Interstage Application Server 運用ガイド

目次 索引

2.2.3 ログイン認証方法の選択

　管理サーバのInterstage管理コンソールは、ログインユーザを管理するリポジトリ（以降、ユーザリポジトリと呼びます）として以下のどちらかを選択できます。選択したユーザリポジトリに対してログイン認証を行います。
　管理サーバ以外のInterstage管理コンソールは、必ず管理対象サーバのOSに登録されているユーザによる認証が行われます。

1. 管理対象サーバのOSに登録されているユーザによる認証
2. 管理対象サーバのディレクトリサービスに登録されているユーザによる認証

　ユーザリポジトリの変更方法はInterstage管理コンソールの[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] から[セキュリティ] > [運用セキュリティ]で行います。デフォルトでは管理対象サーバのOSに登録されているユーザ認証を使用します。

　サポートするディレクトリサービスはSmart Repositoryです。Smart Repositoryの使用方法については"Smart Repository運用ガイド"を参照してください。

　管理サーバ上のディレクトリサービスを使用する場合、SSL通信は使用できません。

■ 管理対象サーバのOSに登録されているユーザリポジトリを使用する場合

　Interstage管理コンソールの利用者は、以下のとおり2種類の権限を持つユーザに分類されます。この分類のことをロールと呼びます。ログインユーザの権限によって操作可能な機能範囲が異なります。

　ユーザ情報の登録方法については各OSのヘルプ、またはマニュアルを参照してユーザ情報を登録してください。
　上記以外に特別な権限が必要な操作があります。権限がない場合、以下のエラーが発生します。上記以外の操作を実行して以下のエラーが発生した場合には、Interstage管理コンソールのヘルプを参照して必要な権限を確認してください。

◆ユーザ情報登録

　各OSのヘルプ、またはマニュアルを参照してユーザ情報を登録してください。

■ 管理対象サーバのディレクトリサービスに登録されているユーザリポジトリを使用する場合

　Interstage管理コンソールの利用者は、以下のとおり4種類の権限を持つユーザに分類されます。この分類のことをロールと呼びます。ログインユーザの権限によって操作可能な機能範囲が異なります。

◆ユーザ情報登録

　以下のいずれかの方法でユーザ情報の登録を行います。

• Smart Repositoryのエントリ管理ツールを使用する場合
• コマンドを使用する場合

【Smart Repositoryのエントリ管理ツールを使用する場合】

　Smart Repositoryに運用操作用のユーザ情報を以下の手順で構築してください。

1. リポジトリの作成
   Smart Repositoryのリポジトリを「スタンドアロン形態」、または「レプリケーション形態のマスタ」で作成し、作成したリポジトリを起動します。操作はInterstage管理コンソールで行います。詳細は、“Smart Repository運用ガイド”を参照してください。
2. リポジトリへのログイン
   Smart Repositoryのエントリ管理ツールを起動して、Interstage管理コンソールで生成したリポジトリにログインしてください。
3. 検索ベース識別名の決定
   ユーザ情報を管理するDN（識別名）を決定します。検索ベース識別名で指定するDNを検索ベース識別子と呼びます。デフォルトでは、「ou=Operation,ou=interstage,o=fujitsu,dc=com」を使用してください。
   決定した検索ベース識別子のディレクトリが生成されていない場合には生成してください。

   以下の手順で“Operation"というディレクトリを、作成できます。

   1. [ツリー表示域]から上位エントリとするエントリ(デフォルトの場合は“ou=interstage,o=fujitsu,dc=com”)を選択します。マウスの右ボタンをクリックして、ポップアップメニューから[追加]をクリックし、[エントリ追加]画面を表示させます。
   2. [エントリ追加]画面で、[オブジェクトクラス一覧]から“組織単位:organizationUnit”を選択します。
   3. 属性名[ou]に“Operation”を入力し、[OK]をクリックしてディレクトリを作成します。

   エントリの追加の詳細については、エントリ管理ツールヘルプを参照してください。
   

4. ユーザの登録
   Interstageの運用操作可能なユーザは、以下の検索ベース識別配下に登録します。斜体部分については、最初に設計したユーザ情報を管理するDNによって可変となります。検索ベース識別名に属性objectClassが「organizationalUnit」の“User”というディレクトリを3と同じ手順で作成します。
   　

   ou=User,ou=Operation,ou=interstage,o=fujitsu,dc=com

   
   

   作成したディレクトリに以下の手順でエントリを登録してください。

   1. [ツリー表示域]から作成したエントリ(デフォルトの場合は“ou=User,ou=Operation,ou=interstage,o=fujitsu,dc=com”)を選択します。マウスの右ボタンをクリックして、ポップアップメニューから[追加]をクリックし、[エントリ追加]画面を表示させます。
   2. [エントリ追加]画面で、[オブジェクトクラス一覧]から“インターネットユーザ:inetOrgPerson”を選択します。
   3. 属性名に以下のように入力して[OK]をクリックしてエントリを作成します。
      • ユーザの属性cnは「ユーザ名」を表す
      • ユーザの属性snは「姓、またはラストネーム」を表す
      • ユーザの属性「userPassword」は認証時に必要なパスワード情報を表す(パスワードは必ず指定してください)
      • ユーザの識別子のRDNは「cn」を使用する。このcnがInterstage管理コンソールへのログイン時に入力するユーザ名となる。

