本章では、すでにOS認証で専用実効ユーザモードを利用しないでNavigatorを運用している場合に、専用実効ユーザモードへ移行する手順を説明します。
なお、Oracleを利用する場合は、必ず専用実効ユーザモードで運用する必要があります。
専用実効ユーザモードへの移行手順を以下に示します。移行作業中は、他のユーザがNavigator Serverを利用しないようにしてください。
なお、以下の移行手順の1、および5~10については、スーパユーザで実行してください。
1.利用中ユーザの有無を確認
移行作業は、他のユーザが利用していない状態で実施する必要があります。
利用中ユーザの有無を確認したり、一般利用者のログオンを規制したりするために、ユーザ管理機能などが使用できます。
ユーザ管理の詳細は、“12.1.2 ユーザ管理機能”を参照してください。
ここでは、rn_showuserコマンドを使用して利用中のユーザを表示したり、rn_locklogonコマンドを使用して一般利用者のログオンを規制したりする方法を示します。
# rn_showuser |
2.データベースのバックアップ
移行作業中の不測の事態に備えて、データベースのバックアップを行うことを強くお勧めします。バックアップの方法は各データベースの機能を使用して行ってください。
3.辞書の退避(辞書が複数ある場合、辞書の数だけ実施します。)
辞書の退避を行います。辞書の退避は、Navigator辞書管理ツール、または辞書退避コマンドを使用して行います。辞書が複数ある場合には、辞書の数だけ退避を実行してください。
辞書の退避が終了したら、辞書の退避情報が正しく出力されているか確認してください。辞書の退避情報については、“Navigator Server 管理者ガイド(辞書管理ツール編)”を参照してください。
4.辞書の削除(辞書が複数ある場合、辞書の数だけ実施します。)
退避が正常に行われた事を確認してから、辞書の削除を行ってください。辞書の削除は、Navigator辞書管理ツールを使用して行います。辞書が複数ある場合には、辞書の数だけ削除を実行します。
5.認証タイプ設定ファイルの設定
専用実効ユーザモードでの利用する時は、認証タイプ設定ファイルの設定が必要です。
認証タイプの設定には、以下の作業をします。
Navigator Serverのプロセスの実効ユーザの作成
辞書ディレクトリの作成
認証タイプ設定ファイルの作成
各作業について説明します。
専用実効ユーザモードで動作させるためのユーザをOSに登録してください。
実効ユーザとは、Navigator Serverが動作する際のプロセスの所有者となる、OS上に登録されたユーザのことです。Navigatorクライアントからサーバに接続を行うと、サーバ上にNavigatorのプロセスが生成され、実効ユーザはこのプロセスの所有者となります。
辞書の管理者、一般利用者のユーザと異なるユーザ名、ユーザIDで作成してください。
Oracleを利用する場合、作成するユーザは、Oracleのイベントリ・グループ(インストール時の例では、oinstallと記載されています)のユーザにしてください。
認証タイプ設定ファイルのパラメタに作成したユーザ名を指定します。
以下に、ユーザ名「navi」、グループ名「olap」の場合の作成例を示します。
# groupadd -g 3000 olap # useradd -u 3000 -g olap -d /home/navi -s /usr/bin/csh -m navi
注意
Oracleを利用する場合、作成するユーザは、Oracleのイベントリ・グループ(インストール時の例ではoinstallと記載されています)のユーザにしてください。
実効ユーザがどのグループに属しているかを調べるには、コンソールで次のコマンドを入力します。詳しくはOSのマニュアルを参照してください。
# id <実効ユーザ名>
辞書ディレクトリとは、Navigator Serverが辞書情報を格納するためのディレクトリのことです。
このディレクトリの下にNavigatorのユーザごとに、ユーザ名と同名のディレクトリが自動的に作成され、このディレクトリに辞書情報などの、Navigatorが動作するときに必要となる情報が保存されます。
ディレクトリに作成される資源については、“Navigator Server 管理者ガイド(辞書管理ツール編)”を参照してください。
作成手順は、以下のとおりです。
辞書ディレクトリを作成してください。
辞書ディレクトリに、Navigator Serverプロセスの実効ユーザが、読み込み、書き込み、実行のできる権限を設定してください。
# mkdir /home/navidic # chown navi:olap /home/navidic # chmod -R 700 /home/navidic
認証タイプファイルに辞書ディレクトリ名、および、実効ユーザ名を指定します。
「.rn_auth_type」を認証タイプ設定ファイルと呼びます。
以下のディレクトリの配下に「.rn_auth_type」のファイルを作成します。
64bit論理空間で運用する場合
インストールディレクトリ/bin64 |
32bit論理空間で運用する場合
インストールディレクトリ/bin |
【例】32bit論理空間で運用する場合
===================================================================================
# cd "/opt/FJSVenavi/bin"
# mv .rn_auth_type.sample .rn_auth_type
=====================================================================================
認証タイプ設定ファイルのサンプルファイルを提供しています。サンプルファイルを利用する場合は、
「.rn_auth_type.sample」のファイル名を「.rn_auth_type」に変更してください。
