Systemwalker Operation Managerでは、サービス/デーモンが使用する資源にアクセスできるユーザを任意に設定し、利用者を制限することができます。
利用者制限の定義は、[Systemwalker Operation Manager環境設定]ウィンドウの[共通パラメタ]ボタンをクリックして表示される、[Operation Manager共通パラメタの定義]ウィンドウで行います。
ポイント
Systemwalker Operation Manager V16.0.0以降の場合、新規インストール時のデフォルトで、利用者制限の定義が有効となっています。
注意
Systemwalker Operation Managerの利用者を制限できるのは、ファイルシステムがNTFSの場合に限ります。FATを使用している場合には利用できません。【Windows版】
swadminグループの作成
デマンドジョブの投入、ジョブ実行制御属性のジョブネット起動およびジョブスケジューラのコマンドの利用者を制限するには、swadminグループが必要です。
swadminグループはSystemwalker Operation Managerのサーバインストール時に自動的に生成されます。一度生成されたswadminグループは、[Operation Manager共通パラメタの定義]ウィンドウで利用者の限定を解除しても削除はされません。
swadminグループはSystemwalker Operation Managerのサーバインストール時に自動的に生成されます。
ジョブスケジューラおよびジョブ実行制御のコマンド機能の使用を許可するユーザをすべてswadminグループに登録してください。
監査ログファイルの保護
監査ログファイルを保護するためには、利用者制限の定義を行ってから、以下の手順で出力先ディレクトリにアクセス権を設定してください。
注意
監査ログファイルの出力先ディレクトリを変更した場合は、その都度、以下の設定を行う必要があります。
【Windows版】
Administratorsグループに所属しているユーザでログインします。
監査ログの出力先ディレクトリのアクセス許可エントリから、Usersグループを削除します。
監査ログの出力先ディレクトリに、swadminグループに対する「読み取り」「書き込み」のアクセス権を追加します。
【UNIX版】
スーパーユーザでログインします。
監査ログの出力先ディレクトリをswadminグループの所有権に変更します。
例)# chgrp swadmin /var/opt/FJSVftlo/audit
監査ログの出力先ディレクトリのアクセス権を変更します。
例)# chmod 770 /var/opt/FJSVftlo/audit
上記のコマンドは、監査ログ出力先のディレクトリをデフォルトのまま利用している場合の例です。
利用者制限の定義手順
[Operation Manager共通パラメタの定義]ウィンドウの表示
[Systemwalker Operation Manager環境設定]ウィンドウの[共通パラメタ]ボタンをクリックすると、[Operation Manager共通パラメタの定義]ウィンドウが表示されます。
利用者制限の定義
[swadminグループに含まれるユーザだけが、デマンドジョブの起動、ジョブ実行制御属性のジョブネット起動、およびジョブスケジューラのコマンド機能が利用できるように制限する]をチェックすると、利用者をswadminグループに登録されたユーザおよびAdministratorsグループ所属ユーザ/スーパーユーザだけに制限できます。
利用者制限の定義を無効(利用者制限しない)にする場合は、チェックを外します。
サービス/デーモンの再起動
[Operation Manager共通パラメタの定義]ウィンドウでの設定後、[OK]ボタンをクリックすると再起動の確認ダイアログボックスが表示されます。再起動の確認ダイアログボックスで[OK]ボタンをクリックすると、以下が再起動されます。
【Windows版】
ジョブ実行制御、ジョブスケジューラ、業務連携サービスが再起動されます。複数サブシステム運用している場合は、全サブシステムと業務連携サービスが再起動されます。
【UNIX版】
ジョブ実行制御、ジョブスケジューラデーモンが再起動されます。複数サブシステム運用している場合は、全サブシステムが再起動されます。
[Operation Manager共通パラメタの定義]ウィンドウ
デマンドジョブの起動、ジョブ実行制御属性のジョブネット起動およびジョブスケジューラのコマンド機能を、swadminグループに含まれるユーザおよびAdministratorsグループ所属ユーザ/スーパーユーザだけに制限したい場合に指定します。
注意
サービス/デーモンが使用する資源のアクセス権について
Systemwalker Operation Managerのいくつかのサービスは、資源に対してアクセス権がないと起動できません。Systemwalker Operation Managerサーバの以下の資源については、Administratorsグループにフルコントロールを設定してください。
インストール時に指定したインストール先ディレクトリおよびその配下のファイル
カレンダ情報ディレクトリ(インストール先ディレクトリ\MpWalker.JM\mpjmcal\caldb)
ジョブスケジューラのデータベースディレクトリ(初期値は、インストール先ディレクトリ\MpWalker.JM\mpjobsch\jobdb)およびその配下のファイル
Systemwalker Operation Managerの各デーモンが利用する以下の資源には、[Operation Manager利用者の限定]のチェック状況に応じて適切なアクセス権が設定されています。これらのアクセス権を変更しないでください。アクセス権を変更すると、Systemwalker Operation Managerが正しく動作しなくなるおそれがあります。
Solaris版およびLinux版の場合
インストール先ディレクトリ配下の資源
データベースディレクトリ(/var/opt/パッケージ名)配下の資源
HP-UX版およびAIX版の場合
インストール先ディレクトリ配下の資源
なお、[Operation Manager利用者の限定]のチェック内容によっては、インストール時と異なるアクセス権が設定されるため、pkgchkコマンドでエラーメッセージが出力される場合があります。
注意
旧互換負荷分散機能を利用する場合について【Windows版】
[Operation Manager共通パラメタの定義]ウィンドウで[swadminグループに含まれるユーザだけが、デマンドジョブの起動、ジョブ実行制御属性のジョブネット起動、およびジョブスケジューラのコマンド機能が利用できるように制限する]をチェックしてOperation Managerの利用者を限定した場合、旧互換負荷分散機能は利用できません。
Systemwalker Operation Manager V11.0L10/11.0 以降で提供される、分散実行機能は利用可能です。
注意
拡張ユーザ管理機能を利用する場合について【UNIX版】
拡張ユーザ管理機能を有効としている場合、Operation Managerユーザに対応づけられたOSユーザが、利用者制限の定義の対象となります。
拡張ユーザ管理機能を有効としている場合で、[Operation Manager利用者の限定]のチェックボックスをチェックした場合は、以下のようにアクセス権が決定されます。
対応づけられたOSユーザがswadminグループに所属しているかチェックされます。
swadminグループに所属していることが確認された場合、プロジェクトにアクセス権があるかどうかチェックされます。
アクセス権がある場合、デマンドジョブの投入、ジョブ実行制御属性のジョブネット起動およびジョブスケジューラのコマンドが利用できます。
注意
ジョブを投入する場合について【Windows版】
[Operation Manager共通パラメタの定義]ウィンドウで[swadminグループに含まれるユーザだけが、デマンドジョブの起動、ジョブ実行制御属性のジョブネット起動、およびジョブスケジューラのコマンド機能が利用できるように制限する]をチェックしてOperation Managerの利用者を限定し、かつ、以下のユーザにswadminグループに所属するドメインユーザを指定した場合、ジョブを正常に投入するために、指定したドメインユーザを[ジョブ所有者情報の定義]ウィンドウで、登録しておく必要があります。
スケジュールジョブ:プロジェクトの所有者、ジョブの実行ユーザ
デマンドジョブ:ログインユーザ
qsubコマンド:ジョブの実行ユーザ
ジョブ投入API:ジョブの実行ユーザ
