Systemwalker Centric Manager 導入手引書 - UNIX共通 -
目次 索引 前ページ次ページ

[EE]
付録D IDカードセキュリティ・マネージャ起動条件記述ファイルの定義例

以下のような管理を想定した場合の、マネージャ起動条件記述ファイルの定義例を説明します。

ファイル記述方法詳

想定に合わせたマネージャ起動条件記述ファイルの記述方法を説明します。

◆基本情報(マネージャの動作環境)

設定する基本情報を以下に示します。

ポート番号

port

9343

エージェントが起動されている運用管理クライアントと接続するためのポート番号を指定します。省略した場合は、9343となります。

エージェントの動作

kind

NOTERM

操作の保護機能、IDカード/ICカード情報照会機能を使用します。

カードデータの有効時間

interval

300

単位:秒

ログ出力レベル

log

1

操作不可の情報だけが出力されます。

ログ出力ディレクトリ

ldir

/var/opt/FJSVsidcd/log

ログファイルを格納するディレクトリ名を128文字以内で指定します。省略した場合は、/var/opt/FJSVsidcd/log

ログサイズ

lsize

3

ログを切り替えるファイルのサイズ(1〜9)を指定します。省略値は、3です。

ログファイル数

lnum

3

保存するログファイル数(2〜9)を指定します。省略値は、3です。

マネージャ起動条件記述ファイルでは以下のような定義になります。

# IDCard-Security Manager Config
port=9343                         # ポート番号

# Execute Option
kind= NOTERM                      # エージェントの動作
interval=300                      # カードデータの有効時間

# Log-File
log=1                             # ログ出力レベル 
ldir=/var/opt/FJSVsidcd/log       # ログ出力ディレクトリ
lsize=3                           # ログサイズ
lnum=3                            # ログファイル数

◆操作判定情報

設定する操作判定情報を以下に示します。

操作の保護

ck_other

y

操作保護を実施する

カードの読み込み位置

pos=開始位置,長さ

0,8

カードの読み込み開始位置

未登録操作のレベル

level

127

管理者権限

マネージャ起動条件記述ファイルでは以下のような定義になります。

ck_other=y                        # 操作保護 

pos=0,8                           # カードの読み込み位置 
level=127                         # 未登録操作のレベル

1. 操作の権限を設定したいユーザのグループ分けを行います。(ユーザグループの登録)

グループが行う操作

ユーザグループ名

ユーザ名

カードデータ

(IC/IDカードに登録されている文字列)

基幹のサーバの管理

Kikan

OHTA

ABD00003

GOTO

ABD00005

業務のサーバの管理

Unyou

IKEDA

JKL00010

AOYAMA

JKL00021

マネージャ起動条件記述ファイルでは以下のような定義になります。

!User
Kikan
    OHTA,ABD00003
    GOTO,ABD00005
Unyou
    IKEDA,JKL00010
    AOYAMA,JKL00021
!User-End

2. 操作を行うために必要な権限のレベルを決めます。(操作のレベルの登録)

行う操作

操作レベル

製品名

判定を行う操作

[リモートコマンド]で、右記のコマンドを投入

ls -l

1

opmgr

"command ls -l"

kill

50

"command kill”

返答要求メッセージへの返答

20

reply

[操作]メニューに対する操作

5

apmenu

マネージャ起動条件記述ファイルでは以下のような定義になります。

!Operation
opmgr
  1,"command ls -l"
  50,"command kill"
  20,reply
  5,apmenu
!Operation-End

3. 製品名に対して実行可能なレベルを決めたグループ(条件グループ)を決めます。(条件グループの登録)

定義するグループの権限

条件グループ名

実行できる権限

製品名

ユーザレベル

一時利用者

Guest

製品名opmgr に対して1レベルまで実行可能

opmgr

1

一般権限用

User

製品名opmgr に対して20レベルまで実行可能

opmgr

20

管理者権限

Special

製品名opmgr に対して127(最大権限) レベルまで実行可能

opmgr

127

マネージャ起動条件記述ファイルでは以下のような定義になります。

!Condition
Guest
  opmgr,1
User
  opmgr,20
Special
  opmgr,127
!Condition-End

4. 操作対象に対して、条件グループとユーザグループを関連付けます。(グループへの条件の設定)

ユーザグループ

操作対象名
(操作する対象)

権限

設定する条件グループ

操作できる権限

Kikan

hostA

一般権限

User

ユーザグループ(Kikan)は、hostAに対して条件グループ(User)で設定した権限(一般権限)まで行える。

hostB

管理者権限

Special

ユーザグループ(Kikan)は、hostBに対して条件グループ(Special)で設定した権限(管理者権限)まで行える。

*

一時利用者

Guest

ユーザグループ(Kikan)は、hostA,hostB以外に対して、条件グループ(Guest)で設定した権限(一時利用者)まで行える。

Unyou

hostA

管理者権限

Special

ユーザグループ(Unyou)は、hostAに対して条件グループ(Special)で設定した権限(管理者権限)まで行える。

hostB

一般権限

User

ユーザグループ(Unyou)は、hostBに対して条件グループ(User)で設定した権限(一般権限)まで行える。

*

一時利用者

Guest

ユーザグループ(Unyou)は、hostA,hostB以外に対して、条件グループ(Guest)で設定した権限(一時利用者)まで行える。

マネージャ起動条件記述ファイルでは以下のような定義になります。

!!
Kikan
  object=hostA
  condition=User
  object=hostB
  condition=Special
  object=*
  condition=Guest
Unyou
  object=hostA
  condition=Special
  object=hostB
  condition=User
  object=*
  condition=Guest
!!

すべての定義を行ったマネージャ起動条件記述ファイルは以下のようになります。

[マネージャ起動条件記述ファイル完成例]

# IDCard-Security Manager Config
port=9343                         # ポート番号

# Execute Option
kind=NOTERM                       # エージェントの動作
interval=300                      # カードデータの有効時間

# Log-File
log=1                             # ログ出力レベル 
ldir=/var/opt/FJSVsidcd/log       # ログ出力ディレクトリ
lsize=3                           # ログサイズ
lnum=3                            # ログファイル数

ck_other=y                        # 操作保護 

pos=0,8                           # カードの読み込み位置 
level=127                         # 未登録操作のレベル

!User
Kikan
    OHTA,ABD00003                #(1)
    GOTO,ABD00005
Unyou
    IKEDA,JKL00010
    AOYAMA,JKL00021
!User-End

!Operation
opmgr                             #(4)
  1,"command ls -l"
  50,"command kill"
  20,reply
  5,apmenu
!Operation-End

!Condition
Guest
  opmgr,1
User
  opmgr,20                        #(3)
Special 
  opmgr,127
!Condition-End

!!
Kikan
  object=hostA
  condition=User                  #(2)
  object=hostB
  condition=Special
  object=*
  condition=Guest
Unyou
  object=hostA
  condition=Special
  object=hostB
  condition=User
  object=*
  condition=Guest
!!

1) KikanグループのOHTA(1)は、hostAに対してはUser条件グループの権限(2)である。

2) User条件グループの権限(2)は、製品名(opmgr)に対しては20のレベルを持っている(3)。

3) 製品名(opmgr)の操作は、(4)に設定されているレベルが必要である。

4) OHTAはhostAに対して、レベル1のリモートコマンド"ls -l"の実行はできるが、レベル50のリモートコマンド"kill"の実行はできない。


目次 索引 前ページ次ページ

All Rights Reserved, Copyright(C) 富士通株式会社 1995-2005