Systemwalker Centric Manager 使用手引書 監視機能編 - UNIX共通 - - Microsoft(R) Windows(R) 2000/ Microsoft(R) Windows Server(TM) 2003 -
目次 索引 前ページ次ページ
第8章 セキュリティを強化して運用する> 8.2 [Systemwalkerコンソール]のアクセス権を設定する

8.2.1 画面のアクセス権を定義する

Systemwalker Centric Managerは、セキュリティのため、画面のアクセス権やツリーへのアクセス権をユーザごとに定義することができます。ここでは、以下の構成でアクセスの定義方法を説明します。

■画面のアクセス権を定義する

Systemwalker Centric Managerの各機能を利用するために必要な権限を、利用者ごとに設定することができます。Systemwalker Centric Managerは、ローという単位で各機能の利用権限を定義しています。ロールとは、共通の役割(権限)を持つ利用者から構成されるグループのことです。Systemwalker Centric Managerをインストールすると、以下のロールが登録されます。

[表:機能の使用を許可するためにユーザを所属させるロール]

ロール名

説明

使用機能

DmAdmin

監視機能の管理系ロール

[Systemwalkerコンソール]

DmOperation

監視機能の操作系ロール

DmReference

監視機能の参照系ロール

OrmOperation(注)

返答機能の操作系ロール

返答操作のコマンド

SecurityAdmin

セキュリティの管理系ロール

[Systemwalkerコンソール](SecurityAdmin、SecurityAuditorは、サーバ操作制御機能を使用する権限しかありません。)

SecurityAuditor

セキュリティの監査系ロール

注)Solaris版、Linux版で登録されます。

管理者は、ユーザを上記のロールに適宜所属させてください。所属させるロールの種類により、ユーザが使用できる機能と利用権限が決まります。ロールと利用可能な機能の関係は、以下のとおりです。

表:機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属していない一般のユーザは、Systemwalker Centric Managerの機能を使用できません。 [Systemwalkerコンソール]を起動するユーザ を、“表:機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属させるか、Administratorsグループに所属させてください。

また、運用管理クライアントがWindows(R) XPの場合は、Windowsにログインするユーザについても“表:機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属させるか、Administratorsグループに所属させる必要があります。

【UNIXの場合】
スーパーユーザは、セキュリティ情報の設(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわらず、アクセス制御の対象外として常に更新権を持つユーザとして扱われます。
【Windows(R)の場合】
Administratorsグループに所属するユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわらず、 アクセス制御の対象外として常に更新権を持つユーザとして扱われます。

運用管理クライアントからWindows Server(TM) 2003運用管理サーバへ接続する場合

OSのセキュリティポリシーで、「アカウントの空のパスワードの使用をコンソールログオンのみに制限する」を「有効」としていた場合、パスワードが空のアカウントは、Systemwalker Centric Managerのユーザ認証でエラーとなります。

◆運用管理サーバのユーザをロールに登する方法

運用管理サーバのユーザを、ロールに所属させる手順を以下に説明します。

  1. [Systemwalkerコンソール]の[ポリシー]メニューから[ポリシーの定義]-[利用者のアクセス権設定]を選択します。

    →[ロール一覧]ダイアログボックスが表示されます。
    [ロールのプロパティ]には、登録されている[ロール名]および[説明]が表示されます。

  2. 更新する[ロール名]を一覧から選択し、[プロパティ]ボタンをクリックします。

    →[ロール情報]ダイアログボックスが表示されます。
    当該ロールに[所属するメンバー]がリストボックスに表示されます。

  3. ロールに所属するユーザを追加するため、[追加]ボタンをクリックします。

    →[ロールへのユーザの追加]ダイアログボックスが表示されます。

  4. ロールに所属させるユーザを選択し、[追加]ボタンをクリックします。
  5. ロールへ追加するすべてのユーザを選択後、[OK]ボタンをクリックします。

    →[ロール情報]ダイアログボックスが表示されます。

  6. [OK]ボタンをクリックします。

    →[ロール一覧]ダイアログボックスが表示されます。

  7. [終了]ボタンをクリックします。
◆部門管理サーバ/業務サーバのユーザをロールに登録する方法

部門管理サーバまたは業務サーバ上のユーザを、ロールに所属させる手順を以下に説明します。

  1. [スタート]メニューから[プログラム]-[Systemwalker Centric Manager]-[環境設定]-[利用者のアクセス権]を選択します。

    →[セキュリティ設定[ログイン]]ダイアログボックスが表示されます。

  2. 接続する部門管理サーバ/業務サーバの[ホスト名]、[ユーザ名]、[パスワード]を入力し、[OK]ボタンをクリックします。[パスワード]として指定できるのは28バイトまでです。

    →[ロール一覧]ダイアログボックスが表示されます。

    【Windowsの場合】

    Windows(R)のサーバに接続する場合は、[ドメイン名]の指定が可能です。

  3. [ロール一覧]ダイアログボックス以降の操作手順は、“画面のアクセス権を定義する”の“運用管理サーバのユーザをロールに登録する方法”の手順2)以降を参照してください。

ネットワーク上の安全が保証されていない環境でご使用の場合、サーバ上でmpsetmemコマンドを使用することにより、より安全にユーザをロールに登録することができます。mpsetmem(ロールへのメンバの追加/削除コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
【UNIXの場合】
セキュリティロールに所属させるユーザが、telnetなどでログインしていると、セキュリティロールにそのユーザを所属させることができません。セキュリティロールにユーザを所属させる際には、そのユーザがログインしていないことを確認してから実行してください。

■ツリーに対するアクセスを定義する

ツリーに対し、ユーザの使用権を設定することで、ユーザごとに[Systemwalkerコンソール]の特定のツリーだけを表示したり、表示しないようにすることができます。

