| Systemwalker Centric Manager バージョンアップガイド - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第2章 運用管理サーバのバージョンアップ | > 2.5 利用機能別に必要な作業 |
V13.1.0以前においてIDカードセキュリティ機能を使用して運用を行っていた場合、コンソール操作制御とSMARTACCESSへの運用に移行する必要があります。
IDカードセキュリティ機能とコンソール操作制御(SMARTACCESSのアプリケーシュオンログオンを使用した場合)については以下の機能差があります。
|
認証方式 |
コンソール操作制御 |
IDカードセキュリティ |
|
|
媒体名 |
セキュリティレベル |
||
|
磁気カード |
低い |
× |
○ (注1) |
|
スマートアクセス(ICカード) |
単体でも高いが組合せて強化できる |
○ |
○ (注1) |
|
FeliCa (ICカード) |
○ |
× |
|
|
指紋 |
○ |
× |
|
|
静脈(バイオ認証装置と組合せ) |
非常に高い |
○ |
× |
注1)Windows Vistaは未対応です。
|
認証方式 |
SMARTACCESS/BASIC,Premiumの機能(注1) |
IDカードセキュリティ |
|
|
媒体名 |
セキュリティレベル |
||
|
磁気カード |
低い |
× |
○ (注2) |
|
スマートアクセス(ICカード) |
単体でも高いが組合せて強化できる |
○ |
○ (注2) |
|
FeliCa (ICカード) |
○ |
× |
|
|
指紋 |
× |
× |
|
|
静脈(バイオ認証装置と組合せ) |
非常に高い |
× |
× |
注1)SMARTACCESS が持つ機能であり、コンソール操作制御の機能ではありません。
注2)Windows Vistaは未対応です。
以下のソフトウェアが必要になります。
SMARTACCESS/BASICは2006年以降に発売されたICカードリーダに添付されています。2006年より前に発売されたICカードリーダは、添付ソフトがSMARTACCESS/BASEになります。SMARTACCESS/BASEの場合は、SMARTACCESS/Premium を購入する必要があります。また現在使用しているソフトウェアがSMARTACCESS/Proの場合も、SMARTACCESS/Premium を購入する必要があります。ICカードリーダの添付ソフトを必ず確認してください。
使用しているハードウエアがSMARTACCESS/Premium で動作できるかは、富士通技術員に確認してください。
運用管理管理サーバでの作業手順を以下に示します。
|
Systemwwalker のバージョンアップ作業を実施しており、“利用機能別に必要な作業”の前までが完了している環境 |
|
1 マネージャ記述変換コマンドを投入する。 |
|
2 変換された操作制御マネージャ起動条件記述ファイルの確認とカスタマイズ 確認観点がファイル内にコメント行として表示されます。変換された定義を確認します。 |
|
3 使用するユーザ名の確認・登録をする。 ユーザ名は接続する運用管理サーバの「DmAdmin」「DmOperation」「DmReference」のどれかのロールに所属している必要があります。 |
|
4 操作制御マネージャ起動条件記述ファイルを操作制御マネージャ起動条件ファイルに変換する。 |
|
5 Systemwalker Centric Managerを起動する。 |
運用管理管理クライアントでの作業手順を以下に示します。
|
Systemwwalker のバージョン作業が実施しており、“利用機能別に必要な作業”の前までが完了している環境 |
|
1 エージェント記述変換コマンドを投入する。 |
|
2 変換された操作制御エージェント起動条件記述ファイルの確認とカストマイズする。 確認観点がファイル内にコメント行として表示されます。変換された定義を確認します。 |
|
3 操作制御エージェント起動条件記述ファイルを操作制御エージェント起動条件ファイルに変換する。 |
|
4 運用管理クライアントPCの再起動 |
|
