ETERNUS SF AdvancedCopy Manager 運用手引書 13.0 -Microsoft(R) Windows(R) 2000- -Microsoft(R) Windows Server(TM) 2003-

目次索引

第3章認証機構によるセキュリティ運用

本章ではAdvancedCopy Managerが提供する認証機構を利用したセキュリティ運用について説明します。

3.1 概要

AdvancedCopy ManagerのWeb画面を利用すると、マウスの操作のみで、バックアップ管理、レプリケーション管理機能が簡単に行えます。このため、不用意に画面操作を実施すると、データを破壊してしまう危険性があります。

このため、AdvancedCopy Managerでは、ユーザー単位にバックアップ運用、レプリケーション運用に対するアクセス権を設定できる機能(認証機構)を提供しています。本機能を利用する事で、バックアップ運用、レプリケーション運用のセキュリティを実現します。

AdvancedCopy Managerで利用可能なユーザーは、以下の条件を満たすユーザーです。

ユーザー名が20文字以内の英数字、または、10文字以内の日本語
上記ユーザーに対するパスワードが14文字以内の英数字

Windows(R)2000/2003上で運用する場合、以下の注意事項があります。

NetBIOS over TCP/IPの設定

Windows(R)2000/2003で使用するときには、TCP/IPの詳細設定において、NetBIOS over TCP/IPを無効にしないで下さい。この設定は、Windows(R)2000/2003のインストール時には有効になっています。誤って無効としてしまった場合には、以下の方法で有効としてください。

コントロールパネルの[ネットワークとダイアルアップ接続]を開いて、[ローカルエリア接続]のプロパティを開きます。

[TCP/IPのプロパティ]の[詳細設定]ボタンを選択し、[TCP/IP詳細設定]の画面を開きます。

WINSのタグを開き、“NetBIOS over TCP/IPを有効にする”をチェックします。

ユーザプリンシパル名でのアクセス制御

Windows(R)2000/2003で導入されたユーザプリンシパル名でのユーザ認証、アクセス制御はできません。ユーザプリンシパル名とは、Windows(R)2000/2003でActiveDirectoryを導入することによって使用できるユーザの表現方法です。ユーザプリンシパル名は、“ユーザー名@DNS名”で表現されます。

Windows2000/2003でのパスワード長について

Windows2000/2003ではパスワードに127文字以内の英数字を指定できますが、AdvancedCopy Managerでは14文字以内の英数字が有効です。

3.2 アクセス権

AdvancedCopy Managerで設定可能なアクセス権を表3.1に示します。

[表3.1 AdvancedCopy Managerのアクセス権]

アクセス権	説明
更新権	運用情報(ポリシー情報など)の変更や一連のストレージ操作ができます。更新権は、操作権および参照権を含みます。Administratorsグループに所属しているユーザーは、更新権のみが設定可能です。
操作権	一連のストレージ操作および参照が可能です。操作権は、参照権を含みます。
参照権	情報の参照のみが可能です。

各アクセス権によって使用可能となる初期画面の操作を表3.2に示します。

[表3.2 アクセス権による使用可能な初期画面の操作]

操作名	更新権	操作権	参照権
サーバ情報表示	○	○	○
デバイス情報表示	○	○	○
パーティション情報表示	○	○	○
表示項目の変更	○	○	○
最新の情報に更新	○	○	○
同一コピー領域使用デバイス確認	○	○	○
サーバの追加	○	×	×
サーバの変更	○	×	×
サーバの削除	○	×	×
全デバイスの情報取得／反映	○	×	×
特定デバイスの情報取得／反映	○	×	×
デバイスの情報削除	○	×	×

○:操作可能×:操作不可

初期画面のアクセス権は、バックアップ管理のアクセス権とレプリケーション管理のアクセス権の論理和によって決まります。

また、各アクセス権によって使用可能なバックアップ管理の操作を表3.3に示します。

[表3.3 アクセス権による使用可能なバックアップ管理の操作]

操作名	更新権	操作権	参照権
画面表示	○	○	○
バックアップ	○	○	×
リストア	○	○	×
リカバリ	○	○	×
履歴の削除	○	○	×
バックアップ同期処理の開始	○	○	×
バックアップ同期処理の中断	○	○	×
資源整合	○	○	×
バックアップポリシーの設定	○	×	×
バックアップポリシーの削除	○	×	×
デバイス情報の設定	○	×	×
サーバ情報の設定	○	×	×

