Systemwalker Centric Manager リファレンスマニュアル - UNIX共通 - - Microsoft(R) Windows(R) 2000/Microsoft(R) Windows Server(TM) 2003 -
目次 索引 前ページ次ページ
第2章 ファイルの形式> 2.3 定義情報

[EE/GEE]
2.3.44 マネージャ起動条件記述ファイル【UNIX版】

■ファイル名

任意(*.*)

■使用用途

IDカードセキュリティ機能を使用するための定義ファイルです。マネージャを起動するための情報を記述します。

■格納場所

Solaris
Linux

任意

■ファイル形式

マネージャ起動条件記述ファイルは、マネージャを起動するための情報をエディタを使用して以下の形式で作成します。

IDカードセキュリティの各機能に必要な起動条件ファイルの内容を以下に示します。

機能

マネージャ起動条件ファイル内容

端末の保護

基本情報および操作判定情報内のユーザ情報

操作の保護

基本情報および操作判定情報内を設定

IDカード/ICカード情報照会

基本情報を設定

■パラメタ

◆基本情報

マネージャの動作環境を記述します。省略値がない項目は省略することはできません。

port:
エージェントが起動されている運用管理クライアントと接続するためのポート番号を指定します。省略した場合は、9343となります。通常、このパラメタは省略します。
kind:
マネージャが管理するエージェントの動作を指定します。なお、エージェント起動条件ファイルに指定されている場合は、エージェントはその指定内容で動作します。
NOTERM(省略値):
操作の保護機能、IDカード/ICカード情報照会機能だけ使用します。
TERM:
操作の保護機能、IDカード/ICカード情報照会機能、および端末の保護機能を使用します。
interval(単位:秒):
カードデータの有効時を指定します。(0〜3600秒)

エージェントは指定した時間、無操作状態(PC端末に入力がない状態)が続いた場合、以下に示す処理を行います。

0秒を指定した場合、以下の処理は行われません。

カードリーダのタイプ

端末の保護機能を使用する場合

操作の保護機能またはIDカード/ICカード情報照会機能のみを使用する場合

手動スライド式
  • カードデータが無効になります。
  • PC端末がロックされます(カードセキュリティウィンドウ内にマウスポインタが閉じ込められます)。
  • PC端末のブザーが鳴ります。
  • カードデータが無効になります。
  • PC端末のブザーが鳴ります。

モータ式
  • PC端末がロックされます(カードセキュリティウィンドウ内にマウスポインタが閉じ込められます)。
  • PC端末のブザーが鳴ります。
  • IDカードの取り出し忘れの警告メッセージが表示されます。
  • PC端末のブザーが鳴ります。
  • IDカードの取り出し忘れの警告メッセージが表示されます。

ICカード
  • カードデータが無効になります。
  • PC端末がロックされます(カードセキュリティウィンドウ内にマウスポインタが閉じ込められます)。
  • PC端末のブザーが鳴ります。
  • ICカードの取り出し忘れの警告メッセージが表示されます。
  • カードデータが無効になります。
  • PC端末のブザーが鳴ります。
  • ICカードの取り出し忘れの警告メッセージが表示されます。
log:
端末の保護機能、および操作の保護機能で操作ログを出力する場合に出力する種類(1から6)を指定します。ログを出力しない場合は指定しません。ログファイルの種類については“Systemwalker Centric Manager 使用手引書 監視機能編”を参照してください。
ldir:
ログファイルを格納するディレクトリ名を128文字(バイト)以内で指定します。省略した場合は以下のディレクトリに出力します。省略値以外を指定した場合、バックアップコマンドによるログファイルの退避は行われません。

/var/opt/FJSVsidcd/log
lsize(単位:100KB):
ログを切り替えるファイルのサイズ(1〜9)を指定します。省略値は3です。
lnum:
保存するログファイル数(2〜9)を指定します。省略値は3です。
auditlog:
監査ログの出力の有無を指定します。監査ログを出力する場合は、“y”(省略値)を指定します。監査ログを出力しない場合は、“n”を指定します。Systemwalker Centric Manager 13.0 Solaris版、またはSystemwalker Centric Manager 13.0 Linux版以前に作成したマネージャ起動条件ファイルを使用した場合、監査ログは出力されません。

◆操作判定情報

ck_other:
[Systemwalkerコンソール]での操作に対する操作保護を実施するかを指定します。ここで対象となる操作は、操作保護の対象となっている操作に限られます。操作保護を実施する場合は、“y”を指定します。操作保護を実施しない場合は、“n”(省略値)を指定します。

対象となる操作については“IDカードセキュリティの対象となる操作の設定【UNIX版】”を参照してください。

IDカードセキュリティを使用した運用を行わない場合

IDカードセキュリティを使用した運用をしていたが、今後運用しないようにする場合、以下のコマンドを投入します。

/opt/FJSVsidcd/bin/idcrmvmg

コマンドを実行するとパスワード入力のプロンプトが表示されるので、rootのパスワードを入力します。

pos:
カードの読み込み開始位置、および読み込む長さを指定します。指定方法を以下に示します。

pos=開始位置,長さ

開始位置: IDカードまたはICカードのデータ領域内の開始位置(0〜68)を指定します。
長さ   : 読み込む長さ(1〜69バイト)を指定します。

level:
操作の保護機能で判定を行う操作が登録されていない場合の操作レベル(0〜127)を指定します。省略値は127です。

1)ユーザおよびユーザグループの登録 (!User 〜 !User-End)

