| Systemwalker Centric Manager ソリューションガイド セキュリティ編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第3部 セキュリティを強化するにはSystemwalkerの設定をどのようにしたらよいか | > 第4章 セキュリティを強化する各機能の設定手順 | > 4.1 [Systemwalkerコンソール]での操作を制限する | > 4.1.2 コンソール操作制御機能で認証する |
運用の開始/停止は、運用管理サーバ上で操作制御マネージャ起動条件記述ファイルを編集することで行います。
運用を開始する前に、監査ログを出力する設定を行ってください。コンソール操作制御機能の操作を判定した結果は監査ログに出力します。
なお、監査ログ出力の設定方法は、“監査ログを収集・保管するための設定”を参照してください。
以下に手順を示します。
|
1. 操作を行う担当者のユーザ名をシステムのユーザアカウントとして登録する 操作を行う担当者のユーザ名をシステムのユーザアカウントとして登録し、Systemwalker Centric Managerのロール(DmAdmin/DmOperation/DmReferenceのどれか)に所属させます。 ユーザアカウントの登録については、“操作を行う担当者のユーザ名をシステムに登録する”を参照してください。 |
|
2. 操作制御マネージャ起動条件記述ファイルの作成 ・コンソール操作制御機能を使用した運用を開始する場合、操作制御マネージャ起動条件記述ファイルのコンソール操作制御機能の実施有無のcheck_consoleに“y”を指定します。 ・コンソール操作制御機能を使用した運用を停止する場合、操作制御マネージャ起動条件記述ファイルのコンソール操作制御機能の実施有無のcheck_consoleに“n”を指定します。 操作制御マネージャ起動条件記述ファイルについては、“操作制御マネージャ起動条件記述ファイルの作成”を参照してください。 |
|
3. ファイルの変換 操作制御マネージャ起動条件記述ファイルを、操作制御マネージャ起動条件ファイルに変換します。変換方法については、“ファイルの変換”を参照してください。 |
|
4. Systemwalker Centric Managerの再起動 Systemwalker Centric Manager の起動/停止方法については、“Systemwalker Centric Manager導入手引書”を参照してください。 |
運用管理サーバ上で操作制御運用状態確認コマンド(idorcstatus)を実行することで、コンソール操作制御機能の運用状態を確認します。
以下に操作制御運用状態確認コマンドの実行例を示します。
[コンソール操作制御機能が運用中の場合]
|
/opt/FJSVsopct/bin/idorcstatus |
[コンソール操作制御機能が停止中の場合]
|
/opt/FJSVsopct/bin/idorcstatus |
idorcstatus(操作制御運用状態表示コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
操作制御マネージャ起動条件記述ファイルで設定した操作について動作確認します。意図した動作とならない場合は、監査ログで操作の判定の結果を確認し、操作制御マネージャ起動条件記述ファイルの該当する個所を再編集してください。
ログインIDでの操作の保護機能では、以下の場合、操作権限の判定で使用するログインIDはOSにログインしたユーザ名になります。
ユーザの追加、操作レベルの変更は、運用管理サーバ上で操作制御マネージャ起動条件記述ファイルを編集することで行います。
作業の実施前には、変更対象のユーザ名でSystemwalkerコンソールにログインし、ユーザが使用するツリーおよび、リモートコマンドグループ定義/カスタマイズ情報などの各種定義情報を設定したあとに、コンソール操作制御機能を設定してください(該当のメニューを使用できなくする前に必要な設定は行ってください)。
ユーザが使用するツリーおよび、リモートコマンドグループ定義/カスタマイズ情報などは、mpbcmcopyuserinfo(ユーザ定義情報複写コマンド)で他のユーザからコピーすることができます。mpbcmcopyuserinfo(ユーザ定義情報複写コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
以下に手順を示します。
|
1. 操作制御マネージャ起動条件記述ファイルの編集 操作制御マネージャ起動条件記述ファイルでユーザ情報、操作レベルを編集します。編集する内容については、“操作制御マネージャ起動条件記述ファイルの作成”を参照してください。 |
|
2. ファイルの変換 操作制御マネージャ起動条件記述ファイルを、操作制御マネージャ起動条件ファイルに変換します。変換方法については、“ファイルの変換”を参照してください。 |
ユーザの追加/削除、操作レベルの変更および定義を間違えた場合の修正の反映は、Systemwalker Centric Managerの再起動は必要ありません。
Systemwalker Web連携からの操作は、コンソール操作制御の対象外です。Systemwalker Web連携からの操作を使用できなくする場合は、下記の手順に従って、WebサーバからSystemwalker Web連携の仮想ディレクトリの設定を変更してください。
任意の端末からWeb連携のトップページおよびWeb連携の任意の機能(Webコンソールなど)が表示できることを確認します。
確認方法:
以下2つのURLをブラウザで参照し、「ページが見つかりません」(または、「Not Found」)の旨のメッセージが表示されないことを確認します。
【Windowsの場合】
|
http://運用管理サーバのホスト名/Systemwalker/default.htm |
【UNIXの場合】
|
http://運用管理サーバのホスト名/Systemwalker/index.html |
【Windowsの場合】
Webサーバから、以下の仮想ディレクトリを削除します。
|
/Systemwalker/CentricMGR/ |
※:存在しない場合もあります。
【UNIXの場合】
Webサーバから以下の仮想ディレクトリの定義をコメントアウト(行頭に“#”を記述)します。
|
ScriptAlias /MpScript/ "/opt/systemwalker/inet/scripts/" |
Webサーバを再起動します。
正しく仮想ディレクトリの設定が解除できたか確認するため、「1.」で表示したページおよび機能が使用できなくなっていることを確認します。
確認方法:
以下の2つのURLをブラウザで参照し、「ページが見つかりません」(または、「Not Found」)の旨のメッセージが表示されることを確認します。
【Windowsの場合】
|
http://運用管理サーバのホスト名/Systemwalker/default.htm |
【UNIXの場合】
|
http://運用管理サーバのホスト名/Systemwalker/index.html |
|
目次
索引
|