Systemwalkerコンソールからの操作を制御する方法
Systemwalkerコンソールからの操作を制御するには、以下の2つの方法があります。使用目的にあった方法を選択して運用してください。
ロール(共通の役割(権限)を持つ利用者で構成するグループ)単位で制御します。
利用者ごとにSystemwalker Centric Managerの操作を細かく制御する方法
Systemwalkerコンソールを利用するユーザーIDごとに、Systemwalkerコンソールで操作できる機能を制御します。コンソール操作制御機能といいます。
各機能は、OSおよびSystemwalker Centric Managerのエディションによって提供されている場合とされていない場合があります。詳細は以下の表を参照してください。
機能 | Windows | Solaris | Linux | |||||
|---|---|---|---|---|---|---|---|---|
SE | EE | SE | EE | GEE | SE | EE | GEE | |
ロールによる制御 | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
コンソール操作制御 | - | ○ | - | ○ | ○ | - | ○ | ○ |
○:機能提供あり
-:機能提供なし
ロールによる基本的な制御方法
Systemwalker Centric Managerであらかじめ定義しているロール(参照、操作、管理)にユーザを参加させることで、Systemwalkerが提供する標準的なユーザの権限設定を簡単に行えます。
ロールを使用する場合の注意点
ロールに登録するユーザは、あらかじめ運用管理サーバ機のOSのユーザとして登録する必要があります。一般操作者用のユーザIDを作成するときは、運用管理サーバ機のOSの管理者(UNIXならroot、WindowsならAdministratorsグループに所属するユーザID)以外のユーザIDを使用してください。サーバ機のOSの管理者として登録されているユーザは、Systemwalker Centric Managerでも管理者のロール(DmAdmin)の権限があり、すべての操作が行えます。ロールの詳細については、“Systemwalker Centric Manager 解説書”の“セキュリティ対策”を参照してください。
利用者ごとにSystemwalker Centric Managerの操作を細かく制御する方法
ロールによる制御よりも、権限をきめ細かく制御する場合に使用します。
また、SMARTACCESSと連携することにより、ICカードなどの認証デバイスを使用してセキュリティを高めることができます。
SystemwalkerコンソールのユーザーIDごとに、操作可能とするオブジェクトを分けたい場合
使用者が利用できるサーバ機だけを表示した論理マップを使用し、一般使用者には監視ツリーの変更ができない権限を設定することで、使用者が利用できない他のサーバ機については、参照もできないようにします。
A管理者:部門Aに対して操作はできるが、部門Bに対して操作はできない。
B管理者:部門Bに対して操作はできるが、部門Aに対して操作はできない。
ユーザごとに、操作可能とするオブジェクトを分けたい場合
1台の運用管理サーバを操作する場合
例えば、以下のように運用管理クライアントが1台だけの場合、A部門の管理者は、Systemwalkerコンソールを起動したままの状態で他の部門のサーバに対してSystemwalkerコンソールから操作できないようにします。
A管理者:部門Aに対する操作はできるが、部門Bに対する操作はできない。
B管理者:部門Bに対する操作はできるが、部門Aに対する操作はできない。
複数の運用管理サーバを操作する場合
複数の運用管理サーバを監視するために、1台の運用管理クライアントで複数のSystemwalkerコンソールの画面を表示します。
Systemwalkerコンソールで操作を行うときにはユーザーIDの入力が必要です。
複数の運用管理サーバを操作する場合のユーザーIDは、以下のどちらかを使用します。
SystemwalkerコンソールごとのユーザーIDを使用する
Systemwalkerコンソールで共通のユーザーIDを使用する
SystemwalkerコンソールごとのユーザーIDを使用する運用
Systemwalkerコンソールごとに使用するユーザーIDを分けて操作の保護を行う運用です。
例えば、管理者は、運用管理サーバAのSystemwalkerコンソールで操作を行う場合、ユーザーID 「ida」を入力して操作を行い、運用管理サーバBのSystemwalkerコンソールで操作を行う場合、ユーザーID 「idb」を入力して操作を行います。
Systemwalkerコンソールで共通のユーザーIDを使用する運用
Systemwalkerコンソールで共通のユーザーIDを使用して、操作の保護を行う運用です。
例えば、管理者は、運用管理サーバA、および運用管理サーバBのSystemwalkerコンソールの操作も、同じユーザーID 「idc」を使用します。同じユーザーIDを使用することにより、業務サーバAを操作するときに、経由する運用管理サーバを意識せずに操作を行えます。
Systemwalkerコンソールのメニューごとに権限を設定する場合、およびSystemwalkerコンソールからの操作について、細かな権限設定を行う場合
例えば、リモートコマンド機能において、一般利用者はUNIXのファイル一覧コマンド「ls -l」だけを投入可能とし、その他のコマンドはすべて投入不可にすることができます。このように、一般利用者が投入できるコマンドを制限し、不正な操作や誤った操作によるシステム破壊を防止できます。
コンソール操作制御を使用する場合の注意点
コンソール操作制御に登録するユーザIDはあらかじめロールに登録をしておく必要があります。コンソール操作制御で権限の設定を行っても、登録したロールの権限以上の操作はできません。
コンソール操作制御の定義には、許可するメニューおよび操作を定義してください。定義方法によっては、すべてを許可し特別なメニューおよび操作だけを許可しないような設定もできますが、新たに利用者や対象サーバを追加した場合に、不用意に操作ができてしまうなどの問題が発生し、セキュリティが弱くなる可能性があります。
コンソール操作制御を使用する場合、導入時にユーザのロールの設定、および、Systemwalkerコンソールのメニュー抑止を行うことで、よりセキュリティを高めた安全な監視を行うことができます。詳細は、“Systemwalkerコンソールのアクセス権の考え方”を参照してください。
なお、Systemwalker Centric Managerから出力された監査ログにより、システムのセキュリティを点検する場合は、“システムのセキュリティを点検するには”を参照してください。
