Systemwalker Operation Manager 導入手引書 - UNIX共通 - - Microsoft(R) Windows(R) 2000/Windows Server(TM) 2003 -

目次 索引

2.3.4 セキュリティの定義

Systemwalker Operation Managerでは、サービス/デーモンが使用する資源にアクセスできるユーザを任意に設定し、利用者を制限することができます。

Systemwalker Operation Managerの利用者を制限できるのは、ファイルシステムがNTFSの場合に限ります。FATを使用している場合には利用できません。【Windows版】

■swadminグループの作成

デマンドジョブの投入、ジョブ実行制御属性のジョブネット起動およびジョブスケジューラのコマンドの利用者を制限するには、swadminグループが必要です。

• Windows版の場合

  swadminグループはSystemwalker Operation Managerのサーバインストール時に自動的に生成されます。一度生成されたswadminグループは、[Operation Manager共通パラメタの定義]ウィンドウで利用者の限定を解除しても削除はされません。

• UNIX版の場合

  定義手順を行う前に/etc/groupファイルにswadminグループを作成し、ジョブスケジューラおよびジョブ実行制御のコマンド機能の使用を許可するユーザをすべてswadminグループに登録してください。

■定義手順

1. [Operation Manager共通パラメタの定義]ウィンドウの表示

   [Systemwalker Operation Manager環境設定]ウィンドウの[共通パラメタ]ボタンをクリックすると、[Operation Manager共通パラメタの定義]ウィンドウが表示されます。

2. 利用者制限の定義

   [swadminグループに含まれるユーザだけが、デマンドジョブの起動、ジョブ実行制御属性のジョブネット起動、およびジョブスケジューラのコマンド機能が利用できるように制限する]をチェックすると、利用者をswadminグループに登録されたユーザおよびAdministratorsグループ所属ユーザ/スーパーユーザだけに制限できます。

3. 全サブシステムの再起動

   [Operation Manager共通パラメタの定義]ウィンドウでの設定後、[OK]ボタンをクリックすると全サブシステムが再起動されます。

◆[Operation Manager共通パラメタの定義]ウィンドウ

[Operation Manager利用者の限定]：

デマンドジョブの起動、ジョブ実行制御属性のジョブネット起動およびジョブスケジューラのコマンド機能を、swadminグループに含まれるユーザおよびAdministratorsグループ所属ユーザ/スーパーユーザだけに制限したい場合に指定します。

サービス/デーモンが使用する資源のアクセス権について

• Windows版の場合

  Systemwalker Operation Managerのいくつかのサービスは、資源に対してアクセス権がないと起動できません。Systemwalker Operation Managerサーバの以下の資源については、Administratorsグループにフルコントロールを設定してください。

  • インストール時に指定したインストール先ディレクトリおよびその配下のファイル
  • カレンダ情報ディレクトリ(インストール先ディレクトリ\MpWalker.JM\mpjmcal\caldb)
  • ジョブスケジューラのデータベースディレクトリ(初期値は、インストール先ディレクトリ\MpWalker.JM\mpjobsch\jobdb)およびその配下のファイル
• UNIX版の場合

  Systemwalker Operation Managerの各デーモンが利用する以下の資源には、[Operation Manager利用者の限定]のチェック状況に応じて適切なアクセス権が設定されています。これらのアクセス権を変更しないでください。アクセス権を変更すると、Systemwalker Operation Managerが正しく動作しなくなるおそれがあります。

  • Solaris版およびLinux版/Linux for Itanium版の場合
    • インストール先ディレクトリ配下の資源
    • データベースディレクトリ(/var/opt/パッケージ名)配下の資源
  • HP版およびAIX版の場合

    インストール先ディレクトリ配下の資源

  なお、[Operation Manager利用者の限定]のチェック内容によっては、インストール時と異なるアクセス権が設定されるため、pkgchkコマンドでエラーメッセージが出力される場合があります。

旧互換負荷分散機能を利用する場合について【Windows版】

[Operation Manager共通パラメタの定義]ウィンドウで[swadminグループに含まれるユーザだけが、デマンドジョブの起動、ジョブ実行制御属性のジョブネット起動、およびジョブスケジューラのコマンド機能が利用できるように制限する]をチェックしてOperation Managerの利用者を限定した場合、旧互換負荷分散機能は利用できません。

Systemwalker Operation Manager V11.0L10/11.0 以降で提供される、分散実行機能は利用可能です。

拡張ユーザ管理機能を利用する場合について【UNIX版】

拡張ユーザ管理機能を有効としている場合、Operation Managerユーザに対応づけられたOSユーザが、セキュリティの定義による制限の対象となります。

拡張ユーザ管理機能を有効としている場合で、[Operation Manager利用者の限定]のチェックボックスをチェックした場合は、以下のようにアクセス権が決定されます。

1. 対応づけられたOSユーザがswadminグループに所属しているかチェックされます。
2. swadminグループに所属していることが確認された場合、プロジェクトにアクセス権があるかどうかチェックされます。
3. アクセス権がある場合、デマンドジョブの投入、ジョブ実行制御属性のジョブネット起動およびジョブスケジューラのコマンドが利用できます。

目次 索引