認証タイプファイルの設定内容について説明します。
認証タイプ設定ファイルはテキストファイルで、次のフォーマットとなっています。
OS認証の場合は、認証ログディレクトリの指定は不要です。
認証タイプ,辞書ディレクトリ,実効ユーザ名,認証ログディレクトリ |
各パラメタは半角の“,”で区切ってください。また、行末には、改行コードが必要です。
認証タイプ
認証タイプには、OS認証の場合は、半角数字の「1」を指定します。
サンプルファイルは、OS認証の値「1」が設定されています。
辞書ディレクトリ
辞書ディレクトリの絶対パス名を指定してください。絶対パス名の末尾には、ディレクトリ区切り文字「/」を指定してください。
実効ユーザ名
OSに登録した実効ユーザ名を指定します。
実効ユーザ名を指定する場合は、必ず辞書ディレクトリも指定してください。
実効ユーザ名(および辞書ディレクトリ)は、指定した値を変更することはできません。
例えば、1回「navi」という実効ユーザ名で運用した場合、そのシステムで指定可能な実効ユーザ名は、「navi」のみになります。
認証ログディレクトリ
「認証ログディレクトリ」は、設定不要です。
【例】
1,/home/navidic/,navi, |
6.作業ファイル用ディレクトリの変更
Navigatorの環境設定ファイルに環境変数TMPDIRや環境変数RN_WORKDIRを指定していない場合は、環境変数TMPDIR、および、環境変数RN_WORKDIRを指定してください。
指定したディレクトリが作業ファイル用ディレクトリとして使用されます。
以下に、環境変数TMPDIRに指定したディレクトリが/navi/tmpで、実効ユーザがnavi(グループolap)の場合の設定例を示します。
# chown -R navi:olap /navi/tmp |
Solarisでは、Navigator Server専用のディレクトリを用意し環境変数TMPDIRに指定してください。
Solarisでは、環境変数TMPDIRは省略できない環境変数のため、必ず設定が必要です。
指定するディレクトリは、/var/tmpなどを指定しないでください。Navigatorが専用で使用するディレクトリを指定してください。
LinuxではTMPDIR環境変数は省略できません。
7.辞書の退避情報の移動(辞書が複数ある場合、辞書の数だけ実施します。)
3.で退避した辞書の退避情報を移動します。(環境変数RN_BACKUP_DIRECTORYを指定していない場合)
管理者のホームディレクトリ配下に作成されている辞書の退避情報ファイルを認証タイプの設定で作成した辞書ディレクトリ配下に管理者名のディレクトリを作成して複写します。
辞書が複数ある場合には、辞書の数だけ退避情報ファイルを移動します。移動先は、辞書ディレクトリ配下の辞書の管理者と同名のディレクトリです。
以下に、移行前の辞書の退避情報ファイルのディレクトリが/home/naviadm/RN.bac、辞書の管理者のユーザ名がnaviadm、辞書ディレクトリが/home/navidicの場合の例を示します。
# mkdir /home/navidic/naviadm |
辞書の退避情報ファイルの作成先を指定している場合は、辞書の退避情報ファイルの作成先ディレクトリに対して権限を与えます。
辞書の退避情報ファイルの作成先の指定は、Navigatorの環境設定ファイルの環境変数RN_BACKUP_DIRECTORYです。
以下に権限の変更例を示します。
RN_BACKUP_DIRECTORY = /navi/backupの場合
# chown -R navi:olap /navi/backup |
8.システムの再起動
動作環境の変更を有効にするために、必ずシステムを再起動してください。
9.辞書の復元(辞書が複数ある場合、辞書の数だけ実施します。)
辞書の復元を行います。辞書の復元は、Navigator辞書管理ツールを使用して行います。辞書が複数ある場合には、辞書の数だけ復元を実行します。
10.動作確認
移行前と同様に問い合わせができることを確認してください。
11.その他の資源のアクセス権限の変更
Navigatorの環境設定ファイル内の環境変数でディレクトリや、ファイルを指定していて、すべてユーザにアクセス権を与えていた場合は、実効ユーザにアクセス権限を与えるようにします。
例えば、アクセス権を与えているファイルには、環境変数RN_LOG_DBACCESS(アクセスログ)や、
RN_LOG_CONNECTINFO(接続情報ログ)に指定するファイルがあります。
資源に対するアクセス権限の設定はOSのコマンドを使用して、実効ユーザに対してだけアクセス権限を与えます。アクセス権限の設定は、スーパユーザで行ってください。
chown -R <ユーザ名>:<グループ名> <資源名> |
<ユーザ名>には実効ユーザ名を指定し、<グループ名>には、実効ユーザのグループ名を指定します。<資源名>には、アクセス権限を変更するファイルやディレクトリを指定します。
注意
作業ファイル用ディレクトリに/tmpや/var/tmpなど、Navigator Server以外のプログラムが使用するディレクトリは指定せず、Navigator Server専用のディレクトリを用意した上で、Navigatorの環境設定ファイルの環境変数を指定してください。誤って、/tmpや/var/tmpなどを指定し、所有者や権限を変更してしまった場合、システムや他のプログラムが動作しなくなる可能性があります。Navigator Serverの作業ファイルは、環境変数TMPDIR、およびRN_WORKDIRに設定されたディレクトリ配下に作成されます。
専用実効ユーザモードに変更すると、環境チェックコマンドで以下の警告が表示されるようになりますが、動作に問題はありません。
KVR12020I File "%1" related to variable %2 is not given all authority to all users. |
