Systemwalker Centric Manager Global Enterprise Edition説明書 - Solaris(TM) Operating Environment -
目次 索引 前ページ次ページ
上へ第4章 環境定義
上へ4.3 IDカードセキュリティの設定
上へ4.3.2 マネージャの環境設定

4.3.2.2 マネージャ起動条件記述ファイルの詳細

マネージャ起動条件記述ファイルとは、マネージャを起動するための情報を記述したファイルです。以下の形式で、1レコード256桁以内で作成します。

#以降はコメントとみなされます。なお、キーワード(“kind”、“interval”など)と“=”の間には空白を入れず、連続して記述します。

image

■基本情

マネージャの動作環境を記述します。なお、省略値がない項目は省略することはできません。

port:
エージェントが起動されている運用管理クライアントと接続するためのポート番号を指定します。省略した場合は、9343となります。通常、このパラメタは省略します。
kind:
マネージャが管理するエージェントの動作を指定します。なお、エージェント起動条件ファイルに指定されている場合は、エージェントはその指定内容で動作します。
NOTERM(省略値):
操作の保護機能、IDカード/ICカード情報照会機能だけ使用します。
TERM:
操作の保護機能、IDカード/ICカード情報情報照会機能、および端末の保護機能を使用します。
interval(単位:秒):
カードデータの有効時を指定します。(0〜3600秒)

エージェントは指定した時間、無操作状態(PC端末に入力がない状態)が続いた場合、以下に示す処理を行います。

カードリーダのタイプ

端末の保護機能を使用する場合

操作の保護機能またはIDカード/ICカード情報照会機能のみを使用する場合

手動スライド式
  • カードデータが無効になります。
  • PC端末がロックされます(カードセキュリティウィンドウ内にマウスポインタが閉じ込められます)。
  • PC端末のブザーが鳴ります。
  • カードデータが無効になります。
  • PC端末のブザーが鳴ります。

モータ式
  • PC端末のブザーが鳴ります。
  • IDカードの取り出し忘れの警告メッセージが表示されます。
  • PC端末のブザーが鳴ります。
  • IDカードの取り出し忘れの警告メッセージが表示されます。

ICカード
  • カードデータが無効になります。
  • PC端末がロックされます(カードセキュリティウィンドウ内にマウスポインタが閉じ込められます)。
  • PC端末のブザーが鳴ります。
  • ICカードの取り出し忘れの警告メッセージが表示されます。
  • カードデータが無効になります。
  • PC端末のブザーが鳴ります。
  • ICカードの取り出し忘れの警告メッセージが表示されます。

また、0秒を指定した場合、上記処理は行いません。

log:
端末の保護機能、および操作の保護機能で操作ログを出力する場合に出力する種類(1から6)を指定します。ログを出力しない場合は指定しません。ログファイルの種類については“ログファイル”を参照してください。
ldir:
ログファイルを格納するディレクトリ名を128文字以内で指定します。省略した場合は以下のディレクトリに出力します。省略値以外を指定した場合、バックアップコマンドによるログファイルの退避は行われません。

/var/opt/FJSVsidcd/log

lsize(単位:100kバイト):
ログを切り替えるファイルのサイズ(1〜9)を指定します。省略値は3です。
lnum:
保存するログファイル数(2〜9)を指定します。省略値は3です。

■操作判定情

ck_hard:
ハード監視制御ウィンドウからの操作時に、操作保護を実施するかを指定します。操作保護チェックを実施する場合は、“y”を指定します。操作保護を実施しない場合は、“n”(省略値)を指定します。

ハード監視制御ウィンドウで、実施される操作保護については“IDカードセキュリティの対象となる操作の設定”を参照してください。

ck_other:
Systemwalkerコンソールでの操作、FNA/OSI資源の操作に対する操作保護を実施するかを指定します。ここで対象となる操作は、操作保護の対象となっている操作に限られます。操作保護を実施する場合は、“y”を指定します。操作保護を実施しない場合は、“n”(省略値)を指定します。

対象となる操作については“IDカードセキュリティの対象となる操作の設定”を参照してください。

pos:
カードの読み込み開始位置、および読み込む長さを指定します。指定方法を以下に示します。 
pos=開始位置,長さ

 

開始位置:
IDカードまたはICカードのデータ領域内の開始位置(0〜68)を指定します
長さ:
読み込む長さ(1〜69バイト)を指定します。
level:
操作の保護機能で判定を行う操作が登録されていない場合の操作レベル(0〜127)を指定します。省略値は127です。

1) ユーザおよびユーザグループの登(!User 〜 !User-End)

“!User” から “!User-End”までの間にユーザグループ名と、そのユーザグループに所属するユーザ名、およびユーザのカードデータを以下の形式で記述します。(_: 空白またはタブ)

image

ユーザグループ名:
グループが認識できる一意の名前を英数字16文字以内で指定します。
ユーザ情報(ユーザ名,カードデータ):
1個以上の空白またはタブの後にユーザ名、およびユーザのカードデータを記述します。
ユーザ名:
ユーザが識別できる一意の名前を英数字16文字以内で指定します。
カードデータ:
IDカードまたはICカードのposで指定した位置のデータを指定します。カードデータの文字列内に空白・カンマ(,)・#がある場合は文字列を引用符(”)で囲みます。また、文字列内に\または引用符(”)がある場合は、それぞれの文字の前に\を指定します。

