Systemwalker Centric Managerには、以下の利用者権限があります。

• 画面のアクセス権を定義する

• 特定の監視ツリーへのアクセス権を定義する

• メニュー単位のアクセス権を定義する

利用者に対するセキュリティ強化のために、画面のアクセス権を定義します。Systemwalker Centric Managerは、ロールという単位で各機能の利用権限を定義しています。ロールとは、共通の役割(権限)を持つ利用者から構成されるグループのことです。Systemwalker Centric Managerを運用管理サーバにインストールすると、以下のロールが運用管理サーバに登録されます。

注)Solaris版、Linux版で登録されます。

管理者は、ユーザを上記のロールに適宜所属させてください。所属させるロールの種類により、ユーザが使用できる機能と利用権限が決まります。ロールと利用可能な機能の関係は、以下のとおりです。

• [Systemwalkerコンソール]の監視機能を使用するために必要な権限については、“[Systemwalkerコンソール]のメニュー項目”を参照してください。

• [Systemwalkerコンソール]の編集機能を使用するためには、DmAdminロールに所属します。

• [システム監視設定]ダイアログボックスを起動するためには、DmAdminロールに所属します。[システム監視設定]ダイアログボックスについては、“イベント監視の監視条件を設定する”の“サーバに直接接続して環境定義を行う場合”を参照してください。

• DmAdminは、DmOperation、DmReference、OrmOperationの権限を含んでいます。

• DmOperationは、DmReference、OrmOperationの権限を含んでいます。

• 返答操作のコマンドの詳細は、“Systemwalker Centric Manager リファレンスマニュアル”の“返答メッセージ用コマンドの概要【UNIX版】”を参照してください。

“機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属していない一般のユーザは、Systemwalker Centric Managerの機能を使用できません。[Systemwalkerコンソール]を起動するユーザを、“表:機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属させるか、Administratorsグループに所属させてください。ただし、Windows VistaまたはWindows 7で、ユーザアカウント制御(UAC)が有効になっている場合には、DmAdmin、DmOperation、またはDmReferenceのどれかのグループに所属するローカルユーザでWindows端末にログオンしてください。

SecurityAdmin(セキュリティ管理者)、SecurityAuditor(セキュリティ監査者)を除き、スーパーユーザ/Administratorsグループに所属するユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわらず、アクセス制御の対象外として常に更新権を持つユーザとして扱われます。

運用管理サーバのユーザを、ロールに登録させる手順を以下に説明します。

1. [Systemwalkerコンソール[監視]]の機能選択コンボボックスを[編集]に切り替えます。

   →[Systemwalkerコンソール[編集]]に切り替わります。

2. [Systemwalkerコンソール[編集]]の[ポリシー]メニューから[セキュリティ]-[利用者のアクセス権設定]を選択します。

   →[ロール一覧]画面が表示されます。

3. 更新する[ロール名]を一覧から選択し、[プロパティ]ボタンをクリックします。

   →[ロール情報]画面が表示されます。

   Systemwalker認証リポジトリ未設定時は、[OSユーザーID]タブのみが表示されます。

   Systemwalker認証リポジトリ設定時は、[SystemwalkerユーザーID]タブと[OSユーザーID]タブが表示されます。

   [SystemwalkerユーザーID]タブ、および[OSユーザーID]タブの[アクセス権設定一覧]には、当該ロールに現在登録されているユーザが表示されます。

4. ロールへ登録するユーザがSystemwalker認証リポジトリに登録されたユーザの場合は、[SystemwalkerユーザーID]タブを選択し、OSユーザとして登録されたユーザの場合は、[OSユーザーID]タブを選択します。

5. [OSユーザーID]の場合は、登録するユーザが存在する[NetBiosコンピュータ名]を選択し、[SystemwalkerユーザーID]の場合は、登録するユーザが存在する[OU]を選択します。

   →[ユーザーID一覧]にロールに登録するユーザが表示されます。

6. ロールへ登録するユーザを[ユーザーID一覧]から選択し、[追加]ボタンをクリックします。

   →[アクセス権設定一覧]に登録したユーザが表示されます。

7. [OK]ボタンをクリックします。

8. [閉じる]ボタンをクリックします。

[SystemwalkerユーザーID]タブで設定した、Systemwalker認証リポジトリ上のユーザに関しては、Systemwalker認証リポジトリ上から削除しても、そのユーザのアクセス権は削除されません。必要に応じて、[利用者のアクセス権設定]から、ユーザのアクセス権を削除してください。

部門管理サーバまたは業務サーバ上のユーザを、ロールに登録させる手順を以下に説明します。

ネットワーク上の安全が保証されていない環境で使用する場合、サーバ上でmpsetmemコマンドを使用すると、より安全にユーザをロールに登録します。mpsetmem(ロールへのメンバの追加/削除コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

なお、[SystemwalkerユーザーID]タブで設定した、Systemwalker認証リポジトリ上のユーザに関しては、Systemwalker認証リポジトリ上から削除しても、そのユーザのアクセス権は削除されません。必要に応じて、[利用者のアクセス権設定]から、ユーザのアクセス権を削除してください。

