1.5.1 ログインユーザの権限

Interstage管理コンソールの利用者は、以下の表のように権限を持つユーザに分類されます。この分類のことをロールと呼びます。
設定できるロールは、認証方法によって違います。また、ログインユーザの権限によって操作可能な機能範囲も異なります。

利用者は、ログインユーザを管理するリポジトリ（以降、ユーザリポジトリと呼びます）として以下のどちらかを選択できます。選択したユーザリポジトリに対してログイン認証を行います。

OSに登録されているユーザリポジトリを使用する
ディレクトリサービスに登録されているユーザリポジトリを使用する

ユーザリポジトリの変更方法はInterstage管理コンソールの[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] から[セキュリティ] > [運用セキュリティ]で行います。
[運用セキュリティ]では、認証方式の選択も行います。認証方式として「OS」と「ディレクトリサービス」が選択できます。ここで「ディレクトリサービス」を選択するとディレクトリサービス認証を使用できます。

デフォルトではOSに登録されているユーザ認証を使用します。

サポートするディレクトリサービスは、Interstage ディレクトリサービスです。Interstage ディレクトリサービスの使用方法については、“ディレクトリサービス運用ガイド”を参照してください。

権限の強さ	ロール	与えられる権限	分類方法
権限の強さ	ロール	与えられる権限	OS認証	ディレクトリサービス認証
強い	Administrators	[管理者権限] すべての運用操作を行うことができます。 Configuratorsに加えて、サービス／システムの構成変更／運用操作ができます。マルチサーバ環境ではサーバの追加／削除、サーバグループの追加／削除、ユーザリポジトリの設定変更／参照も可能です。	管理者権限ユーザ Administratorsグループ所属のユーザ root	Interstageの運用操作のロール情報を管理するディレクトリAdministratorsに登録したユーザ
↓	Configurators	[参照権限] アプリケーション／サービス／システムの構成と現在の状態を参照できます。また、各種ログ情報も参照できます。 [運用操作権限] ユーザアプリケーションの運用操作（起動／停止／キュー閉塞解除など）ができます。また、ユーザアプリケーションが利用するリソース（イベントチャネルなど）の運用操作もできます。 [定義変更権限] アプリケーションの新規作成／構成変更／配備などができます。また、アプリケーションが利用するリソース（JDBC、JavaMail、JMS、connector）の新規作成／構成変更ができます。	すべての一般ユーザ Interstage運用グループに所属するユーザ	Interstageの運用操作のロール情報を管理するディレクトリConfiguratorsに登録したユーザ
↓	Operators	[運用操作権限] Monitorsに加えてユーザアプリケーションの運用操作（起動／停止／キュー閉塞解除など）ができます。また、ユーザアプリケーションが利用するリソース（イベントチャネルなど）の運用操作もできます。	－	Interstageの運用操作のロール情報を管理するディレクトリOperatorsに登録したユーザ
弱い	Monitors	[参照権限] アプリケーション／サービス／システムの構成と現在の状態を参照できます。また、各種ログ情報も参照できます。	－	Interstageの運用操作のロール情報を管理するディレクトリMonitorsに登録したユーザ

※) －：OSの場合には、このロールに分類されるユーザはありません。

上記以外に特別な権限が必要な操作があります。権限がない場合、以下のエラーが発生します。上記以外の操作を実行して以下のエラーが発生した場合には、Interstage管理コンソールのヘルプを参照して必要な権限を確認してください。

IS: エラー: is20767:発行した要求に対する権限がありませんでした

同じロールに複数のユーザが登録されている場合、ユーザごとに操作を制限することはできません。
OSとディレクトリサービスの両方に同じログインユーザが異なるロールで登録されている場合、ログインユーザがユーザリポジトリの変更後に再ログインした際、権限が変わってしまう場合があります。そのため、OSとディレクトリサービスの両方に同じログインユーザを作成する場合、同じロールで登録してください。
ユーザリポジトリに登録されたユーザはすべて、Interstage管理コンソールにログインし、運用操作を行うことができます。そのため、Interstage管理コンソールで運用操作を行う必要のないユーザは、ユーザリポジトリに登録しないでください。
本製品の運用開始後、ある程度期間が経過すると、登録されたユーザが運用業務からはずれたり、運用業務権限が縮小されたりといったことにより、登録情報の変更が必要となることがあります。そのような場合、権限を持っているユーザだけが与えられた権限の範囲で運用操作を行えるように、登録ユーザの削除や、ユーザのロール変更などを行い、ユーザとユーザの権限が適切に管理されるようにしてください。なお、ユーザ情報削除などの具体的な管理方法については、プラットフォームやディレクトリサービスに依存しますので、各OSやディレクトリサービスのマニュアルを参照してください。

