ETERNUS SF Managerの機能を使うために、ユーザーアカウントの設定をします。
ユーザーアカウントに付与する権限と操作できる範囲を以下に示します。
ETERNUS SFロール | OSの管理者(Administrator)権限 | |
|---|---|---|
あり | なし | |
あり | Webコンソールおよびコマンドのどちらも使用できる | Webコンソールだけ使用できる |
なし | コマンドだけ使用できる | Webコンソールおよびコマンドのどちらも使用できない |
Webコンソール操作ユーザー、コマンド実行ユーザーの作成と設定について説明します。
ETERNUS SFはWebコンソールへのログイン時認証に、運用管理サーバ(Storage管理サーバ)のOSの認証機構を使用します。
ユーザーにETERNUS SFの利用権限(ロール)を付与するためには、ETERNUS SFロールグループを作成し、ETERNUS SFロールグループにユーザーアカウントを所属させます。
ETERNUS SFロールグループに付与されるETERNUS SFロール、および各ロールグループに所属するユーザーに許可されるWebコンソール操作の関係を下表に示します。
ETERNUS SFロールグループ | 付与されるETERNUS SFロール | 許可されるWebコンソールの操作 |
|---|---|---|
ESFAdmin | Administrator | すべての操作 |
ESFMon | Monitor | 表示系の操作だけ |
ETERNUS SFロールグループ | 付与されるETERNUS SFロール | 許可されるWebコンソールの操作 |
|---|---|---|
esfadmin | Administrator | すべての操作 |
esfmon | Monitor | 表示系の操作だけ |
ETERNUS SFロールグループを作成します。
以下の2つのグループを作成します。
ESFAdmin
ESFMon
Windowsドメイン認証を利用する場合は、ドメインコントローラ(Active Directory)にETERNUS SFロールグループを作成します。
Windowsドメイン認証を利用しない場合は、運用管理サーバにETERNUS SFロールグループを作成します。
注意
ETERNUS SFロールグループに対し、Windowsのセキュリティポリシーでローカルログオンを許可する設定にしてください。
ETERNUS SFロールグループをドメインコントローラ(Active Directory)に作成する場合、グループのスコープとグループの種類を指定する必要があります。必ず以下の値を指定してください。
グループのスコープ : ドメインローカル
グループの種類 : セキュリティ
groupaddコマンドなどを使って、以下の2つのグループを作成します。
esfadmin
esfmon
Webコンソールを操作するためのユーザーアカウントを作成します。
Windowsドメイン認証を利用する場合は、ドメインコントローラ(Active Directory)にユーザーアカウントを作成します。
Windowsドメイン認証を利用しない場合は、運用管理サーバにユーザーアカウントを作成します。
useraddコマンドなどを使って、運用管理サーバにユーザーアカウントを作成します。
作成したユーザーアカウントをETERNUS SFロールグループに所属させます。
[コンピュータの管理]などを使って設定をします。
usermodコマンドなどを使って、対象ユーザーアカウントに対し以下のどちらかの設定をします。
一次グループをETERNUS SFロールグループにする
二次グループにETERNUS SFロールグループを追加する
usermodコマンドなどを使って、対象ユーザーアカウントに対し以下のどちらかの設定をします。
主グループをETERNUS SFロールグループにする
補助グループにETERNUS SFロールグループを追加する
ユーザーアカウントにETERNUS SFロールが付与されます。
ポイント
ETERNUS SFロールグループはコマンドラインで作成することもできます。作成用バッチファイルの例を以下に示します。
Windowsドメイン認証を利用する場合はドメインコントローラで、利用しない場合は運用管理サーバで実行してください。
@echo off REM # ----------------------- REM # ESFAdminグループ作成 REM # ----------------------- net localgroup ESFAdmin > NUL 2>&1 if errorlevel 1 ( echo ESFAdmin group add. net localgroup ESFAdmin /add /comment:"ETERNUS SF V15 Administrator" ) REM # ----------------------- REM # ESFMonグループ作成 REM # ----------------------- net localgroup ESFMon > NUL 2>&1 if errorlevel 1 ( echo ESFMon group add. net localgroup ESFMon /add /comment:"ETERNUS SF V15 Moniter" ) |
Express、Storage Cruiser、AdvancedCopy Manager、およびAdvancedCopy Manager CCMのコマンドは、OSの管理者権限を持つユーザーだけが実行できます。
ここでは、コマンドを実行するユーザーの作成について説明します。
ポイント
ここで作成したユーザーをETERNUS SFロールグループに所属させることで、Webコンソール操作とコマンド実行が、同じユーザーでできるようになります。
Windows Server 2003の場合
Express、Storage Cruiser、AdvancedCopy Manager、およびAdvancedCopy Manager CCMのコマンドを利用する場合は、管理者権限を持つユーザーまたはAdministratorsグループに所属するユーザーで操作してください。
Windows Server 2008以降の場合
Windows Server 2008以降では、セキュリティ向上のためにユーザーアカウント制御(以降、UAC)の機能が追加されました。
以下に、UAC が有効な場合と無効な場合について説明します。
UACが有効な場合
ビルトインAdministratorアカウント以外のすべてのユーザー(Administratorsグループに属するアカウントを含む)は、管理者権限を必要とする処理やプログラムの実行時に「権限昇格/承認ダイアログ」が表示されるため、権限昇格の確認および承認を行う必要があります。
UACが無効な場合
管理者権限を必要とする処理やプログラムの実行は、ビルトインAdministratorアカウントまたはAdministratorsグループに所属するユーザーアカウントで実行する必要があります。
動作条件を以下に示します。
アカウントの種類 | UAC: 有効 | UAC: 無効 |
|---|---|---|
ビルトインAdministratorアカウント | ◎ | ◎ |
Administratorsグループに所属するユーザーアカウント | ○ | ◎ |
標準ユーザーアカウント | ○ | × |
◎: 権限昇格ダイアログを表示せずに動作します。
○: 権限昇格ダイアログを表示し、承認がされたら動作します。
×: 管理者権限を取得できないため、動作しません。
上記の表中「○」となる条件下で、権限昇格ダイアログによる対話処理を行いたくない場合(バッチ処理など)は、以下のどれかの方法により管理者権限でプログラムを実行する必要があります。
コマンドプロンプトでrunasコマンドを用い、管理者権限をもったユーザーでプログラムを実行します。ただし、後からパスワードを入力する必要があります。
[バッチファイル(test.bat)を実行する場合の例]
runas /noprofile /user:mymachine\acmuser "cmd.exe /k test.bat" |
タスクスケジューラで「最上位の特権で実行する」を指定して、プログラムを起動します。
コマンドプロンプトを開いて実行します。
Windows Server 2008またはWindows Server 2008 R2の場合
[スタート]-[すべてのプログラム]-[アクセサリ]-[コマンドプロンプト]メニューを右クリックして、「管理者として実行」を指定してコマンドプロンプトを起動し、開いたコマンドプロンプトでプログラムを実行します。
Windows Server 2012の場合
「管理者として実行」を指定してコマンドプロンプトを起動し、開いたコマンドプロンプトでプログラムを実行します。
Express(Linux版だけ)、Storage Cruiser、AdvancedCopy Manager、およびAdvancedCopy Manager CCMのコマンドは、rootユーザーだけが実行可能です。rootユーザーで操作してください。