“!User” から “!User-End”までの間にユーザグループ名と、そのユーザグループに所属するユーザ名、およびユーザのカードデータを以下の形式で記述します。(_: 空白またはタブ)

ユーザグループ名:
グループが認識できる一意の名前を英数字16文字以内で指定します。
ユーザ情報(ユーザ名,カードデータ):
1個以上の空白またはタブの後にユーザ名、およびユーザのカードデータを記述します。
ユーザ名:
ユーザが識別できる一意の名前を英数字16文字以内で指定します。
カードデータ:
IDカードまたはICカードのposで指定した位置のデータを指定します。カードデータの文字列内に空白・カンマ(,)・#がある場合は文字列を引用符(")で囲みます。また、文字列内に\または引用符(")がある場合は、それぞれの文字の前に\を指定し、文字列を引用符(")で囲みます。

2)操作のレベルの登録

“!Operation”から“!Operation-End”までの間に、IDカードセキュリティで操作権限の判定を行う製品名と、その製品の操作に対するレベルを記述します。(_: 空白またはタブ)

製品名:
操作チェックする製品名を指定します。

指定する操作名については“IDカードセキュリティの対象となる操作の設定【UNIX版】”を参照してください。

また、作成したアプリケーションから操作の保護機能を使用する場合は、製品名が重ならないように注意してください。以下の製品名は予約語になります。

opmgr:[Systemwalkerコンソール]の操作に対する判定を行う。
FJSVshrd:[ハード監視制御]ウィンドウの操作に対する判定を行う。
操作の登録(操作レベル,判定を行う操作):
1個以上の空白またはタブの後に操作レベルとその製品の操作を表す文字列を指定します。
操作レベル:
操作のレベル(0〜127)を指定します。

なお、レベル0の操作は、カードによるユーザの照会を行わないため、すべてのユーザが操作可能となります。

判定を行う操作(操作名):
操作の保護で指定する操作の文字列を128文字(バイト)以内で指定します。操作の文字列内に空白・カンマ(,)・#がある場合は文字列を引用符(")で囲みます。また、文字列内に\または引用符(")がある場合は、それぞれの文字の前に\を指定し、文字列を引用符(")で囲みます。

ここで定義されていない操作に対しての操作レベルを登録する場合は、'*'を指定します。

操作名については“IDカードセキュリティの対象となる操作の設定【UNIX版】”を参照してください。

3)条件グループの登録

“!Condition”から“!Condition-End”までの間に一意の条件グループ名とそのグループにまとめる操作を記述します。(_: 空白またはタブ)

条件グループ名:
条件グループ名を英数字16文字以内の一意の名前で指定します。
操作可能条件(製品名,ユーザレベル):
1個以上の空白またはタブの後に製品と操作可能なレベルを指定します。
製品名:
操作のレベルの登録で指定した製品名を指定します。
ユーザレベル:
ユーザが操作可能なレベルを指定します。

4)グループへの条件の設定

“!!”から“!!”の間にグループの登録で設定したユーザグループが操作可能な条件を記述します。(_: 空白またはタブ)

ユーザグループ名:
ユーザグループの登録で指定したユーザグループ名を指定します。
操作対象名(object):
1個以上の空白またはタブの後、“object=”に続いて操作の保護機能で指定する操作対象名を64文字(バイト)以内で指定します。設定する操作対象名が複数ある場合は、カンマ(,)で区切って指定します。操作対象名の文字列内に空白・カンマ(,)・#がある場合は文字列を引用符(")で囲みます。また、文字列内に\または引用符(")がある場合は、それぞれの文字の前に\を指定し、文字列を引用符(")で囲みます。

オブジェクトと条件グループとの組み合わせが複数ある場合、object・conditionを一組として複数指定します。また、“*”を指定すると、個別に定義した操作対象名に当てはまらないものという扱いになります。

ここで指定する操作対象名については“IDカードセキュリティの対象となる操作の設定【UNIX版】”を参照してください。

操作可能条件グループ名(condition):
1個以上の空白またはタブの後、“condition=”に続いて操作可能な条件グループ名を指定します。設定する操作可能条件グループが複数ある場合は、カンマ(,)で区切って指定します。オブジェクトと条件グループとの組み合わせが複数ある場合、object・conditionを一組として複数指定します。