使用権を設定していないツリー

インストール時およびツリー作成時に、ツリーに対し、以下のアカウントの使用権が設定されます。Systemwalker Centric Managerの利用者で[Systemwalkerコンソール]にログインした場合、ツリーは表示されます。各ツリーに対するアクセス権は以下のとおりです。

[表:使用権とツリーに対するアクセス権 (使用権設定前)]

使用権が設定されるアカウント

ツリーの所有権

[Systemwalkerコンソール]

[編集]

[監視]

システム管理者
DmAdmin
DmOperation
DmReference
DistributionAdmin
DistributionOperation
DistributionReference
SecurityAdmin
SecurityAuditor









更新権
更新権

更新権
更新権
操作権
参照権



参照権
参照権
特定のユーザだけ、特定のツリーを表示しないように設定する

特定のユーザだけ、[Systemwalkerコンソール]の特定のツリーを表示しない手順を説明します。ツリーに対して更新権のあるユーザで、[Systemwalkerコンソール[編集]]画面から設定します。

  1. ツリーを選択します。
  2. [Systemwalkerコンソール]の[ファイル]メニューから[監視ツリーのアクセス権設定]を選択します。

    →[アクセス権情報]ダイアログボックスが表示されます。

  3. [使用権のあるアカウント]で、ツリーを表示させないユーザが所属しているロールを選択します。
  4. [削除]ボタンをクリックします。
  5. 3.でアクセス権を削除したロールに所属しているユーザに、ツリーを表示させるユーザが含まれている場合は、ユーザに使用権を設定します。
    1. [追加]ボタンをクリックします。

      →[ユーザとロールの追加] ダイアログボックスが表示されます。

    2. アクセス権を追加するユーザを選択します。
    3. [追加]ボタンをクリックします。
    4. [アクセス権の種類]に[使用権]を設定します。
    5. [OK]ボタンをクリックします。
  6. [アクセス権情報]ダイアログボックスで[OK]ボタンをクリックします。

設定例

“名古屋本社ツリー”“大阪支社ツリー”を作成し、DmOperationロールに所属する“osakaOpeユーザ”が[Systemwalkerコンソール]にログインした場合は、“大阪支社ツリー”だけを表示する場合

ロール名

所属ユーザ

DmAdmin

nagoyaAdm、osakaAdm

DmOperation

nagoyaOpe、osakaOpe

DmReference

nagoyaRef、osakaRef

手順

  1. “名古屋本社ツリー”に設定されているDmOperationロールの使用権を削除します。
  2. “名古屋本社ツリー”に、“nagoyaOpe”ユーザの使用権を追加します。

[表:ユーザと表示されるツリー(設定後)]

ユーザ

表示されるツリー

ツリーに対するアクセス権

nagoyaAdm

名古屋本社

大阪支社

更新権

更新権

osakaAdm

名古屋本社

大阪支社

更新権

更新権

nagoyaOpe

名古屋本社

大阪支社

操作権

操作権

osakaOpe

大阪支社

操作権

nagoyaRef

名古屋本社

大阪支社

参照権

参照権

osakaRef

名古屋本社

大阪支社

参照権

参照権

■セキュリティを高めた監視を行う場合の設定

以下の運用を検討されている場合、セキュリティをより高めた監視を行うことを推奨します。

  1. 監視ツリーごとにオペレータを分けて監視を行う場合
  2. 同一の監視ツリーを複数のオペレータが監視するが、オペレータごとに作業、または監視対象が異なる場合
  3. オペレータごとに使用できる[Systemwalkerコンソール]のメニューを限定したい場合
  4. オペレータごとに監視するノードなどのオブジェクトを限定したい場合

セキュリティをより高めた監視を行うには、以下の設定を行ってください。

◆ユーザ権限の設定

管理者、オペレータ、および資源配付の管理者(資源配付のオペレータ含む)のユーザ名をそれぞれ決定してください。各ユーザの役割は、以下のとおりです。

管理者およびオペレータに対して、それぞれ以下の設定を行ってください。

◆メニュー抑止の設定

以下のメニューについて、上記「ユーザ権限の設定」の「オペレータ」が実行できないようにするため、DmAdminロールに所属するユーザのみが実行できるようコンソール操作制御機能で設定してください。定義方法は、“コンソール操作制御機能で認証する”を参照してください。

[ファイル]メニュー
[操作(全オブジェクト)] メニュー
[操作(指定オブジェクト)] メニュー
[イベント] メニュー
[監視イベント:対処]画面

注1)操作メニュー登録画面または、「mpaplreg(監視画面のメニュー項目登録コマンド)」から登録したメニューです。

上記のメニューは、表示している監視ツリーに含まれないオブジェクトについて参照/操作/更新が可能です。監視ツリーに含まれないオブジェクトを参照/操作/更新させない運用をするために、本設定を行う必要があります。

◆ヘルプデスクのスタートメニュー抑止の設定(ヘルプデスク機能をインストールしている場合)
  1. ヘルプデスク管理者専用にWindowsログインユーザを用意してください。
  2. 上記以外のWindowsログインユーザに対して、スタートメニューから「ヘルプデスク機能」を削除してください。スタートメニューからの起動時のみ使用可能な機能(各種定義、ヘルプデスクオプション設定)については、1.で用意したヘルプデスク管理者専用のWindowsログインユーザでログインし、使用してください。
◆インベントリ情報を参照する機能を使用する場合

以下の画面および機能においてインベントリ情報を参照するには、コンソール操作制御機能が運用中でない場合に使用してください。

目次 索引 前ページ次ページ
All Rights Reserved, Copyright(C) 富士通株式会社 1995-2006