3.1.3 Systemwalkerの利用者権限を定義する

Systemwalker Centric Manager 使用手引書監視機能編 - UNIX/Windows(R)共通 -

目次索引

第2部設定

> 第3章設定の各手順

> 3.1 事前準備を行う

3.1.3 Systemwalkerの利用者権限を定義する

Systemwalker Centric Managerには、以下の利用者権限があります。

画面のアクセス権を定義する
特定の監視ツリーへのアクセス権を定義する
メニュー単位のアクセス権を定義する

■画面のアクセス権を定義する

利用者に対するセキュリティ強化のために、画面のアクセス権を定義します。Systemwalker Centric Managerは、ロールという単位で各機能の利用権限を定義しています。ロールとは、共通の役割(権限)を持つ利用者から構成されるグループのことです。Systemwalker Centric Managerを運用管理サーバにインストールすると、以下のロールが運用管理サーバに登録されます。

[表:機能の使用を許可するためにユーザを所属させるロール]

ロール名	利用できる範囲	使用機能
DmAdmin	監視機能の参照、操作、および設定のすべての機能	[Systemwalkerコンソール]
DmOperation	監視機能の参照、および操作の機能
DmReference	監視機能の参照の機能
OrmOperation(注)	監視機能の返答操作の機能	返答操作のコマンド
SecurityAdmin	サーバ操作制御機能の参照、操作、および設定の機能	[Systemwalkerコンソール]
SecurityAuditor	サーバ操作制御機能の参照の機能	[Systemwalkerコンソール]

注)Solaris版、Linux版で登録されます。

管理者は、ユーザを上記のロールに適宜所属させてください。所属させるロールの種類により、ユーザが使用できる機能と利用権限が決まります。ロールと利用可能な機能の関係は、以下のとおりです。

[Systemwalkerコンソール]の監視機能を使用するために必要な権限については、“[Systemwalkerコンソール]のメニュー項目”を参照してください。
[Systemwalkerコンソール]の編集機能を使用するためには、DmAdminロールに所属します。
[システム監視設定]ダイアログボックスを起動するためには、DmAdminロールに所属します。[システム監視設定]ダイアログボックスについては、“イベント監視の監視条件を設定する”の“サーバに直接接続して環境定義を行う場合”を参照してください。
DmAdminは、DmOperation、DmReference、OrmOperationの権限を含んでいます。
DmOperationは、DmReference、OrmOperationの権限を含んでいます。
返答操作のコマンドの詳細は、“Systemwalker Centric Manager リファレンスマニュアル”の“返答メッセージ用コマンドの概要【UNIX版】”を参照してください。

“表:機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属していない一般のユーザは、Systemwalker Centric Managerの機能を使用できません。[Systemwalkerコンソール]を起動するユーザを、“表:機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属させるか、Administratorsグループに所属させてください。

スーパーユーザ/Administratorsグループに所属するユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわらず、アクセス制御の対象外として常に更新権を持つユーザとして扱われます。

運用管理クライアントからWindows Server 2003 STD/Windows Server 2003 DTC/Windows Server 2003 EE/Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 for Itanium-Based Systems運用管理サーバへ接続する場合の注意事項

OSのセキュリティポリシーで、「アカウントの空のパスワードの使用をコンソールログオンのみに制限する」を「有効」としていた場合、パスワードが空のアカウントは、Systemwalker Centric Managerのユーザ認証でエラーとなります。

◆運用管理サーバのユーザをロールに登録する方法

運用管理サーバのユーザを、ロールに登録させる手順を以下に説明します。

[Systemwalkerコンソール]の[ポリシー]メニューから[セキュリティ]-[利用者のアクセス権設定]を選択します。
→[ロール一覧]ダイアログボックスが表示されます。
更新する[ロール名]を一覧から選択し、[プロパティ]ボタンをクリックします。
→[ロール情報]ダイアログボックスが表示されます。
当該ロールに[所属するメンバー]がリストボックスに表示されます。
ロールに所属するユーザを登録するため、[追加]ボタンをクリックします。
→[ロールへのユーザの追加]ダイアログボックスが表示されます。
ロールに登録させるユーザを選択し、[追加]ボタンをクリックします。
ロールへ登録するすべてのユーザを選択後、[OK]ボタンをクリックします。
[OK]ボタンをクリックします。
[終了]ボタンをクリックします。

◆部門管理サーバ/業務サーバのユーザをロールに登録する方法

部門管理サーバまたは業務サーバ上のユーザを、ロールに登録させる手順を以下に説明します。

ネットワーク上の安全が保証されていない環境で使用する場合、サーバ上でmpsetmemコマンドを使用すると、より安全にユーザをロールに登録します。mpsetmem(ロールへのメンバの追加/削除コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