2) 操作のレベルの登

“!Operation”から“!Operation-End”までの間に、IDカードセキュリティで操作権限の判定を行う製品名と、その製品の操作に対するレベルを記述します。(_: 空白またはタブ)

image

製品名:
操作チェックする製品名を指定します。(英数字9文字以内)

指定する操作名については“IDカードセキュリティの対象となる操作の設定”を参照してください。

また、作成したアプリケーションから操作の保護機能を使用する場合は、製品名が重ならないように注意してください。

操作の登録(操作レベル,判定を行う操作):
1個以上の空白またはタブの後に操作レベルとその製品の操作を表わす文字列を指定します。
操作レベル:
操作のレベル(0〜127)を指定します。

なお、レベル0の操作は、カードによるユーザの照会を行わないため、すべてのユーザが操作可能となります。

判定を行う操作:
操作の保護で指定する操作の文字列を128文字以内で指定します。操作の文字列内に空白・カンマ(,)・#がある場合は文字列を引用符(”)で囲みます。また、文字列内に\または引用符(”)がある場合は、それぞれの文字の前に\を指定します。

ここで定義されていない操作に対しての操作レベルを登録する場合は、'*'を指定します。

操作名については“IDカードセキュリティの対象となる操作の設定”を参照してください。

3) 条件グループの登

“!Condition”から“!Condition-End”までの間に一意の条件グループ名とそのグループにまとめる操作を記述します。(_: 空白またはタブ)

image

条件グループ名:
条件グループ名を英数字16文字以内の一意の名前で指定します。
操作可能条件(製品名,ユーザレベル):
1個以上の空白またはタブの後に製品と操作可能なレベルを指定します。
製品名:
操作のレベルの登録で指定した製品名を指定します。
ユーザレベル:
ユーザが操作可能なレベルを指定します。

4) グループへの条件の設

“!!”から“!!”の間にグループの登録で設定したユーザグループが操作可能な条件を記述します。(_: 空白またはタブ)

image

ユーザグループ名:
ユーザグループの登録で指定したユーザグループ名を指定します。
操作対象名(object):
1個以上の空白またはタブの後、”object=”に続いて操作の保護機能で指定する操作対象名を64文字以内で指定します。設定する操作対象名が複数ある場合は、カンマ(,)で区切って指定します。

オブジェクトと条件グループとの組み合わせが複数ある場合、object・conditionを一組として複数指定します。また、“*”を指定すると、個別に定義した操作対象名に当てはまらないものという扱いになります。

ここで指定する操作対象名については“IDカードセキュリティの対象となる操作の設定”を参照してください。

操作可能条件グループ名(condition):
1個以上の空白またはタブの後、”condition=”に続いて操作可能な条件グループ名を指定します。設定する操作可能条件グループが複数ある場合は、カンマ(,)で区切って指定します。オブジェクトと条件グループとの組み合わせが複数ある場合、object・conditionを一組として複数指定します。

■操作の可否判

操作の保護機能を使用する場合、操作の可否は、指定した操作とカードデータを基に、マネージャ起動条件記述ファイルの操作判定情報により判定されます。

指定したレベルと操作の可否の判定は以下のようになります。

image

操作の保護機能(API)で指定した判定条件がマネージャ起動条件記述ファイルに登録していない場合の可否判定を以下に示します。

未登録の項目

“*”指定なし

“*”指定あり

ユーザ名(ユーザ情報)

操作レベルが0以外の場合は操作不可

×

製品名(操作のレベル情報)

操作不可

×

操作名(操作のレベル情報)

levelオペランドで指定した値を操作レベルとして判定

操作名“*”の操作レベルで指定した値を操作レベルとして判定

製品名(条件グループ情報)

ユーザレベルを0として判定

×

操作対象名(ユーザグループの条件情報)

操作レベルが0以外の場合は操作不可

“object=*”のconditionオペランドで指定した条件グループで判定

×:“*”指定できない項目。ファイルの変換時にエラーとなります。

また、操作の保護機能(API)で、操作対象名または操作名を省略(NULL)した場合の操作の可否判定を以下に示します。

API

ユーザグループの条件情報(object)

“*”指定なし

“*”指定あり

操作対象名省略

ユーザレベルを0として判定

“object=*”のconditionオペランドで指定した条件グループで判定

 

API

操作レベル情報(操作名)

“*”指定なし

“*”指定あり

操作名省略

操作レベルを1として判定

操作名“*”の操作レベルで指定した値を操作レベルとして判定

image端末の保護機能をWindows(R) XPで使用する場合

端末の保護機能をWindows(R) XPで使用する場合、ユーザアカウントの設定にて[ようこそ画面を使用する]にチェックがされている場合は、チェックを外してください。[Ctrl+Alt+Del]でのログオフ/シャットダウンが使用できないため、idcstpwdコマンドによるエージェントの終了が実施できない場合があります。

目次 索引 前ページ次ページ
All Rights Reserved, Copyright(C) 富士通株式会社 1995-2003