◆OSのユーザ情報登録

各OSのヘルプ、またはマニュアルを参照してユーザ情報を登録してください。

◆ディレクトリサービスのユーザ情報登録

以下のいずれかの方法でユーザ情報の登録を行います。

【Interstage ディレクトリサービスのエントリ管理ツールを使用する場合】

Interstage ディレクトリサービスに運用操作用のユーザ情報を以下の手順で構築してください。

リポジトリの作成
Interstage ディレクトリサービスのリポジトリを「スタンドアロン形態」、または「レプリケーション形態のマスタ」で作成し、作成したリポジトリを起動します。操作はInterstage管理コンソールで行います。詳細は、“ディレクトリサービス運用ガイド”を参照してください。
リポジトリへのログイン
Interstage ディレクトリサービスのエントリ管理ツールを起動して、Interstage管理コンソールで生成したリポジトリにログインしてください。
検索ベース識別名の決定
ユーザ情報を管理するDN（識別名）を決定します。検索ベース識別名で指定するDNを検索ベース識別子と呼びます。デフォルトでは、「ou=Operation,ou=interstage,o=fujitsu,dc=com」を使用してください。
決定した検索ベース識別子のディレクトリが生成されていない場合には生成してください。
以下の手順で“Operation”というディレクトリを、作成できます。
1. [ツリー表示域]から上位エントリとするエントリ(デフォルトの場合は“ou=interstage,o=fujitsu,dc=com”)を選択します。マウスの右ボタンをクリックして、ポップアップメニューから[追加]をクリックし、[エントリ追加]画面を表示させます。
2. [エントリ追加]画面で、[オブジェクトクラス一覧]から“組織単位:organizationUnit”を選択します。
3. 属性名[ou]に“Operation”を入力し、[OK]をクリックしてディレクトリを作成します。
エントリの追加の詳細については、エントリ管理ツールヘルプを参照してください。
ユーザの登録
Interstageの運用操作可能なユーザは、以下の検索ベース識別配下に登録します。斜体部分については、最初に設計したユーザ情報を管理するDNによって可変となります。検索ベース識別名に属性objectClassが「organizationalUnit」の“User”というディレクトリを3と同じ手順で作成します。
```
ou=User,ou=Operation,ou=interstage,o=fujitsu,dc=com
```
作成したディレクトリに、以下の手順でエントリを登録してください。
1. [ツリー表示域]から作成したエントリ(デフォルトの場合は“ou=User,ou=Operation,ou=interstage,o=fujitsu,dc=com”)を選択します。マウスの右ボタンをクリックして、ポップアップメニューから[追加]をクリックし、[エントリ追加]画面を表示させます。
2. [エントリ追加]画面で、[オブジェクトクラス一覧]から“インターネットユーザ:inetOrgPerson”を選択します。
3. 属性名に以下のように入力して[OK]をクリックしてエントリを作成します。
  - ユーザの属性cnは「ユーザ名」を表す
  - ユーザの属性snは「姓、またはラストネーム」を表す
  - ユーザの属性「userPassword」は認証時に必要なパスワード情報を表す(パスワードは必ず指定してください)
  - ユーザの識別子のRDNは「cn」を使用する。このcnがInterstage管理コンソールへのログイン時に入力するユーザ名となる。
ユーザ名を“Smith”とした場合の例
```
cn=Smith,ou=User,ou=Operation,ou=interstage,o=fujitsu,dc=com
```
登録したユーザへのロールの割り当て
Interstageの運用操作で識別されるロールは、以下の検索ベース識別配下で管理されます。斜体部分については、最初に設計したユーザ情報を管理するDNによって可変となります。検索ベース識別名に属性objectClassが「organizationalUnit」の“Role”というディレクトリを3と同じ手順で作成します。
```
ou=Role,ou=Operation,ou=interstage,o=fujitsu,dc=com
```
作成したディレクトリに以下の手順でエントリを登録してください。
1. [ツリー表示域]から作成したエントリ(デフォルトの場合は“ou=Role,ou=Operation,ou=interstage,o=fujitsu,dc=com”)を選択します。マウスの右ボタンをクリックして、ポップアップメニューから[追加]をクリックし、[エントリ追加]画面を表示させます。
2. [エントリ追加]画面で、[オブジェクトクラス一覧]から“グループ:groupOfNames”を選択します。
3. 属性名に以下のように入力します。
  - ロールの属性cnは「ロール名」を表す。ロール名は以下の4つが存在する。
    －  Monitors（参照権限）
    －  Operators（運用操作権限）
    －  Configurators（定義変更権限）
    －  Administrators（管理者権限）
4. ユーザにロールを割り当てるには、作成したロールのエントリ名をマウスで右クリックし、ポップアップメニューから「更新」をクリックして、エントリの更新画面を表示させます。「属性追加」ボタンをクリックして属性追加画面を表示させ、属性名に「member」を入力してください。
  属性値は、たとえば以下のようなディレクトリサービス上の識別子情報を登録します。入力が完了したら、「OK」ボタンをクリックし属性を追加します。
  複数のユーザを登録したい場合、member属性を複数登録してください。ここでは、「Administrators」を例としています。
  - ロールの属性memberは「ロールを与えられたユーザ名」を表す。
    － Administrators（管理者権限）
memberに指定されるユーザが“Smith”の場合
```
cn=Smith,ou=User,ou=Operation,ou=interstage,o=fujitsu,dc=com
```
以下は、設定後の画面の例です。

