拡張ユーザ管理機能を利用する場合の、ユーザ定義について説明します。
以降、拡張ユーザ管理機能を利用して、Systemwalker Operation Manager上に登録され、管理されるユーザをOperation Managerユーザと呼びます。Operation Managerユーザに対して、OS上で管理されるユーザをOSユーザと呼びます。
拡張ユーザ管理機能について
UNIX版の場合、拡張ユーザ管理機能を利用すると、クライアントからの操作において、Systemwalker Operation Manager上で登録したOperation Managerユーザが、Systemwalker Operation Managerの各機能を利用することが可能になります。
Operation Managerユーザは、管理者/非管理者の属性を持ちます。管理者として登録されたOperation Managerユーザは、クライアントから操作を行う場合、Systemwalker Operation Managerに対して、従来のシステム管理者と同等の権限を持ちます。プロジェクトの登録や、Systemwalker Operation Managerの環境設定など、従来はシステム管理者しか行えなかった作業を、管理者権限を持つOperation Managerユーザが行うことが可能になります。
ただし、クライアントからの操作であっても、コマンドをサーバ上で実行する場合には、OS上に登録されたユーザの権限でコマンドは実行されます。Operation Managerユーザの登録時には、Operation Managerユーザに対応させるOSユーザが必要です(1つのOSユーザに、複数のOperation Managerユーザを対応させることが可能です)。また、プロジェクトの所有者および、ジョブの実行ユーザには、OSユーザを指定する必要があります。
拡張ユーザ管理機能を利用する場合のユーザ定義の概要
拡張ユーザ管理機能を利用する場合のユーザ定義の概要を、以下に説明します。
Systemwalker Operation Managerの運用形態によって、必要となるユーザを検討します。“2.5.3.1 拡張ユーザ管理機能のユーザ管理について”および“2.5.2.2 ジョブ実行時の権限について”を参考にして、どのようなユーザが必要かを検討してください。
必要に応じてOSユーザを登録します。OSユーザの登録には、各OSの機能を利用してください。
拡張ユーザ管理機能の定義をします。
必要に応じて、Operation Managerユーザを登録し、パスワードを設定します。
ポリシー情報の配付でOperation Managerユーザ情報を配付する場合、ポリシー情報の配付先サーバでは、登録する必要はありません。
拡張ユーザ管理機能のコマンドを実行し、拡張ユーザ管理機能を有効にします。
ポリシー情報の配付先サーバでも、この設定は必要です。
“root”ユーザ(管理者)のパスワードを設定します。
ポリシー情報の配付先サーバでも、この設定は必要です。
詳細は、“2.5.3.2 拡張ユーザ管理機能の定義”を参照してください。
必要に応じて、ポリシー情報を抽出し、配付します。詳細は、“2.13.3 拡張ユーザ管理機能を利用する場合のポリシー情報の抽出/配付【UNIX版】”を参照してください。
ポイント
Systemwalker Operation Managerの運用時に、プロジェクトに対して一般ユーザなど管理者権限のないユーザを利用可能にするには、“Systemwalker Operation Manager 使用手引書”の“プロジェクトにアクセス権を設定する”を参照し、システム管理者が、一般ユーザのアクセス権を設定してください。
注意
管理者権限を持つユーザについて
Systemwalker Operation Managerにおいて、“管理者権限を持つユーザ”とは、以下のユーザのことです。
システム管理者(Windows版の場合は、Administratorsグループ所属ユーザ、UNIX版の場合は、スーパーユーザ)
UNIX版で、拡張ユーザ管理機能が有効な場合で、クライアントからの操作の場合は、管理者権限を持つOperation Managerユーザ
拡張ユーザ管理機能におけるユーザ管理について説明します。
拡張ユーザ管理機能が有効な場合、Systemwalker Operation Managerのクライアントからの操作は、Operation Managerユーザのみが可能になります。拡張ユーザ管理機能が有効な場合のユーザ管理について説明します。
Systemwalker Operation Managerサーバへのログイン
拡張ユーザ管理機能が有効な場合、Systemwalker Operation Managerの各クライアントからSystemwalker Operation Managerサーバへのログインは、Operation Managerユーザを指定します。
拡張ユーザ管理機能が無効な場合は、OSユーザでログインします。
プロジェクトの登録/削除
管理者権限を持つOperation Managerユーザでログインした場合、プロジェクトの登録/削除が可能です。非管理者のOperation Managerユーザは、プロジェクトの登録/削除を行うことができません。
プロジェクトの所有者
プロジェクトの所有者には、必ずOSユーザを指定してください。システム管理者(スーパーユーザ)、一般ユーザのどちらも指定可能です。
管理者権限を持つOperation Managerユーザでログインした場合、プロジェクトの所有者の変更が可能です。非管理者のOperation Managerユーザは、所有者の変更を行うことができません。
プロジェクトへのアクセス権の設定