   ユーザ名を“Smith”とした場合の例

   cn=Smith,ou=User,ou=Operation,ou=interstage,o=fujitsu,dc=com

   
   

   　

5. 登録したユーザへのロールの割り当て
   Interstageの運用操作で識別されるロールは、以下の検索ベース識別配下で管理されます。斜体部分については、最初に設計したユーザ情報を管理するDNによって可変となります。検索ベース識別名に属性objectClassが「organizationalUnit」の“Role”というディレクトリを3と同じ手順で作成します。
   　

   ou=Role,ou=Operation,ou=interstage,o=fujitsu,dc=com

   作成したディレクトリに以下の手順でエントリを登録してください。

   1. [ツリー表示域]から作成したエントリ(デフォルトの場合は“ou=Role,ou=interstage,o=fujitsu,dc=com”)を選択します。マウスの右ボタンをクリックして、ポップアップメニューから[追加]をクリックし、[エントリ追加]画面を表示させます。
   2. [エントリ追加]画面で、[オブジェクトクラス一覧]から“グループ:groupOfNames”を選択します。
   3. 属性名に以下のように入力して[OK]をクリックしてエントリを作成します。
      • ロールの属性cnは「ロール名」を表す。ロール名は以下の4つが存在する。
        - Monitors（参照権限）
        - Operators（運用操作権限）
        - Configurators（定義変更権限）
        - Administrators（管理者権限）
   4. ユーザにロールを割り当てるには、作成したロールのエントリ名をマウスで右クリックし、ポップアップメニューから「更新」をクリックして、エントリの更新画面を表示させます。「属性追加」ボタンをクリックして属性追加画面を表示させ、属性名に「member」を入力してください。
      属性値は、たとえば以下のようなディレクトリサービス上の識別子情報を登録します。入力が完了したら、「OK」ボタンをクリックし属性を追加します。
      複数のユーザを登録したい場合、member属性を複数登録してください。ここでは、「Administrators」を例としています。
      • ロールの属性memberは「ロールを与えられたユーザ名」を表す。
        - Administrators（管理者権限）

   memberに指定されるユーザが“Smith”の場合

   cn=Smith,ou=User,ou=Operation,ou=interstage,o=fujitsu,dc=com

   
   

   以下は、設定後の画面の例です。

   

LDIFファイルを使用する場合

　エントリ管理ツールの移入画面でLDIFファイルを指定することにより、GUIから登録できます。

　LDIFファイルを使用する場合は、以下の場所に格納されているLDIFファイルのサンプルを参照してください。なお、ユーザの情報はサンプルデータが定義されているため、必要に応じてファイルをコピーして編集して使用してください。

C:\Interstage\jmx\etc\user_repository_ldif.txt

/opt/FJSVisjmx/etc/user_repository_ldif.txt

　詳細は、“Smart Repository運用ガイド”の“エントリ管理ツールを使用する”を参照してください。

【コマンドを使用する場合】

　コマンドを使用して、リポジトリへのエントリの追加が行えます。
　コマンドの詳細については、“Smart Repository運用ガイド”の“コマンドを使用する”を参照してください。

実行例

LDIFファイルを使用する場合

　LDIFファイルを使用する場合は、以下の場所に格納されているLDIFファイルのサンプルを参照してください。なお、ユーザの情報はサンプルデータが定義されているため、必要に応じてファイルをコピーして編集して使用してください。

C:\Interstage\jmx\etc\user_repository_ldif.txt

/opt/FJSVisjmx/etc/user_repository_ldif.txt

　ディレクトリサービスの構成イメージは以下です。

◆認証サーバの設定

　Interstage管理コンソールの[一括操作] > [セキュリティ] > [運用セキュリティ] 画面から認証サーバの設定を行います。リポジトリの設定と、ユーザ登録時に決定した検索ベース識別名を定義してください。Interstage管理コンソールの詳細はInterstage管理コンソールのヘルプを参照してください。

◆ディレクトリサービスのユーザとOSのユーザのマッピング

　ワークユニットはInterstage管理コンソールにログインしたユーザIDと同名のOSユーザの実行権限で起動します。このため、ディレクトリサービスに登録したユーザはOSのユーザと以下のように対応づけてください。

• ディレクトリサービスに登録したユーザ名（cn）と同じ名前をもつユーザを、各マシンに作成する（ディレクトリサービスのユーザとOSのユーザのマッピングの実現）
• マルチサーバ運用時、OSのユーザはサーバグループ内でそろえる（マルチサーバ間でのユーザのマッピング）

　Interstage管理コンソールにログインしたユーザが、ワークユニットを起動するユーザ権限となります。

　ディレクトリサービスのユーザ名と、OSに登録できるユーザ名の最大長は異なります。

ディレクトリサービス　：　512バイト（基本識別子を含む）
OS　：　OSの制限値に依存します。

ワークユニットの起動ユーザ名の最大長が8バイトのため、Solaris、Linuxを管理対象サーバとする場合、ディレクトリサービスに登録するユーザ名は8バイト以内としてください。

■ ディレクトリサービスの故障などが発生した場合

　ディレクトリサービスの故障などのために、Interstage管理コンソールからの操作が出来なくなった場合、以下のコマンドを実行して一時的にOS認証に切り替えることができます。

　isresetuserrepコマンドについては、“リファレンスマニュアル（コマンド編）”の“Interstage JMXサービス運用コマンド”を参照してください。

目次 索引