ETERNUS SF Managerの機能を使うために、ユーザーアカウントの設定をします。
Webコンソール操作ユーザーおよびコマンド実行ユーザーのアカウントに付与する権限と操作できる範囲を以下に示します。
ETERNUS SFロール | OSの管理者(Administrator)権限 | |
|---|---|---|
あり | なし | |
あり | Webコンソールおよびコマンドのどちらも使用できる | Webコンソールだけ使用できる |
なし | コマンドだけ使用できる | Webコンソールおよびコマンドのどちらも使用できない |
Webコンソール操作ユーザーおよびコマンド実行ユーザーの作成と設定、ETERNUS SFシステムが内部で使用するユーザー(esfpostgres)のパスワード変更手順について説明します。
注意
ETERNUS SFシステムが内部で使用するユーザー(esfpostgres)は、ETERNUS SFシステムの動作に必要なため、ユーザーアカウントを削除しないでください。製品導入時はパスワードに初期値が設定されているため、ETERNUS SFシステムの運用を開始する前にパスワードを変更してください。また、ETERNUS SFシステムの運用中も定期的にパスワードを変更してください。
Webコンソール操作ユーザーおよびコマンド実行ユーザーの、アカウント名およびパスワードは、定期的に変更してください。
ETERNUS SFシステムは、Webコンソールへのログイン時認証に、運用管理サーバのOSの認証機構を使用します。
ユーザーにETERNUS SFシステムの利用権限(ロール)を付与するには、ETERNUS SFロールグループを作成し、ETERNUS SFロールグループにユーザーアカウントを所属させます。
ETERNUS SFロールグループに付与されるETERNUS SFロール、および各ロールグループに所属するユーザーに許可されるWebコンソール操作の関係を、下表に示します。
ETERNUS SFロールグループ | 付与されるETERNUS SFロール | 許可されるWebコンソールの操作 |
|---|---|---|
ESFAdmin | Administrator | すべての操作 |
ESFMon | Monitor | 表示系の操作だけ |
ETERNUS SFロールグループ | 付与されるETERNUS SFロール | 許可されるWebコンソールの操作 |
|---|---|---|
esfadmin | Administrator | すべての操作 |
esfmon | Monitor | 表示系の操作だけ |
ETERNUS SFロールグループを作成します。
以下の2つのグループを作成します。
ESFAdmin
ESFMon
Windowsドメイン認証を利用する場合は、ドメインコントローラー(Active Directory)にETERNUS SFロールグループを作成します。
Windowsドメイン認証を利用しない場合は、運用管理サーバにETERNUS SFロールグループを作成します。
注意
ETERNUS SFロールグループに対し、Windowsのセキュリティポリシーでローカルログオンを許可する設定にしてください。
ETERNUS SFロールグループをドメインコントローラー(Active Directory)に作成する場合、グループのスコープとグループの種類を指定する必要があります。必ず以下の値を指定してください。
グループのスコープ : ドメインローカル
グループの種類 : セキュリティ
groupaddコマンドなどを使って、以下の2つのグループを作成します。
esfadmin
esfmon
Webコンソールを操作するためのユーザーアカウントを作成します。
Windowsドメイン認証を利用する場合は、ドメインコントローラー(Active Directory)にユーザーアカウントを作成します。
Windowsドメイン認証を利用しない場合は、運用管理サーバにユーザーアカウントを作成します。
useraddコマンドなどを使って、運用管理サーバにユーザーアカウントを作成します。
作成したユーザーアカウントをETERNUS SFロールグループに所属させます。
[コンピュータの管理]などを使って設定をします。
usermodコマンドなどを使って、対象ユーザーアカウントに対し以下のどちらかの設定をします。
一次グループをETERNUS SFロールグループにする
二次グループにETERNUS SFロールグループを追加する
usermodコマンドなどを使って、対象ユーザーアカウントに対し以下のどちらかの設定をします。
主グループをETERNUS SFロールグループにする
補助グループにETERNUS SFロールグループを追加する
ユーザーアカウントにETERNUS SFロールが付与されます。
ポイント
ETERNUS SFロールグループはコマンドラインで作成することもできます。作成用バッチファイルの例を以下に示します。
Windowsドメイン認証を利用する場合はドメインコントローラーで、利用しない場合は運用管理サーバで実行してください。
@echo off REM # ----------------------- REM # ESFAdminグループ作成 REM # ----------------------- net localgroup ESFAdmin > NUL 2>&1 if errorlevel 1 ( echo ESFAdmin group add. net localgroup ESFAdmin /add /comment:"ETERNUS SF Administrator" ) REM # ----------------------- REM # ESFMonグループ作成 REM # ----------------------- net localgroup ESFMon > NUL 2>&1 if errorlevel 1 ( echo ESFMon group add. net localgroup ESFMon /add /comment:"ETERNUS SF Monitor" ) |