LDIFファイルを使用する場合

エントリ管理ツールの移入画面でLDIFファイルを指定することにより、GUIから登録できます。

LDIFファイルを使用する場合は、以下の場所に格納されているLDIFファイルのサンプルを参照してください。なお、ユーザの情報はサンプルデータが定義されているため、必要に応じてファイルをコピーして編集して使用してください。

C:\Interstage\jmx\etc\user_repository_ldif.txt

/opt/FJSVisjmx/etc/user_repository_ldif.txt

詳細は、“ディレクトリサービス運用ガイド”の“エントリ管理ツールを使用する”を参照してください。

【コマンドを使用する場合】

コマンドを使用して、リポジトリへのエントリの追加ができます。
コマンドの詳細については、“ディレクトリサービス運用ガイド”の“エントリの管理”の“コマンドを使用する”を参照してください。

C:\Interstage\bin\ldapmodify -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -W -f user_repository_ldif.txt
Enter LDAP Password:
adding new entry "ou=Operation,ou=interstage,o=fujitsu,dc=com"

/opt/FJSVirepc/bin/ldapmodify -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -W -f user_repository_ldif.txt
Enter LDAP Password:
adding new entry "ou=Operation,ou=interstage,o=fujitsu,dc=com"

LDIFファイルを使用する場合

C:\Interstage\jmx\etc\user_repository_ldif.txt

/opt/FJSVisjmx/etc/user_repository_ldif.txt

ディレクトリサービスの構成イメージは以下です。

◆認証サーバの設定

Interstage管理コンソールの[一括操作] > [セキュリティ] > [運用セキュリティ] 画面から認証サーバの設定を行います。リポジトリの設定と、ユーザ登録時に決定した検索ベース識別名を定義してください。Interstage管理コンソールの詳細はInterstage管理コンソールのヘルプを参照してください。

◆ディレクトリサービスのユーザとOSのユーザのマッピング

ワークユニットはInterstage管理コンソールにログインしたユーザIDと同名のOSユーザの実行権限で起動します。このため、ディレクトリサービスに登録したユーザはOSのユーザと以下のように対応づけてください。

ディレクトリサービスに登録したユーザ名（cn）と同じ名前をもつユーザを、各マシンに作成する（ディレクトリサービスのユーザとOSのユーザのマッピングの実現）
マルチサーバ運用時、OSのユーザはサーバグループ内でそろえる（マルチサーバ間でのユーザのマッピング）

Interstage管理コンソールにログインしたユーザが、ワークユニットを起動するユーザ権限となります。

ディレクトリサービスのユーザ名と、OSに登録できるユーザ名の最大長は、異なります。

ディレクトリサービス: 512バイト（基本識別子を含む）

OS: OSの制限値に依存します。
ワークユニットの起動ユーザ名の最大長が8バイトのため、Solaris、Linuxを管理対象サーバとする場合、ディレクトリサービスに登録するユーザ名は8バイト以内としてください。

■ ディレクトリサービスの故障などが発生した場合

ディレクトリサービスの故障などのために、Interstage管理コンソールからの操作が出来なくなった場合、以下のコマンドを実行して一時的にOS認証に切り替えることができます。

isresetuserrep

isresetuserrepコマンドについては、“リファレンスマニュアル（コマンド編）”の“Interstage JMXサービス運用コマンド”を参照してください。