Systemwalker Centric Manager 使用手引書 監視機能編(互換用) - UNIX/Windows(R)共通 -

目次 索引

8.2.1.3 アクセス権を定義する

Systemwalker Centric Managerは、セキュリティのため、画面のアクセス権やツリーへのアクセス権をユーザごとに定義することができます。ここでは、以下の構成でアクセス権の定義方法を説明します。

• 画面のアクセス権を定義する
• ツリーに対するアクセス権を定義する

■画面のアクセス権を定義する

Systemwalker Centric Managerの各機能を利用するために必要な権限を、利用者ごとに設定することができます。Systemwalker Centric Managerは、ロールという単位で各機能の利用権限を定義しています。ロールとは、共通の役割(権限)を持つ利用者から構成されるグループのことです。Systemwalker Centric Managerを運用管理サーバにインストールすると、以下のロールが運用管理サーバに登録されます。

[表:機能の使用を許可するためにユーザを所属させるロール]

注)Solaris版、Linux版で登録されます。

管理者は、ユーザを上記のロールに適宜所属させてください。所属させるロールの種類により、ユーザが使用できる機能と利用権限が決まります。ロールと利用可能な機能の関係は、以下のとおりです。

• [Systemwalkerコンソール]の監視機能を使用するために必要な権限については、“[Systemwalkerコンソール]のメニュー項目”を参照してください。
• [Systemwalkerコンソール]の編集機能を使用するためには、DmAdminロールに所属している必要があります。
• [システム監視設定]ダイアログボックスを起動するためには、DmAdminロールに所属している必要があります。[システム監視設定]ダイアログボックスについては、“イベント監視の条件を定義する”の“それぞれのサーバに直接接続して環境定義を行う場合”を参照してください。
• DmAdminは、DmOperation、DmReference、OrmOperationの権限を含んでいます。
• DmOperationは、DmReference、OrmOperationの権限を含んでいます。
• 返答操作のコマンドの詳細は、“Systemwalker Centric Manager リファレンスマニュアル”の“返答メッセージ用コマンドの概要【UNIX版】”を参照してください。

“表:機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属していない一般のユーザは、Systemwalker Centric Managerの機能を使用できません。 [Systemwalkerコンソール]を起動するユーザ を、“表:機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属させるか、Administratorsグループに所属させてください。

【UNIXの場合】

スーパーユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわらず、アクセス制御の対象外として常に更新権を持つユーザとして扱われます。

【Windows(R)の場合】

Administratorsグループに所属するユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわらず、 アクセス制御の対象外として常に更新権を持つユーザとして扱われます。

運用管理クライアントからWindows Server 2003 STD/Windows Server 2003 DTC/Windows Server 2003 EE/Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 for Itanium-Based Systems運用管理サーバへ接続する場合

OSのセキュリティポリシーで、「アカウントの空のパスワードの使用をコンソールログオンのみに制限する」を「有効」としていた場合、パスワードが空のアカウントは、Systemwalker Centric Managerのユーザ認証でエラーとなります。

◆運用管理サーバのユーザをロールに登録する方法

運用管理サーバのユーザを、ロールに所属させる手順を以下に説明します。

1. [Systemwalkerコンソール]の[ポリシー]メニューから[ポリシーの定義]-[利用者のアクセス権設定]を選択します。

   →[ロール一覧]ダイアログボックスが表示されます。
   [ロールのプロパティ]には、登録されている[ロール名]および[説明]が表示されます。

2. 更新する[ロール名]を一覧から選択し、[プロパティ]ボタンをクリックします。

   →[ロール情報]ダイアログボックスが表示されます。
   当該ロールに[所属するメンバー]がリストボックスに表示されます。

3. ロールに所属するユーザを追加するため、[追加]ボタンをクリックします。

   →[ロールへのユーザの追加]ダイアログボックスが表示されます。

4. ロールに所属させるユーザを選択し、[追加]ボタンをクリックします。
5. ロールへ追加するすべてのユーザを選択後、[OK]ボタンをクリックします。

   →[ロール情報]ダイアログボックスが表示されます。

6. [OK]ボタンをクリックします。

   →[ロール一覧]ダイアログボックスが表示されます。

7. [終了]ボタンをクリックします。

◆部門管理サーバ/業務サーバのユーザをロールに登録する方法

部門管理サーバまたは業務サーバ上のユーザを、ロールに所属させる手順を以下に説明します。

1. [スタート]メニューから[プログラム]-[Systemwalker Centric Manager]-[環境設定]-[利用者のアクセス権]を選択します。

   →[セキュリティ設定[ログイン]]ダイアログボックスが表示されます。

2. 接続する部門管理サーバ/業務サーバの[ホスト名]、[ユーザ名]、[パスワード]を入力し、[OK]ボタンをクリックします。[パスワード]として指定できるのは28バイトまでです。

   →[ロール一覧]ダイアログボックスが表示されます。

   【Windowsの場合】

   Windows(R)のサーバに接続する場合は、[ドメイン名]の指定が可能です。

   • ログインでのユーザ名の検索順序

     [ドメイン名]を入力しない場合、指定したユーザは、以下の順に検索されます。

     1. ローカルコンピュータ
     2. ドメイン
     3. 信頼関係のあるドメイン
3. [ロール一覧]ダイアログボックス以降の操作手順は、“アクセス権を定義する”の“運用管理サーバのユーザをロールに登録する方法”の手順2)以降を参照してください。

ネットワーク上の安全が保証されていない環境で使用する場合、サーバ上でmpsetmemコマンドを使用することにより、より安全にユーザをロールに登録することができます。mpsetmem(ロールへのメンバの追加/削除コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