Operation Managerユーザでログインした場合、[アクセス権情報]ウィンドウに表示されるユーザは、OSユーザではなく、Operation Managerユーザとなります。プロジェクトへアクセスできるユーザを登録する場合は、管理者権限を持つOperation Managerユーザだけが行うことができます。Operation Managerユーザとして登録されているユーザ名から選択して登録します。
詳細は、“Systemwalker Operation Manager 使用手引書”の“プロジェクトにアクセス権を設定する”を参照してください。
プロジェクトの監視/操作
管理者権限を持つOperation Managerユーザは、すべてのプロジェクトに対して更新権を持ちます。管理者でないOperation Managerユーザは、アクセス権が設定されているプロジェクトのみ操作可能です。
ジョブネット/グループの登録/変更
クライアントからのジョブネット/グループの登録/変更は、管理者権限を持つOperation Managerユーザまたはプロジェクトに対して更新権、登録権を持つOperation Managerユーザが行うことができます。
利用者の限定
Operation Managerユーザに対応づけられているOSユーザで、swadminグループに登録されているユーザだけがデマンドジョブの起動、ジョブ実行制御属性のジョブネットの起動、ジョブスケジューラのコマンド実行が利用可能になります。詳細は、“2.5.5 利用者制限の定義”を参照してください。
ジョブの実行ユーザ
ジョブの実行ユーザには、必ずOSユーザを指定してください。
コマンド/APIの実行ユーザ
サーバ上でOperation Managerの提供するコマンドを実行する場合、システム管理者権限が必要なコマンド/APIについては、従来通り、システム管理者(スーパーユーザ)のみ実行可能です。
一般ユーザが利用できるコマンド/APIのうち、プロジェクトへのアクセス権による影響を受けないものは、従来通り、一般ユーザでの実行が可能です。
プロジェクトへのアクセス権がある場合にのみ実行される一般ユーザ向けコマンド(注)は、以下の方法で、実行されます。
実行したOSユーザがシステム管理者の場合は、Operation Managerの管理者の権限(すべてのプロジェクトに対して更新権あり)で実行されます。
プロジェクト所有者の場合は、所有者となっているプロジェクトに対して更新権を持っているものとして実行されます。
上記以外のユーザの場合は、プロジェクトに対してアクセス権が設定されているOperation Managerユーザを確認します。
それぞれのOperation Managerユーザが対応づけられているOSユーザを確認し、コマンドを実行しようとしているOSユーザのアクセス権が含まれているかどうかを確認します。
アクセス権の設定が確認されれば、コマンドは実行されます。
注)以下のコマンドがあります。
jobschsetnetコマンド
jobschsetgrpコマンド
jobschctljobコマンド
jobschcontrolコマンド
jobschctlgrpコマンド
jobschmoveコマンド
jobschmsgclearコマンド
jobschprintコマンド
jobschnetmemoコマンド
各プロジェクトに対するOSユーザのアクセス権は、mpprjcmdaclコマンドで確認できます。詳細は、“Systemwalker Operation Manager リファレンスマニュアル”の“mpprjcmdaclコマンド”を参照してください。
Operation Managerユーザが、Systemwalker Operation Managerの各機能を利用可能にするための定義をします。
概要
Operation Managerユーザを登録し、拡張ユーザ管理機能を有効にします。
さらに、“root”というユーザ名に対して、パスワードを設定します。
注意
“root”について
拡張ユーザ管理機能において、“root”というユーザ名は、インストール直後から、管理者の権限を持つOperation Managerユーザとして常に登録された状態になります。このユーザを削除することはできません。
定義手順
以下のコマンドはすべて、Systemwalker Operation Managerサーバ上で、システム管理者(スーパーユーザ)の権限で実行します。
以下の手順に記載されたコマンドの詳細については、“Systemwalker Operation リファレンスマニュアル”の“セキュリティコマンド”を参照してください。
Operation Managerユーザの登録
mpadduserコマンドで、Operation Managerユーザを登録します。
管理者、非管理者のどちらかの属性を選択し、対応づけるOSユーザを指定します。
Systemwalker Operation 管理者、非管理者それぞれに対応づけ可能なユーザは、以下のとおりです。
Operation Managerユーザ | 対応づけできるOSユーザ |
|---|---|
管理者 | システム管理者(スーパーユーザ) |
非管理者 | 一般ユーザ(スーパーユーザ以外) |
なお、Operation Managerユーザに対応づけるOSユーザは、あらかじめOS上で登録されている必要があります。mpadduserコマンドでは、OSユーザの登録は行いません。
パスワードを、mpsetpasswdコマンドで設定します。
拡張ユーザ管理機能の有効/無効の切り替え
mpsetusermodeコマンドで、拡張ユーザ管理機能を有効にします。
Operation Managerユーザを登録しても、拡張ユーザ管理機能が有効でない場合は、OSユーザでの使用となります。
“root”のパスワードの登録
mpsetpasswdコマンドで“root”のパスワードを設定します。
