみ操作ができる。 |
|
操作のレベルの登録の「製品名」 |
登録していない製品名に対しては操作はできない。 |
|
操作のレベルの登録の「判定を行う操作」 |
levelオペランドで指定した値を操作レベルとして判定する。
該当する製品で「判定を行う操作」を“*”の指定がある場合は、その操作レベルとなる。 |
|
条件グループ情報の「製品名」 |
ユーザレベルを0として判定する。
操作レベルが0の「判定を行う操作」に対してのみ操作ができる。 |
|
グループの条件の設定の「操作対象名」 |
ユーザレベルを0として判定する。
操作レベルが0の「判定を行う操作」に対してのみ操作ができる。
“object=*” の指定がある場合は、conditionオペランドで指定した条件グループのユーザレベルで判定を行う。 |
また、操作の保護機能(API)で、操作対象名または操作名を省略(NULL)した場合の操作の可否判定を以下に示します。
|
API |
ユーザグループの条件情報(object) |
|
“*”指定なし |
“*”指定あり |
|
操作対象名省略 |
ユーザレベルを0として判定 |
“object=*”のconditionオペランドで指定した条件グループで判定 |
|
API |
操作レベル情報(操作名) |
|
“*”指定なし |
“*”指定あり |
|
操作名省略 |
操作レベルを1として判定 |
操作名“*”の操作レベルで指定した値を操作レベルとして判定 |
端末の保護機能をWindows(R) XPで使用する場合
- 端末の保護機能をWindows(R) XPで使用する場合、ユーザアカウントの設定にて[ようこそ画面を使用する]にチェックがされている場合は、チェックを外してください。[Ctrl+Alt+Del]でのログオフ/シャットダウンが使用できないため、idcstpwdコマンドによるエージェントの終了が実施できない場合があります。
- デスクトップに作成したショートカットのプロパティで設定できる“ショートカットキー”は端末の保護機能を使用している場合、ロックができないため設定しないでください。
All Rights Reserved, Copyright(C) 富士通株式会社 1995-2005