【UNIXの場合】

セキュリティロールに所属させるユーザが、telnetなどでログインしていると、セキュリティロールにそのユーザを所属させることができません。セキュリティロールにユーザを所属させる際には、そのユーザがログインしていないことを確認してから実行してください。

◆運用管理クライアントがインストールされたWindows端末にログインする場合の注意事項

運用管理クライアントがWindows(R) 2000 Professionalの場合、Administratorsのグループに所属するローカルユーザでWindows端末にログインする必要があります。Administratorsのグループに所属していない場合は以下の機能が使用できません。

• MIB拡張 機能
• 共通トレースの出力

  共通トレースが出力されないとSystemwalkerトラブル時の調査を行うことができません。

運用管理クライアントがWindows(R) XP、またはWindows Vistaの場合は、運用管理クライアントのDmAdmin、DmOperation、DmReference、またはAdministratorsのどれかのグループに所属するローカルユーザでWindows端末にログインする必要があります。

ただし、Windows Vistaで、ユーザアカウント制御(UAC)が有効になっている場合には、DmAdmin、DmOperation、またはDmReferenceのどれかのグループに所属するローカルユーザでWindows端末にログインする必要があります。

運用時には、DmReferenceグループに所属するローカルユーザでWindows端末にログインすることを推奨します。Windows端末にログインするとき、ローカルユーザが所属するグループを下表に示します。

以下の手順に従い、ローカルユーザをDmReferenceグループに追加してください。

設定例

“スタートアップアカウント”として指定したローカルユーザ(systemwalker)をDmReferenceグループに追加する。

手順

1. [コントロールパネル]-[システムとメンテナンス]-[管理ツール]-[コンピュータの管理]を選択し、[コンピュータの管理]画面を表示します。
2. [ローカルユーザとグループ]-[ユーザ]フォルダをクリックし、DmReferenceグループに所属させたいローカルユーザ(ここではsystemwalker)を選択し、[操作]-[プロパティ]メニューをクリックします。
3. プロパティ画面(ここではsystemwalkerのプロパティ)を選択し、"所属するグループ"タブを選択します。
4. [追加]ボタンをクリックし、[グループの選択]画面を表示します。
5. [詳細設定]ボタンをクリックし、[グループの選択]画面を表示します。
6. [今すぐ検索]ボタンをクリックし、[検索結果]リストに表示されたDmReferenceグループを選択し、[OK]ボタンをクリックます。
7. [グループの選択]画面で、[OK]ボタンをクリックます。
8. プロパティ画面(ここではsystemwalkerのプロパティ)で、[OK]ボタンをクリックます。

■ツリーに対するアクセス権を定義する

ツリーに対し、ユーザの使用権を設定することで、ユーザごとに[Systemwalkerコンソール]の特定のツリーだけを表示したり、表示しないようにすることができます。

使用権を設定していないツリー

インストール時およびツリー作成時に、ツリーに対し、以下のアカウントの使用権が設定されます。Systemwalker Centric Managerの利用者で[Systemwalkerコンソール]にログインした場合、ツリーは表示されます。各ツリーに対するアクセス権は以下のとおりです。

[表:使用権とツリーに対するアクセス権 (使用権設定前)]

特定のユーザだけ、特定のツリーを表示しないように設定する

特定のユーザだけ、[Systemwalkerコンソール]の特定のツリーを表示しないように設定する手順を説明します。ツリーに対して更新権のあるユーザで、[Systemwalkerコンソール[編集]]画面から設定します。

1. ツリーを選択します。
   • [ノード管理]ツリー、[業務管理]ツリーの場合
     1. [Systemwalkerコンソール]の[ファイル]メニューから[監視ツリーの選択]を選択します。

        →[監視ツリーの選択]ダイアログボックスが表示されます。

     2. ツリーを選択します。
   • [ノード管理]ツリー、[業務管理]ツリー以外の場合
     1. [Systemwalkerコンソール]で、ツリーを選択します。
2. [Systemwalkerコンソール]の[ファイル]メニューから[監視ツリーのアクセス権設定]を選択します。

   →[アクセス権情報]ダイアログボックスが表示されます。

3. [使用権のあるアカウント]で、ツリーを表示させないユーザが所属しているロールを選択します。
4. [削除]ボタンをクリックします。

   注：管理者アカウントが、rootの場合は削除できません。

5. 3.でアクセス権を削除したロールに所属しているユーザに、ツリーを表示させるユーザが含まれている場合は、ユーザに使用権を設定します。
   1. [追加]ボタンをクリックします。

      →[ユーザとロールの追加] ダイアログボックスが表示されます。

   2. [ユーザ表示]ボタンをクリックします。
   3. アクセス権を追加するユーザを選択します。
   4. [追加]ボタンをクリックします。
   5. [アクセス権の種類]に[使用権]を設定します。
   6. [OK]ボタンをクリックします。
6. [アクセス権情報]ダイアログボックスで[OK]ボタンをクリックします。

設定例

“名古屋本社ツリー”“大阪支社ツリー”を作成し、DmOperationロールに所属する“osakaOpeユーザ”が[Systemwalkerコンソール]にログインした場合は、“大阪支社ツリー”だけを表示する

手順

1. “名古屋本社ツリー”に設定されているDmOperationロールの使用権を削除します。
2. “名古屋本社ツリー”に、“nagoyaOpe”ユーザの使用権を追加します。

[表:ユーザと表示されるツリー(設定後)]

• ツリーの表示、非表示は設定できますが、ツリーに対する各ユーザのアクセス権（更新権、操作権、参照権）は、変更できません。
• 監視機能を使用する場合、最低一つのツリーに対する使用権が必要です。また、編集機能を使用する場合には、[ノード一覧]ツリーに対する使用権が必要です。

目次 索引