IDカードセキュリティの対象となる操作の設定【UNIX版】

IDカードまたはICカードを使用した操作チェックを実施する場合、IDカードセキュリティ機能の定義に必要な情報を以下に示します。

[Systemwalkerコンソール]での操作

製品名:opmgr

チェックする操作

設定する定義

操作名

操作対象名

リモートコマンド (注1) (注3)

command

ホスト名を操作対象名として指定します。

“object=*”で指定した場合はすべてのホストが対象となります。

監視イベント対処/一括対処

action

返答要求メッセージへの返答
(注2)

reply

[操作]メニューに対する操作(注1)

apmenu

選択する対象により異なります。詳細は“[操作]メニューに対する操作の詳細設定”を参照してください。

“object=*”で指定した場合はすべてのホストが対象となります。

注1)“リモートコマンド”、および“[操作]メニューに対する操作”は詳細に指定することが可能です。

注2)[監視イベント:返答]ウィンドウの[返答]ボタンが対象です。[監視イベント:返答]ウィンドウの[対処]ボタン、および[保留]ボタンは“action”の定義が有効になります。

注3)すべてのリモートコマンドを指定する場合は"command"を指定してください。

リモートコマンドの詳細設定

投入するコマンド名を指定することができます。

チェックする投入するコマンド

設定する定義

操作名

操作対象名

コマンド名 パラメタ

command コマンド名 パラメタ

ホスト名を操作対象名として指定します。

“object=*”で指定した場合はすべてのホストが対象となります。

[操作]メニューに対する操作の詳細設定

全オブジェクトの操作/指定オブジェクトの操作を個別で指定できます。

なお、統合コンソールのランチャーに表示されている、以下の機能についても、定義が有効になり、IDカードによる認証確認が行われます。

 

チェックする操作

設定する定義

分類

[操作]メニューの操作

操作名

操作対象名

全オブジェクト

[操作メニュー登録]画面の全オブジェクトのメニュー項目の名称

 性能情報の出力

 

apmenu メニュー項目の名称

 apmenu 性能情報の出力

*を操作対象名として指定します。

“object=*”で指定された条件グループで判定されます。

指定オブジェクト

[操作メニュー登録] 画面の指定オブジェクトのメニュー項目の名称(注)

 ping

 

apmenu メニュー項目の名称

 apmenu ping

ホスト名を操作対象名として指定します。

注) 指定オブジェクトの操作メニューはmpaplregコマンドで登録したメニュー項目も指定可能です。
Systemwalkerの標準の[操作]メニューを指定する場合は、以下の設定となります。

分類

[操作]ウィンド/メニューの操作

操作名

操作対象名

全オブジェクト

性能情報の出力

apmenu 性能情報の出力

*を操作対象名として指定します。

“object=*”で指定された条件グループで判定されます。

資源配付の操作

apmenu 資源配付の操作

簡易資源配付の操作

apmenu 簡易資源配付の操作

ヘルプデスク

apmenu ヘルプデスク

指定オブジェクト

ping

apmenu ping

ホスト名を操作対象名として指定します。

arp

apmenu arp

telnet

apmenu telnet

ftp

apmenu ftp

traceroute(サブネット)

apmenu traceroute(サブネット)

ホスト名を操作対象名に指定できません。

“*”を操作対象名として指定します。

“object=*”で指定された条件グループで判定されます。

traceroute(ノード)

apmenu traceroute(ノード)

ホスト名を操作対象名として指定します。

リモート操作

apmenu リモート操作

■操作の可否判定

操作の保護機能を使用する場合、操作の可否は、指定した操作とカードデータをもとに、マネージャ起動条件記述ファイルの操作判定情報により判定されます。

指定したレベルと操作の可否の判定は以下のようになります。

マネージャ起動条件記述ファイルに登録していない項目の可否判定を以下に示します。

登録していない項目

判定可否の動作

「ユーザ名」

ユーザレベルは0となり、判定を行います。

操作レベルが0の「判定を行う操作」に対してだけ操作ができます。

操作のレベルの登録の「製品名」

登録していない製品名に対しては操作はできません。

操作のレベルの登録の「判定を行う操作」

levelオペランドで指定した値を操作レベルとして判定します。

該当する製品で「判定を行う操作」を“*”の指定がある場合は、その操作レベルとなります。

条件グループ情報の「製品名」

ユーザレベルを0として判定します。

操作レベルが0の「判定を行う操作」に対してだけ操作ができます。

グループの条件の設定の「操作対象名」

ユーザレベルを0として判定します。

操作レベルが0の「判定を行う操作」に対してだけ操作ができます。

“object=*” の指定がある場合は、conditionオペランドで指定した条件グループのユーザレベルで判定を行います。

また、操作の保護機能(API)で、操作対象名または操作名を省略(NULL)した場合の操作の可否判定を以下に示します。

API

ユーザグループの条件情報(object)

“*”指定なし

“*”指定あり

操作対象名省略

ユーザレベルを0として判定します。

“object=*”のconditionオペランドで指定した条件グループで判定します。

 

API

操作レベル情報(操作名)

“*”指定なし

“*”指定あり

操作名省略

操作レベルを1として判定します。

操作名“*”の操作レベルで指定した値を操作レベルとして判定します。

端末の保護機能をWindows(R) XPで使用する場合

目次 索引 前ページ次ページ
All Rights Reserved, Copyright (C) 富士通株式会社 1995-2006