5 SMARTACCESSのインストールと設定 1)SMARTACCESS/BASICまたはPremiumをインストールします。 2)アプリケーションログオン機能にコンソール操作制御のダイアログを登録します。 3)認証デバイスにユーザ名およびパスワードを登録します。 4)IDカードセキュリティの端末の保護を使用していた場合、カードのポーリング動作を設定します。 |
同一コンピュータでバージョンアップする場合は、先にSMARTACCESS/BASEまたはProをアンインストールしておく必要があります。詳細は、SMARTACCESSのマニュアルを参照してください。
バージョンアップする際に退避されたIDカードセキュリティマネージャ起動条件ファイルから、IDカードセキュリティマネージャ起動条件記述ファイルと、自動変換した操作制御マネージャ起動条件記述ファイルを作成します。
|
/opt/FJSVsopct/bin/idchgmanager |
コマンドの詳細は“Systemwalker Centric Managerリファレンスマニュアル”の“IDカードセキュリティ機能からの移行コマンド(マネージャ用)”を参照してください。
設定を変更する項目を以下に示します。
基本情報
|
項目名 |
IDカードセキュリティのマネージャ起動条件記述ファイルの定義項目 |
操作制御マネージャ起動条件記述ファイルで指定する項目 |
変換 (注1) |
マネージャ記述変換コマンドの動作 |
変換の注意事項 |
|
コンソール操作制御の認証方式 |
なし |
check_kind=2 |
○ |
変換する |
IDカードセキュリティの後継機能は「操作ごとの保護」を指定する。 |
|
ポート番号 |
port |
該当なし |
○ |
手動で設定する |
ポート番号がデフォルト値(9343)でないときは「MpIdcMgr」サービス名のポート番号の設定を変更する。 |
|
保護の種別 |
kind |
該当なし |
× |
削除 |
端末の保護を使用する場合は、「カードのポーリング動作」機能を使用する。 |
|
認証 (カードデータ)有効時間 |
interval |
interval |
○ |
同じ値 |
コンソール操作制御機能では、最後に操作の判定が必要な操作(注2)を行ってから、指定した時間が経過すると、認証を解除します。 IDカードセキュリティでは、指定した時間だけ無操作状態(PC端末に入力がない状態)が続いた場合に、認証を解除します。 |
|
操作ログ |
log |
該当なし |
× |
削除 |
コンソール操作制御の操作ログは監査ログに出力します。監査ログを採取する/しないは、監査ログの設定で行います。 |
|
操作ログファイル |
ldir |
||||
|
操作ログサイズ |
lsize |
||||
|
操作ログ数 |
lnum |
||||
|
監査ログ出力 |
auditlog |
注1)
○:変換が必要な項目です。「変換方法についての注意事項」がある場合は、注意事項を考慮して変換してください。マネージャ記述変換コマンドで自動変換された項目についても必ず確認してください。
×:該当する項目がありません。削除するか、先頭に"#"をつけてコメント行としてください。
−:変換の必要はありません。
注2)
Systemwalkerコンソールで操作の判定が必要な操作は、“Systemwalker Centric Manager ソリューションガイド セキュリティ編”の“コンソール操作制御機能の対象となるメニュー/操作”を参照してください。
操作判定情報
|
項目名 |
IDカードセキュリティのマネージャ起動条件記述ファイルの定義項目 |
操作制御マネージャ起動条件記述ファイルで指定する項目 |
変換の必要 (注1) |
マネージャ記述変換コマンドの動作 |
変換の注意事項 |
|
|
操作の保護の対象 |
ch_other |
check_console |
○ |
変換する |
|
|
|
ch_hard |
check_hard |
○ |
変換する |
|
||
|
カードの開始位置と長さ |
pos=x,y |
該当なし |
× |
削除 |
|
|
|
登録されていない操作のレベル |
level |
level |
− |
同じ値 |
|
|
|
ユーザおよびユーザグループの登録 |
|
|
||||
|
|
!User |
!UserID |
○ |
変換する |
|
|
|
ユーザグループ名 |
ユーザグループ名 |
− |
同じ値 |