○:操作可能×:操作不可

各アクセス権によって使用可能なレプリケーション管理の操作を表3.4に示します。

表3.4 アクセス権による使用可能なレプリケーション管理の操作

操作名	更新権	操作権	参照権
画面表示	○	○	○
転送バッファ状態	○	○	○
同期処理の開始	○	○	×
同期処理モード変更	○	○	×
複製作成	○	○	×
複製処理の停止	○	○	×
同期処理反転	○	○	×
資源整合	○	○	×
複製ボリューム情報の設定	○	×	×
複製ボリューム情報の削除	○	×	×
バッファ設定変更	○	×	×

○：操作可能 ×：操作不可

3.3 設定手順

AdvancedCopy Managerでセキュリティ運用を行う場合の手順について説明します。

3.3.1 設定の流れ

設定作業の流れを以下に示します。

3.3.2 設定の作業詳細

以下に運用の作業詳細を示します。なお、個々の画面の説明・操作方法・注意事項については、『ETERNUS SF AdvancedCopy Manager使用手引書認証機構画面の操作』を参照してください。

AdvancedCopy Managerの初期画面のURLを指定して初期画面の表示指示を行います。
以下のログイン画面が表示されますので、特権ユーザー(AdvancedCopy Managerのマネージャーのインストール時に指定したスタートアップアカウント)のユーザー名およびパスワードを指定し、[OK]ボタンをクリックします。
AdvancedCopy Managerの初期画面が表示されます。
初期画面の認証機構メニューから[設定]を選択すると、以下の設定画面が表示されます。
[操作]メニューの[ユーザの追加]を選択すると、以下の画面が表示されます。

[ユーザ]リストより追加したいユーザーを選択し、[追加するユーザ]リストに移動します。更に、コンボボックスでアクセス権を選択した後に[OK]ボタンを押します。ユーザー追加は特定ユーザーでも複数ユーザー単位でも行えます。アクセス権の設定が完了した後、[OK]ボタンをクリックする事で、ユーザーの追加および当該ユーザーのアクセス権設定が完了します。

表示されるユーザー名はStorage管理サーバに登録されているローカルユーザー名です。そのStorage管理サーバがプライマリドメインコントローラかバックアップドメインコントローラの場合は「ドメインユーザー名」が表示されます。
追加するユーザーは、システムのローカルログオンの権限が必要です。ローカルログオンの権限を持たないユーザーを追加しても、当該ユーザーの認証はエラーとなります。
Administratorsグループに所属しているユーザーはグレー表示されます。そのユーザーに設定できるアクセス権は「更新権」のみです。また、Administratorsグループに所属しているユーザーを含んだ複数ユーザー処理も同様に「更新権」のみの設定しかできません。
既にいずれかの管理に登録されているユーザー名は、ユーザー名一覧ダイアログに表示されません。
追加するユーザーが存在しない場合は次の警告ダイアログを出力し、認証機構管理画面に戻ります。

3.4 クラスタ環境でのセキュリティ運用

クラスタシステムにおける認証機構を利用した運用方法については、通常運用と異なる以下の注意事項があります。

プライマリノードとセカンダリノードのアカウント情報（ユーザーアカウント、パスワード、グループ、ユーザーの権利など）を同一にしてください。
フェールオーバ後の認証管理画面サイズは引き継がれません。
Storage管理サーバのAdvancedCopy Managerから非クラスタ状態で認証情報を引き継ぐ場合は、以下の手順で行います。
1. Storage管理サーバ業務のクラスタ環境を解除する前に、Storage管理サーバ業務のプライマリ側で以下のコマンドを実行して定義情報を抽出します。本コマンドはAdministratorsグループに所属するユーザーで実行してください。抽出した情報は、定義情報を反映するコマンド列を記述したバッチファイルとして抽出されます。
  
  プログラムディレクトリ\bin\smmkbat -f 定義情報出力バッチファイル
2. Storage管理サーバ業務に対してAdvancedCopy Managerクラスタセットアップコマンドを実行し、クラスタ環境を解除します。
3. Storage管理サーバ内で抽出した定義情報出力バッチファイルを実行します。この場合、Administratorsグループに所属するユーザーで実行してください。