1. [スタート]メニューから[プログラム]-[Systemwalker Centric Manager]-[環境設定]-[利用者のアクセス権]を選択します。

   →[セキュリティ設定[ログイン]]ダイアログボックスが表示されます。

   注意

   Server Core環境の場合

   Systemwalkerの利用者権限の設定は、運用管理クライアント、またはクライアントから、Server Core環境の業務サーバを指定して[ロール一覧]画面を起動してから実施してください。

   • ロールへのユーザの追加

   • ロールからのユーザの削除

2. 接続する部門管理サーバ/業務サーバの[ホスト名]、[ユーザ名]、[パスワード]を入力し、[OK]ボタンをクリックします。[パスワード]として指定できるのは28バイトまでです。

   →[ロール一覧]ダイアログボックスが表示されます。

   【Windowsの場合】

   Windows(R)のサーバに接続する場合は、[ドメイン名]の指定が可能です。

   • ログインでのユーザ名の検索順序

     [ドメイン名]を入力しない場合、指定したユーザは、以下の順に検索されます。

     1. ローカルコンピュータ

     2. ドメイン

     3. 信頼関係のあるドメイン

3. [ロール一覧]ダイアログボックス以降の操作手順は、“運用管理サーバのユーザをロールに登録する方法”の手順2)以降を参照してください。

【UNIXの場合】

セキュリティロールに所属させるユーザが、TELNETなどでログインしていると、セキュリティロールにそのユーザを所属させることができません。セキュリティロールにユーザを所属させる際には、そのユーザがログインしていないことを確認してから実行してください。

運用管理クライアントがインストールされたWindows端末にログオンする場合の注意事項

運用管理クライアントがWindows(R) 2000 Professionalの場合、Administratorsのグループに所属するローカルユーザでWindows端末にログオンします。Administratorsのグループに所属していない場合は以下の機能が使用できません。

• MIB拡張 機能

• 共通トレースの出力

  共通トレースが出力されないとSystemwalkerトラブル時の調査を行うことができません。

運用管理クライアントがWindows(R) XP、Windows Vista、またはWindows 7の場合は、運用管理クライアントのDmAdmin、DmOperation、DmReference、またはAdministratorsのどれかのグループに所属するローカルユーザでWindows端末にログオンします。

ただし、Windows VistaまたはWindows 7で、ユーザアカウント制御(UAC)が有効になっている場合には、DmAdmin、DmOperation、またはDmReferenceのどれかのグループに所属するローカルユーザでWindows端末にログオンします。

運用時には、DmReferenceグループに所属するローカルユーザでWindows端末にログオンすることを推奨します。Windows端末にログオンするとき、ローカルユーザが所属するグループを下表に示します。

“スタートアップアカウント”として指定したローカルユーザ(systemwalker)をDmReferenceグループに追加する。

1. [コントロールパネル]-[システムとメンテナンス]-[管理ツール]-[コンピュータの管理]を選択し、[コンピュータの管理]画面を表示します。

2. [ローカルユーザとグループ]-[ユーザ]フォルダをクリックし、DmReferenceグループに所属させたいローカルユーザ(ここではsystemwalker)を選択し、[操作]-[プロパティ]メニューをクリックします。

3. プロパティ画面(ここではsystemwalkerのプロパティ)を選択し、"所属するグループ"タブを選択します。

4. [追加]ボタンをクリックし、[グループの選択]画面を表示します。

5. [詳細設定]ボタンをクリックし、[グループの選択]画面を表示します。

6. [今すぐ検索]ボタンをクリックし、[検索結果]リストに表示されたDmReferenceグループを選択し、[OK]ボタンをクリックます。

7. [グループの選択]画面で、[OK]ボタンをクリックます。

8. プロパティ画面(ここではsystemwalkerのプロパティ)で、[OK]ボタンをクリックます。

[Systemwalkerコンソール]は、以下のユーザで起動します。

【UNIX版の場合】

操作するコンピュータ：運用管理クライアント

• [Systemwalkerコンソールセットアップ]-[接続先の設定]画面で、[ログイン画面で入力する]を選択した場合

  起動ユーザ

  [Systemwalkerコンソール[ログイン]]画面で指定したユーザ

• [Systemwalkerコンソールセットアップ]-[接続先の設定]画面で、[以下のユーザーでログインする]と選択した場合

  起動ユーザ

  [接続先の設定]画面で指定したユーザ

[Systemwalkerコンソールセットアップ]-[接続先の設定]画面で、[Windowsにログインしているユーザーでログインする]と選択した場合には、[Systemwalkerコンソール]を起動できません。

【Windows版の場合】

操作するコンピュータ：運用管理サーバ、運用管理クライアント

• [Systemwalkerコンソールセットアップ]-[接続先の設定]画面で、[ログイン画面で入力する]を選択した場合

  [Systemwalkerコンソール[ログイン]]画面

  • [Windowsにログインしているユーザーでログインする]を選択する

    起動ユーザ

    運用管理サーバのコンピュータのログインユーザ(操作するコンピュータ:運用管理サーバ) 運用管理クライアントのコンピュータのログインユーザ(操作するコンピュータ:運用管理クライアント)