[スタート]メニューから[プログラム]-[Systemwalker Centric Manager]-[環境設定]-[利用者のアクセス権]を選択します。
→[セキュリティ設定[ログイン]]ダイアログボックスが表示されます。
接続する部門管理サーバ/業務サーバの[ホスト名]、[ユーザ名]、[パスワード]を入力し、[OK]ボタンをクリックします。[パスワード]として指定できるのは28バイトまでです。
→[ロール一覧]ダイアログボックスが表示されます。

【Windowsの場合】

Windows(R)のサーバに接続する場合は、[ドメイン名]の指定が可能です。
- ログインでのユーザ名の検索順序
  [ドメイン名]を入力しない場合、指定したユーザは、以下の順に検索されます。
  1. ローカルコンピュータ
  2. ドメイン
  3. 信頼関係のあるドメイン
[ロール一覧]ダイアログボックス以降の操作手順は、 “運用管理サーバのユーザをロールに登録する方法”の手順2)以降を参照してください。

【UNIXの場合】

セキュリティロールに所属させるユーザが、telnetなどでログインしていると、セキュリティロールにそのユーザを所属させることができません。セキュリティロールにユーザを所属させる際には、そのユーザがログインしていないことを確認してから実行してください。

運用管理クライアントがインストールされたWindows端末にログインする場合の注意事項

運用管理クライアントがWindows(R) 2000 Professionalの場合、Administratorsのグループに所属するローカルユーザでWindows端末にログインします。Administratorsのグループに所属していない場合は以下の機能が使用できません。

MIB拡張機能
共通トレースの出力
共通トレースが出力されないとSystemwalkerトラブル時の調査を行うことができません。

運用管理クライアントがWindows(R) XP、またはWindows Vistaの場合は、運用管理クライアントのDmAdmin、DmOperation、DmReference、またはAdministratorsのどれかのグループに所属するローカルユーザでWindows端末にログインします。

ただし、Windows Vistaで、ユーザアカウント制御(UAC)が有効になっている場合には、DmAdmin、DmOperation、またはDmReferenceのどれかのグループに所属するローカルユーザでWindows端末にログインします。

運用時には、DmReferenceグループに所属するローカルユーザでWindows端末にログインすることを推奨します。Windows端末にログインするとき、ローカルユーザが所属するグループを下表に示します。

OS種別	Windows端末にログインするローカルユーザが所属するグループ
Windows(R) XP	DmAdmin、DmOperation、DmReference、Administrators
Windows Vista(UACが無効な場合)	DmAdmin、DmOperation、DmReference、Administrators
Windows Vista(UACが有効な場合)	DmAdmin、DmOperation、DmReference

◆設定例

“スタートアップアカウント”として指定したローカルユーザ(systemwalker)をDmReferenceグループに追加する。

[コントロールパネル]-[システムとメンテナンス]-[管理ツール]-[コンピュータの管理]を選択し、[コンピュータの管理]画面を表示します。
[ローカルユーザとグループ]-[ユーザ]フォルダをクリックし、DmReferenceグループに所属させたいローカルユーザ(ここではsystemwalker)を選択し、[操作]-[プロパティ]メニューをクリックします。
プロパティ画面(ここではsystemwalkerのプロパティ)を選択し、"所属するグループ"タブを選択します。
[追加]ボタンをクリックし、[グループの選択]画面を表示します。
[詳細設定]ボタンをクリックし、[グループの選択]画面を表示します。
[今すぐ検索]ボタンをクリックし、[検索結果]リストに表示されたDmReferenceグループを選択し、[OK]ボタンをクリックます。
[グループの選択]画面で、[OK]ボタンをクリックます。
プロパティ画面(ここではsystemwalkerのプロパティ)で、[OK]ボタンをクリックます。

◆[Systemwalkerコンソール]を起動するユーザ

[Systemwalkerコンソール]は、以下のユーザで起動します。

【UNIX版の場合】

操作するコンピュータ：運用管理クライアント

[接続先の設定]画面で、[ログイン画面で入力する]と選択した場合

起動ユーザ

[Systemwalkerコンソール[ログイン]]画面で指定したユーザ
[Systemwalkerコンソールセットアップ]画面で、[以下のユーザを使用する]と選択した場合

起動ユーザ

[接続先の設定]画面で指定したユーザ

【Windows版の場合】

操作するコンピュータ：運用管理サーバ

起動ユーザ

運用管理サーバのコンピュータのログインユーザ

操作するコンピュータ：運用管理クライアント

[接続先の設定]画面で、[ログイン画面で入力する]と選択した場合
[Systemwalkerコンソール[ログイン]]画面
- [ログインユーザを指定する]を選択しない
  
  起動ユーザ
  
  運用管理クライアントのコンピュータのログインユーザ
- [ログインユーザを指定する]を選択する
  
  起動ユーザ
  
  [Systemwalkerコンソール[ログイン]]画面で指定したユーザ
[接続先の設定]画面で、[以下のユーザを使用する]と選択した場合

起動ユーザ

[接続先の設定]画面で指定したユーザ

起動するユーザの条件

ユーザの所属グループ	[Systemwalkerコンソール[編集]]を操作する	[Systemwalkerコンソール[監視]]を操作する
Administratorsグループ	○	○
DmAdminロール	○	○
DmOperationロール	×	○
DmReferenceロール	×	○

