| Systemwalker Centric Manager ソリューションガイド セキュリティ編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第3部 セキュリティを強化するにはSystemwalkerの設定をどのようにしたらよいか | > 第4章 セキュリティを強化する各機能の設定手順 | > 4.1 [Systemwalkerコンソール]での操作を制限する |
Systemwalker Centric Managerは、セキュリティのため、画面のアクセス権やツリーへのアクセス権をユーザごとに定義することができます。ここでは、以下の構成でアクセス権の定義方法を説明します。
Systemwalker Centric Managerの各機能を利用するために必要な権限を、利用者ごとに設定することができます。Systemwalker Centric Managerは、ロールという単位で各機能の利用権限を定義しています。ロールとは、共通の役割(権限)を持つ利用者から構成されるグループのことです。Systemwalker Centric Managerをインストールすると、以下のロールが登録されます。
|
ロール名 |
説明 |
使用機能 |
|
DmAdmin |
監視機能の管理系ロール |
[Systemwalkerコンソール] |
|
DmOperation |
監視機能の操作系ロール |
|
|
DmReference |
監視機能の参照系ロール |
|
|
OrmOperation(注) |
返答機能の操作系ロール |
返答操作のコマンド |
|
SecurityAdmin |
セキュリティの管理系ロール |
[Systemwalkerコンソール](SecurityAdmin、SecurityAuditorは、サーバ操作制御機能を使用する権限です。また、サーバ操作制御を使用するには同時にDmAdminロールに所属している必要があります。) |
|
SecurityAuditor |
セキュリティの監査系ロール |
注)Solaris版、Linux版で登録されます。
管理者は、ユーザを上記のロールに適宜所属させてください。所属させるロールの種類により、ユーザが使用できる機能と利用権限が決まります。ロールと利用可能な機能の関係は、以下のとおりです。
“表:機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属していない一般のユーザは、Systemwalker Centric Managerの機能を使用できません。[Systemwalkerコンソール]を起動するユーザを、“表:機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属させるか、Administratorsグループに所属させてください。
[Systemwalkerコンソール]を起動するユーザについては、“Systemwalker Centric Manager 使用手引書 監視機能編”の“アクセス権を定義する”を参照してください。
スーパーユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわらず、アクセス制御の対象外として常に更新権を持つユーザとして扱われます。
Administratorsグループに所属するユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわらず、 アクセス制御の対象外として常に更新権を持つユーザとして扱われます。
運用管理クライアントからWindows Server 2003 STD/Windows Server 2003 DTC/Windows Server 2003 EE 運用管理サーバへ接続する場合
OSのセキュリティポリシーで、「アカウントの空のパスワードの使用をコンソールログオンのみに制限する」を「有効」としていた場合、パスワードが空のアカウントは、Systemwalker Centric Managerのユーザ認証でエラーとなります。
運用管理クライアントがWindows(R) XP、またはWindows Vistaの場合は、運用管理クライアントのDmAdmin、DmOperation、DmReference、またはAdministratorsのどれかのグループに所属するローカルユーザでWindows端末にログインする必要があります。
ただし、Windows Vistaで、ユーザアカウント制御(UAC)が有効になっている場合には、DmAdmin、DmOperation、またはDmReferenceのどれかのグループに所属するローカルユーザでWindows端末にログインする必要があります。
運用時には、DmReferenceグループに所属するローカルユーザでWindows端末にログインすることを推奨します。
以下の運用を検討されている場合、セキュリティをより高めた監視を行うことを推奨します。
セキュリティをより高めた監視を行うには、以下の設定を行ってください。
管理者、オペレータ、および資源配付の管理者(資源配付のオペレータ含む)のユーザ名をそれぞれ決定してください。各ユーザの役割は、以下のとおりです。
Systemwalker Centric Managerのすべての資源に対し、更新、操作、参照できる特権ユーザ。導入時の初期設定や構成情報/ポリシーの変更などを行うユーザ。
通常の監視操作を行い、特定の資源に対しての操作、参照が行えるユーザ。更新権は付与されていないが、監視時にリモートコマンドの発行やイベントの対処などを行うユーザ。
資源配付機能を利用するユーザ。
注)資源配付の操作は、コンソール操作制御の対象ではないため、Systemwalkerコンソールからは使用せず、スタートメニューから使用してください。
管理者およびオペレータに対して、それぞれ以下の設定を行ってください。
【付与するロールおよび権限】
【付与するロールおよび権限】
操作、参照ユーザの場合は、「DmOperation」、参照ユーザの場合は、「DmReference」を付与してください。
以下のメニューについて、上記「ユーザ権限の設定」の「オペレータ」が実行できないようにするため、DmAdminロールに所属するユーザのみが実行できるようコンソール操作制御機能で設定してください。定義方法は、“コンソール操作制御機能で認証する”を参照してください。
注1)操作メニュー登録画面または、「mpaplreg(監視画面のメニュー項目登録コマンド)」から登録したメニューです。
上記のメニューは、表示している監視ツリーに含まれないオブジェクトについて参照/操作/更新が可能です。監視ツリーに含まれないオブジェクトを参照/操作/更新させない運用をするために、本設定を行う必要があります。
以下の画面および機能においてインベントリ情報を参照するには、コンソール操作制御機能が運用中でない場合に使用してください。
|
目次
索引
|