  • [Windowsにログインしているユーザーでログインする]を選択しない

    起動ユーザ

    [Systemwalkerコンソール[ログイン]]画面で指定したユーザ

• [Systemwalkerコンソールセットアップ]-[接続先の設定]画面で、[Windowsにログインしているユーザーでログインする]と選択した場合

  起動ユーザ

  運用管理サーバのコンピュータのログインユーザ(操作するコンピュータ：運用管理サーバ) 運用管理クライアントのコンピュータのログインユーザ(操作するコンピュータ:運用管理クライアント)

• [Systemwalkerコンソールセットアップ]-[接続先の設定]画面で、[以下のユーザーでログインする]と選択した場合

  起動ユーザ

  [接続先の設定]画面で指定したユーザ

起動するユーザの条件

○：操作可能、×：操作不可

利用者に対するセキュリティ強化のために、特定の監視ツリーへのアクセス権を定義します。[Systemwalkerコンソール]で以下の設定ができます。

• 特定のシステムやサーバ以外の情報には、アクセスできないように、特定のツリーだけ表示することができます。

なお、ツリーの表示、非表示は設定できますが、ツリーに対する各ユーザのアクセス権(更新権、操作権、参照権)は、変更できません。

監視機能を使用する場合、最低1つのツリーに対する使用権が必要です。また、編集機能を使用する場合には、[ノード一覧]ツリーに対する使用権が必要です。

インストール時およびツリー作成時に、ツリーに対し、以下の属性のユーザの使用権が設定されます。Systemwalker Centric Managerの利用者で[Systemwalkerコンソール]にログインした場合、ツリーは表示されます。各ツリーに対するアクセス権は以下のとおりです。

特定のユーザだけ、[Systemwalkerコンソール]の特定のツリーを表示しないように設定する手順を説明します。ツリーに対して更新権のあるユーザで、[Systemwalkerコンソール[編集]]画面から設定します。

1. ツリーを選択します。

   • [ノード管理]ツリー、[業務管理]ツリーの場合

     1. [Systemwalkerコンソール]の[ファイル]メニューから[監視ツリーの選択]を選択します。

        →[監視ツリーの選択]ダイアログボックスが表示されます。

     2. ツリーを選択します。

   • [ノード管理]ツリー、[業務管理]ツリー以外の場合

     1. [Systemwalkerコンソール]で、ツリーを選択します。

2. [Systemwalkerコンソール]の[ファイル]メニューから[監視ツリーのアクセス権設定]を選択します。

   →[アクセス権情報]ダイアログボックスが表示されます。

3. [アクセス権設定一覧]で、ツリーを表示させないユーザとそのユーザが所属しているロールを選択します。

4. [削除]ボタンをクリックします。

   なお、管理者アカウントが、rootの場合は削除できません。

5. 3.でアクセス権を削除したロールに所属しているユーザに、ツリーを表示させるユーザが含まれている場合は、以下の設定を行います。

   1. Systemwalker認証リポジトリ未設定時は、追加するユーザが存在する[NetBiosコンピュータ名]を選択し、Systemwalker認証リポジトリ設定時は、追加するユーザが存在する[OU]を選択します。

   2. [ロール／ユーザーID一覧]からアクセス権を追加するユーザを選択します。

   3. [追加]ボタンをクリックします。

6. [アクセス権情報]ダイアログボックスで[OK]ボタンをクリックします。

ツリーにアクセス権を設定したユーザをOSやSystemwalker認証リポジトリから削除しても、そのユーザのアクセス権は削除されません。必要に応じて、[監視ツリーのアクセス権設定]から、ユーザのアクセス権を削除してください。

設定例

“名古屋本社ツリー”、“大阪支社ツリー”を作成し、DmOperationロールに所属する“osakaOpeユーザ”が[Systemwalkerコンソール]にログインした場合は、“大阪支社ツリー”だけを表示する

1. “名古屋本社ツリー”に設定されているDmOperationロールの使用権を削除します。

2. “名古屋本社ツリー”に、“nagoyaOpe”ユーザの使用権を追加します。

   表3.2 ユーザと表示されるツリー(設定後)

   ユーザ	表示されるツリー	ツリーに対するアクセス権
   nagoyaAdm	名古屋本社 大阪支社	更新権 更新権
   osakaAdm	名古屋本社 大阪支社	更新権 更新権
   nagoyaOpe	名古屋本社 大阪支社	操作権 操作権
   osakaOpe	大阪支社	操作権
   nagoyaRef	名古屋本社 大阪支社	参照権 参照権
   osakaRef	名古屋本社 大阪支社	参照権 参照権

[Systemwalkerコンソール]のメニュー単位のアクセス権を定義します。

定義方法については、“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“[Systemwalkerコンソール]のアクセス権の考え方”を参照してください。