登録されたOperation Managerユーザは、mpusersコマンドで一覧表示できます。登録されたOperation Managerユーザの属性の修正は、mpmoduserコマンドで、削除はmpdeluserコマンドで行います。また、拡張ユーザ管理機能が有効か無効かをmpusermodeコマンドで確認することができます。
拡張ユーザ管理機能の設定例を説明します。
Operation Managerユーザの登録例
以下のように、Operation Managerユーザを登録するとします。
Operation Managerユーザ | OSユーザ | 権限 |
|---|---|---|
root(注) | root(システム管理者) | 管理者 |
swroot | root(システム管理者) | 管理者 |
swuser1 | user(一般ユーザ) | 非管理者 |
swuser2 | user(一般ユーザ) | 非管理者 |
swuser3 | user(一般ユーザ) | 非管理者 |
swguest | guest(一般ユーザ) | 非管理者 |
“root”というユーザ名は、インストール直後から、管理者の権限を持つOperation Managerユーザとして常に登録された状態になります。このユーザを削除することはできません。“root”というユーザ名を使用する場合は、パスワードの設定が必要です。
管理者権限を持つOperation Managerユーザを登録する場合は、システム管理者のOSユーザを対応づける必要があります。逆に、非管理者のOperation Managerユーザを登録する場合は、一般ユーザのOSユーザを対応づける必要があります。
アクセス権の設定例
管理者権限を持つOperation Managerユーザは、Systemwalker Operation Managerの管理者としてすべてのプロジェクトの更新権を持ちます。
非管理者のOperation Managerユーザは、アクセス権のあるプロジェクトに対してのみ該当する権限の操作が可能です。
管理者権限を持つOperation Managerユーザは、必要に応じて、非管理者のOperation Managerユーザのアクセス権を設定する必要があります。
権限には、更新権、登録権、操作権、参照権があり、更新権は登録権、操作権および参照権を、登録権と操作権は参照権を含みます。権限の強さの順序は、以下のとおりです。
更新権>登録権・操作権>参照権 |
以下のようにアクセス権を設定するとします。
プロジェクト | プロジェクトの所有者 | 設定するアクセス権 |
|---|---|---|
管理用プロジェクト | root | 設定なし |
userプロジェクト | user | swuser1: 更新権 |
guestプロジェクト | guest | swguest: 参照権 |
Operation Managerユーザのアクセス権
上記のようにOperation Managerユーザを登録し、アクセス権を設定した場合、Operation Managerユーザのプロジェクトに対するアクセス権は以下のようになります。
Operation Managerユーザ | 表示される | アクセス権 |
|---|---|---|
root | 管理用プロジェクト | 更新権 |
userプロジェクト | 更新権 | |
guestプロジェクト | 更新権 | |
swuser1 | userプロジェクト | 更新権 |
guestプロジェクト | 参照権 | |
swuser2 | userプロジェクト | 登録権 |
swuser3 | userプロジェクト | 操作権 |
swguest | guestプロジェクト | 参照権 |
OSユーザのアクセス権
OSユーザがシステム管理者の場合、すべてのプロジェクトに対して更新権を持ちます。
OSユーザが一般ユーザの場合で、かつ、プロジェクトの所有者の場合は、所有者となっているプロジェクトに対して更新権を持ちます。
OSユーザが一般ユーザの場合で、かつ、プロジェクトの所有者でない場合は、OSユーザに対応づけられた複数のOperation Managerユーザのアクセス権の中で一番強い権限(更新権>登録権・操作権>参照権)を持ちます。
なお、コマンドまたはAPIを実行したOSユーザが、複数のOperation Managerユーザに対応づけられている場合で、登録権と操作権が設定されているとき、OSユーザは両方の権限を持ちます。
上記のようにOperation Managerユーザを登録し、アクセス権を設定した場合、対応づけられたOSユーザのプロジェクトに対するアクセス権は以下のようになります。
OSユーザ | プロジェクト | コマンド実行時のプロジェクトに対するアクセス権 | 説明 |
|---|---|---|---|
root | 管理用プロジェクト | 更新権 | OSユーザrootはシステム管理者なので、各プロジェクトに対して更新権を持ちます。 |
userプロジェクト | 更新権 | ||
guestプロジェクト | 更新権 | ||
user | userプロジェクト | 更新権 | userプロジェクトに対して、“swuser1”が更新権、“swuser2”が操作権、“swuser3”が登録権を持っているため、OSユーザuserは、userプロジェクトに対して更新権を持ちます。 |
guestプロジェクト | 参照権 | guestプロジェクトに対して、“swuser1”が参照権を持っているため、OSユーザuserは、guestプロジェクトに対して参照権を持ちます。 | |
guest | guestプロジェクト | 更新権 | OSユーザguestはプロジェクトの所有者なので、guestプロジェクトに対して更新権を持ちます。 |