Express、Storage Cruiser、AdvancedCopy Manager、およびAdvancedCopy Manager CCMのコマンドは、OSの管理者権限を持つユーザーだけが実行できます。
ここでは、コマンドを実行するユーザーの作成について説明します。
ポイント
ここで作成したユーザーをETERNUS SFロールグループに所属させることで、Webコンソール操作とコマンド実行が、同じユーザーでできるようになります。
Windows環境の場合
Windows Server 2008以降では、セキュリティ向上のためにユーザーアカウント制御(以降、UAC)の機能が追加されました。
以下に、UAC が有効な場合と無効な場合について説明します。
UACが有効な場合
ビルトインAdministratorアカウント以外のすべてのユーザー(Administratorsグループに属するアカウントを含む)は、管理者権限を必要とする処理やプログラムの実行時に「権限昇格/承認ダイアログ」が表示されるため、権限昇格の確認および承認を行う必要があります。
UACが無効な場合
管理者権限を必要とする処理やプログラムの実行は、ビルトインAdministratorアカウントまたはAdministratorsグループに所属するユーザーアカウントで実行する必要があります。
動作条件を以下に示します。
アカウントの種類 | UAC: 有効 | UAC: 無効 |
|---|---|---|
ビルトインAdministratorアカウント | ◎ | ◎ |
Administratorsグループに所属するユーザーアカウント | ○ | ◎ |
標準ユーザーアカウント | ○ | × |
◎: 権限昇格ダイアログを表示せずに動作します。
○: 権限昇格ダイアログを表示し、承認がされたら動作します。
×: 管理者権限を取得できないため、動作しません。
上記の表中「○」となる条件下で、権限昇格ダイアログによる対話処理を行いたくない場合(バッチ処理など)は、以下のどれかの方法によって、管理者権限でプログラムを実行する必要があります。
コマンドプロンプトでrunasコマンドを用い、管理者権限をもったユーザーでプログラムを実行します。ただし、後からパスワードを入力する必要があります。
[バッチファイル(test.bat)を実行する場合の例]
runas /noprofile /user:mymachine\acmuser "cmd.exe /k test.bat" |
タスクスケジューラで「最上位の特権で実行する」を指定して、プログラムを起動します。
コマンドプロンプトを開いて実行します。
Windows Server 2008またはWindows Server 2008 R2の場合
[スタート]-[すべてのプログラム]-[アクセサリ]-[コマンドプロンプト]メニューを右クリックして、「管理者として実行」を指定してコマンドプロンプトを起動し、開いたコマンドプロンプトでプログラムを実行します。
Windows Server 2012以降の場合
「管理者として実行」を指定してコマンドプロンプトを起動し、開いたコマンドプロンプトでプログラムを実行します。
Express(Linux版だけ)、Storage Cruiser、AdvancedCopy Manager、およびAdvancedCopy Manager CCMのコマンドは、rootユーザーだけが実行可能です。rootユーザーで操作してください。
esfpostgresユーザーのパスワード変更は、以下の手順で行ってください。
Windows環境の場合
作業を行うサーバに、Administrator権限を持つユーザーでログオンします。
コマンドプロンプトを「管理者として実行」で起動します。
以下のバッチを実行して、ETERNUS SF Managerサービスを停止します。
> $INS_DIR\Common\bin\Stop_ESFservice.bat
$INS_DIRは、ETERNUS SF Managerをインストールしたときの「プログラムディレクトリ」です。
以下のコマンドを実行してesfpostgresユーザーのパスワードを変更します。
> net user esfpostgres *
Service Control ManagerからETERNUS SF Manager Postgres Serviceを開き、ログオンの際に使用するパスワードを変更します。
パスワードには、esfpostgresユーザーと同じパスワードを指定します。
以下のバッチを実行して、ETERNUS SF Managerサービスを開始します。
> $INS_DIR\Common\bin\Start_ESFservice.bat
$INS_DIRは、ETERNUS SF Managerをインストールしたときの「プログラムディレクトリ」です。
Solaris/Linux環境の場合
作業を行うサーバにログインします。ログイン後の操作は、root(スーパーユーザー)で実施してください。
以下のコマンドを実行して、ETERNUS SF Managerデーモンを停止します。
# /opt/FJSVesfcm/bin/stopesf.sh
以下のコマンドを実行して、esfpostgresユーザーのパスワードを変更します。
# passwd esfpostgres
以下のコマンドを実行して、ETERNUS SF Managerデーモンを起動します。
# /opt/FJSVesfcm/bin/startesf.sh