○：操作可能、×：操作不可

■特定の監視ツリーへのアクセス権を定義する

利用者に対するセキュリティ強化のために、特定の監視ツリーへのアクセス権を定義します。[Systemwalkerコンソール]で以下の設定ができます。

特定のシステムやサーバ以外の情報には、アクセスできないように、特定のツリーだけ表示することができます。

なお、ツリーの表示、非表示は設定できますが、ツリーに対する各ユーザのアクセス権(更新権、操作権、参照権)は、変更できません。

監視機能を使用する場合、最低一つのツリーに対する使用権が必要です。また、編集機能を使用する場合には、[ノード一覧]ツリーに対する使用権が必要です。

◆使用権を設定していないツリー

インストール時およびツリー作成時に、ツリーに対し、以下のアカウントの使用権が設定されます。Systemwalker Centric Managerの利用者で[Systemwalkerコンソール]にログインした場合、ツリーは表示されます。各ツリーに対するアクセス権は以下のとおりです。

[表:使用権とツリーに対するアクセス権 (使用権設定前)]

使用権が設定されるアカウント	ツリーの所有権	[Systemwalkerコンソール]
		[編集]	[監視]
システム管理者 DmAdmin DmOperation DmReference DistributionAdmin DistributionOperation DistributionReference SecurityAdmin SecurityAuditor	有有有有有有有有有	更新権更新権－－－－－－－	更新権更新権操作権参照権－－－参照権参照権

◆特定のユーザだけ、特定のツリーを表示しないように設定する

特定のユーザだけ、[Systemwalkerコンソール]の特定のツリーを表示しないように設定する手順を説明します。ツリーに対して更新権のあるユーザで、[Systemwalkerコンソール[編集]]画面から設定します。

ツリーを選択します。
- [ノード管理]ツリー、[業務管理]ツリーの場合
  1. [Systemwalkerコンソール]の[ファイル]メニューから[監視ツリーの選択]を選択します。
    →[監視ツリーの選択]ダイアログボックスが表示されます。
  2. ツリーを選択します。
- [ノード管理]ツリー、[業務管理]ツリー以外の場合
  1. [Systemwalkerコンソール]で、ツリーを選択します。
[Systemwalkerコンソール]の[ファイル]メニューから[監視ツリーのアクセス権設定]を選択します。
→[アクセス権情報]ダイアログボックスが表示されます。
[使用権のあるアカウント]で、ツリーを表示させないユーザが所属しているロールを選択します。
[削除]ボタンをクリックします。
注：管理者アカウントが、rootの場合は削除できません。
3.でアクセス権を削除したロールに所属しているユーザに、ツリーを表示させるユーザが含まれている場合は、ユーザに使用権を設定します。
1. [追加]ボタンをクリックします。
  →[ユーザとロールの追加] ダイアログボックスが表示されます。
2. [ユーザ表示]ボタンをクリックします。
3. アクセス権を追加するユーザを選択します。
4. [追加]ボタンをクリックします。
5. [アクセス権の種類]に[使用権]を設定します。
6. [OK]ボタンをクリックします。
[アクセス権情報]ダイアログボックスで[OK]ボタンをクリックします。

設定例

“名古屋本社ツリー”、“大阪支社ツリー”を作成し、DmOperationロールに所属する“osakaOpeユーザ”が[Systemwalkerコンソール]にログインした場合は、“大阪支社ツリー”だけを表示する

ロール名	所属ユーザ
DmAdmin	nagoyaAdm、osakaAdm
DmOperation	nagoyaOpe、osakaOpe
DmReference	nagoyaRef、osakaRef

“名古屋本社ツリー”に設定されているDmOperationロールの使用権を削除します。
“名古屋本社ツリー”に、“nagoyaOpe”ユーザの使用権を追加します。

[表:ユーザと表示されるツリー(設定後)]

ユーザ	表示されるツリー	ツリーに対するアクセス権
nagoyaAdm	名古屋本社大阪支社	更新権更新権
osakaAdm	名古屋本社大阪支社	更新権更新権
nagoyaOpe	名古屋本社大阪支社	操作権操作権
osakaOpe	大阪支社	操作権
nagoyaRef	名古屋本社大阪支社	参照権参照権
osakaRef	名古屋本社大阪支社	参照権参照権

■メニュー単位のアクセス権を定義する

[Systemwalkerコンソール]のメニュー単位のアクセス権を定義します。

定義方法については、“Systemwalker Centric Manager 使用手引書セキュリティ編”の“[Systemwalkerコンソール]のアクセス権の考え方”を参照してください。

目次索引