|
||
|
ユーザ名、カードデータ |
ユーザ名 |
○ |
同じ値 [ユーザ名だけが設定されます] |
ユーザ名は運用管理サーバの「DmAdmin」,「DmOperation」,「DmReference」のどれかのロールに所属する必要があります。 |
||
|
!User-End |
!UserID-End |
○ |
変換する |
|
||
|
操作のレベルの登録 |
|
|
||||
|
|
!Operation |
!OperationEx |
○ |
変換する |
|
|
|
製品名 |
製品名 |
− |
同じ値 |
|
||
|
_操作レベル,判定を行う操作 |
_操作レベル,判定を行う操作 |
○ |
同じ値 |
非互換があります。 1)リモートコマンドを指定していたときは注意が必要です。 2)前提となる「判定を行う操作」の定義の追加が必要です。 “非互換情報”を参照してください。 |
||
|
!Operation-End |
!OperationEx-End |
○ |
変換する |
|
||
|
条件グループの登録 |
|
|
||||
|
|
!Condition |
!Condition |
− |
同じ値 |
|
|
|
条件グループ名 |
条件グループ名 |
− |
同じ値 |
|
||
|
_製品名,ユーザレベル |
_製品名,ユーザレベル |
− |
同じ値 |
|
||
|
!Condition-End |
!Condition-End |
− |
同じ値 |
|
||
|
グループへの条件の設定 |
|
|
||||
|
|
!! |
!! |
− |
同じ値 |
|
|
|
ユーザグループ名 |
ユーザグループ名 |
− |
同じ値 |
|
||
|
_object=操作対象名[,操作対象名[,*]] |
_objectEx=操作対象名[,操作対象名[,*]] |
○ |
同じ値 |
指定できる操作対象名が128バイトに拡張しています。 |
||
|
_condition=条件グループ名[,条件グループ名[,*]] |
_condition=条件グループ名[,条件グループ名[,*]] |
− |
同じ値 |
|
||
|
!! |
!! |
− |
同じ値 |
|
||
注1)
○:変換が必要な項目です。「変換方法についての注意事項」がある場合は、注意事項を考慮して変換してください。マネージャ記述変換コマンドで自動変換された項目についても必ず確認してください。
×:該当する項目がありません。削除するか、先頭に"#"をつけてコメント行としてください。
−:変換の必要はありません。
1)投入できるリモートコマンドの長さ
IDカードセキュリティを使用している環境では、Systmwalker Centric Managerから投入できるリモートコマンドの最大長は120バイトです。121バイト以上のリモートコマンドは投入できません。コンソール操作制御を使用している環境では、投入できるリモートコマンドの長さが1024バイトまで拡張しており121バイト以上のリモートコマンドも判定を行う操作として、権限のチェックを行います。
そのため、IDカードセキュリティを使用している環境では投入できなかったリモートコマンドが、コンソール操作制御を使用している環境では投入できるようになることがあります。
投入するリモートコマンド
|
|----120バイト-----| |
マネージャ起動条件記述ファイルの設定で投入できる権限があってもコマンドの長さが121バイト以上あるため投入できない。
マネージャ起動条件記述ファイルの設定で投入できる権限があれば、コマンドの長さが1024バイトまでは投入できる。
2)前提となる「判定を行う操作」
コンソール操作制御では、IDカードセキュリティより多くの操作を「判定を行う操作」として登録できます。1つの「判定を行う操作」を行うときに前提となる「判定を行う操作」があり、前提となる「判定を行う操作」を許可する必要があります。以下にリモートコマンドの例を示します。前提となる「判定を行う操作」は、リファレンスマニュアルを参照してください。
例
リモートコマンド(command)を実行するには、[リモートコマンド]画面の起動"CONSOLE TOOLS_REMOTECOMMAND"を許可する必要があります。
