Systemwalker Centric Manager 導入手引書 - UNIX共通 - |
目次 索引 |
以下のような管理を想定した場合の、マネージャ起動条件記述ファイルの定義例を説明します。
想定に合わせたマネージャ起動条件記述ファイルの記述方法を説明します。
設定する基本情報を以下に示します。
ポート番号 |
port |
9343 |
エージェントが起動されている運用管理クライアントと接続するためのポート番号を指定します。省略した場合は、9343となります。 |
エージェントの動作 |
kind |
NOTERM |
操作の保護機能、IDカード/ICカード情報照会機能を使用します。 |
カードデータの有効時間 |
interval |
300 |
単位:秒 |
ログ出力レベル |
log |
1 |
操作不可の情報だけが出力されます。 |
ログ出力ディレクトリ |
ldir |
/var/opt/FJSVsidcd/log |
ログファイルを格納するディレクトリ名を128文字以内で指定します。省略した場合は、/var/opt/FJSVsidcd/log |
ログサイズ |
lsize |
3 |
ログを切り替えるファイルのサイズ(1〜9)を指定します。省略値は、3です。 |
ログファイル数 |
lnum |
3 |
保存するログファイル数(2〜9)を指定します。省略値は、3です。 |
マネージャ起動条件記述ファイルでは以下のような定義になります。
# IDCard-Security Manager Config port=9343 # ポート番号 # Execute Option kind= NOTERM # エージェントの動作 interval=300 # カードデータの有効時間 # Log-File log=1 # ログ出力レベル ldir=/var/opt/FJSVsidcd/log # ログ出力ディレクトリ lsize=3 # ログサイズ lnum=3 # ログファイル数
設定する操作判定情報を以下に示します。
操作の保護 |
ck_other |
y |
操作保護を実施する |
カードの読み込み位置 |
pos=開始位置,長さ |
0,8 |
カードの読み込み開始位置 |
未登録操作のレベル |
level |
127 |
管理者権限 |
マネージャ起動条件記述ファイルでは以下のような定義になります。
ck_other=y # 操作保護 pos=0,8 # カードの読み込み位置 level=127 # 未登録操作のレベル
グループが行う操作 |
ユーザグループ名 |
ユーザ名 |
カードデータ (IC/IDカードに登録されている文字列) |
基幹のサーバの管理 |
Kikan |
OHTA |
ABD00003 |
GOTO |
ABD00005 |
||
業務のサーバの管理 |
Unyou |
IKEDA |
JKL00010 |
AOYAMA |
JKL00021 |
マネージャ起動条件記述ファイルでは以下のような定義になります。
!User Kikan OHTA,ABD00003 GOTO,ABD00005 Unyou IKEDA,JKL00010 AOYAMA,JKL00021 !User-End
行う操作 |
操作レベル |
製品名 |
判定を行う操作 |
|
[リモートコマンド]で、右記のコマンドを投入 |
ls -l |
1 |
opmgr |
"command ls -l" |
kill |
50 |
"command kill” |
||
返答要求メッセージへの返答 |
20 |
reply |
||
[操作]メニューに対する操作 |
5 |
apmenu |
マネージャ起動条件記述ファイルでは以下のような定義になります。
!Operation opmgr 1,"command ls -l" 50,"command kill" 20,reply 5,apmenu !Operation-End
定義するグループの権限 |
条件グループ名 |
実行できる権限 |
製品名 |
ユーザレベル |
一時利用者 |
Guest |
製品名opmgr に対して1レベルまで実行可能 |
opmgr |
1 |
一般権限用 |
User |
製品名opmgr に対して20レベルまで実行可能 |
opmgr |
20 |
管理者権限 |
Special |
製品名opmgr に対して127(最大権限) レベルまで実行可能 |
opmgr |
127 |
マネージャ起動条件記述ファイルでは以下のような定義になります。
!Condition Guest opmgr,1 User opmgr,20 Special opmgr,127 !Condition-End
ユーザグループ |
操作対象名 |
権限 |
設定する条件グループ |
操作できる権限 |
Kikan |
hostA |
一般権限 |
User |
ユーザグループ(Kikan)は、hostAに対して条件グループ(User)で設定した権限(一般権限)まで行える。 |
hostB |
管理者権限 |
Special |
ユーザグループ(Kikan)は、hostBに対して条件グループ(Special)で設定した権限(管理者権限)まで行える。 |
|
* |
一時利用者 |
Guest |
ユーザグループ(Kikan)は、hostA,hostB以外に対して、条件グループ(Guest)で設定した権限(一時利用者)まで行える。 |
|
Unyou |
hostA |
管理者権限 |
Special |
ユーザグループ(Unyou)は、hostAに対して条件グループ(Special)で設定した権限(管理者権限)まで行える。 |
hostB |
一般権限 |
User |
ユーザグループ(Unyou)は、hostBに対して条件グループ(User)で設定した権限(一般権限)まで行える。 |
|
* |
一時利用者 |
Guest |
ユーザグループ(Unyou)は、hostA,hostB以外に対して、条件グループ(Guest)で設定した権限(一時利用者)まで行える。 |
マネージャ起動条件記述ファイルでは以下のような定義になります。
!! Kikan object=hostA condition=User object=hostB condition=Special object=* condition=Guest Unyou object=hostA condition=Special object=hostB condition=User object=* condition=Guest !!
すべての定義を行ったマネージャ起動条件記述ファイルは以下のようになります。
[マネージャ起動条件記述ファイル完成例]
# IDCard-Security Manager Config port=9343 # ポート番号 # Execute Option kind=NOTERM # エージェントの動作 interval=300 # カードデータの有効時間 # Log-File log=1 # ログ出力レベル ldir=/var/opt/FJSVsidcd/log # ログ出力ディレクトリ lsize=3 # ログサイズ lnum=3 # ログファイル数 ck_other=y # 操作保護 pos=0,8 # カードの読み込み位置 level=127 # 未登録操作のレベル !User Kikan OHTA,ABD00003 #(1) GOTO,ABD00005 Unyou IKEDA,JKL00010 AOYAMA,JKL00021 !User-End !Operation opmgr #(4) 1,"command ls -l" 50,"command kill" 20,reply 5,apmenu !Operation-End !Condition Guest opmgr,1 User opmgr,20 #(3) Special opmgr,127 !Condition-End !! Kikan object=hostA condition=User #(2) object=hostB condition=Special object=* condition=Guest Unyou object=hostA condition=Special object=hostB condition=User object=* condition=Guest !!
1) KikanグループのOHTA(1)は、hostAに対してはUser条件グループの権限(2)である。
2) User条件グループの権限(2)は、製品名(opmgr)に対しては20のレベルを持っている(3)。
3) 製品名(opmgr)の操作は、(4)に設定されているレベルが必要である。
4) OHTAはhostAに対して、レベル1のリモートコマンド"ls -l"の実行はできるが、レベル50のリモートコマンド"kill"の実行はできない。
目次 索引 |