!OperationEx opmgr 1,"CONSOLE TOOLS_REMOTECOMMAND" 1,"command ls -l" 50,"command kill" . !OperationEx-End |
Systemwalker Centric Manager GEE 11.0 以前からのバージョンアップであり、操作メニューの「ハード監視」または「WSMGR」を使用している場合は、バージョンアップ後にマネージャ起動条件ファイルの再設定が必要になります。12.0以降、操作メニューの「ハード監視」、「WSMGR」がIDカードセキュリティの操作チェックの対象になっています。
以下の条件にすべて一致する場合には、再設定が必要です。
マネージャ起動条件記述ファイルに、[ハード監視]と[WSMGR]の権限のレベルを登録してください。
11.0以前と同じように、[ハード監視]、[WSMGR]を操作チェックの対象としない場合は、以下の定義をマネージャ起動条件記述ファイルに追加してください。
|
!OperationEx |
マネージャ起動条件記述ファイルを変更した場合は、マネージャ起動条件ファイルを作成し、Systemwalker Centric Managerを再起動してください。
バージョンアップする際に退避されたIDカードセキュリティ・エージェント起動条件ファイルから、IDカードセキュリティエージェント起動条件記述ファイルと、自動変換した操作制御エージェント起動条件記述ファイルを作成します。
|
Systemwalkerインストールディレクトリ\mpwalker.dm\MpOrCtrl\bin\idchgagent |
コマンドの詳細はリファレンスマニュアルを参照してください。
設定を変更する項目を以下に示します。
|
項目名 |
IDカードセキュリティのエージェント起動条件記述ファイルの定義項目 |
操作制御エージェント起動条件記述ファイルで指定する項目 |
変換(注1) |
エージェント記述変換コマンドの動作 |
変換方法についての注意事項 |
|
デバイス名 |
device |
該当なし |
× |
削除 |
|
|
リーダのタイプ |
type |
該当なし |
× |
削除 |
|
|
保護の種別 |
kind |
該当なし |
× |
削除 |
端末の保護を使用する場合は、「カードのポーリング動作」機能を使用する。 |
|
認証 (カードデータ)有効時間 |
interval |
interval |
○ |
同じ値 |
コンソール操作制御機能では、最後に操作の判定が必要な操作(注2)を行ってから、指定した時間が経過すると、認証を解除します。 IDカードセキュリティでは、指定した時間だけ無操作状態(PC端末に入力がない状態)が続いた場合に、認証を解除します。 |
|
ポート番号 |
port |
該当なし |
○ |
手動で設定する |
ポート番号がデフォルト値(9343)でないときは「MpIdcMgr」サービス名のポート番号の設定を変更する。 |
|
運用管理サーバのホスト名 |
host |
該当なし |
× |
削除 |
コンソール操作制御は、Systemwalker Centric Manager起動時に指定した運用管理サーバに接続します。 |
|
運用管理サーバ未接続時の動作 |
option |
該当なし |
× |
削除 |
端末の保護を使用する場合は、「カードのポーリング動作」機能を使用する。 |
|
テストモード |
mode |
該当なし |
× |
削除 |
|
|
端末の保護を解除できるユーザ名 |
!! !! |
該当なし |
× |
削除 |
注1)
○:変換が必要な項目です。「注意事項」がある場合は、注意事項を考慮して変換してください。エージェント記述変換コマンドで自動変換された項目についても必ず確認してください。
×:該当する項目がありません。削除するか、先頭に"#"をつけてコメント行としてください。
−:変換の必要はありません。
注2)
Systemwalkerコンソールで操作の判定が必要な操作は、“Systemwalker Centric Manager ソリューションガイド セキュリティ編”の“コンソール操作制御機能の対象となるメニュー/操作”を参照してください。
SMARTACCESSの推奨値については、“Systemwalker Centric Managerソリューションガイド セキュリティ編”の“運用管理クライアントでの環境設定”を参照してください。
|
目次
索引
|