Systemwalker Centric Managerは、セキュリティのため、画面のアクセス権やツリーへのアクセス権をユーザごとに定義することができます。ここでは、以下の構成でアクセス権の定義方法を説明します。

• Systemwalkerコンソールのアクセス権

• セキュリティを高めた監視を行う場合の設定

Systemwalker Centric Managerの各機能を利用するために必要な権限を、利用者ごとに設定することができます。Systemwalker Centric Managerは、ロールという単位で各機能の利用権限を定義しています。ロールとは、共通の役割(権限)を持つ利用者から構成されるグループのことです。Systemwalker Centric Managerをインストールすると、以下のロールが登録されます。

注1)
Solaris版、Linux版で登録されます。
注2)
「クライアント」以外のインストール種別でインストールした場合にロール設定が必要です。

管理者は、ユーザを上記のロールに適宜所属させてください。所属させるロールの種類により、ユーザが使用できる機能と利用権限が決まります。ロールと利用可能な機能の関係は、以下のとおりです。

• Systemwalkerコンソールの監視機能を使用するために必要な権限については、“Systemwalker Centric Manager 使用手引書 監視機能編”の“Systemwalkerコンソールのメニュー項目”を参照してください。

• Systemwalkerコンソールの編集機能を使用するためには、DmAdminロールに所属している必要があります。

• [システム監視設定]ダイアログボックスを起動するためには、DmAdminロールに所属している必要があります。[システム監視設定]ダイアログボックスについては、“Systemwalker Centric Manager 使用手引書 監視機能編”の“イベント監視の条件を設定する”の“サーバに直接接続して環境定義を行う場合”を参照してください。

• DmAdminは、DmOperation、DmReference、OrmOperationの権限を含んでいます。

• DmOperationは、DmReference、OrmOperationの権限を含んでいます。

• 返答操作のコマンドの詳細は、“Systemwalker Centric Manager リファレンスマニュアル”の“返答メッセージ用コマンドの概要【UNIX版】”を参照してください。

“機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属していない一般のユーザは、Systemwalker Centric Managerの機能を使用できません。

Systemwalkerコンソールを起動するユーザおよびリモート操作エキスパート/リモート操作クライアントが動作するWindows端末にログオンするユーザを、“機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属させてください。ただし、ユーザアカウント制御(UAC)が無効になっている場合には、Administratorsグループに所属させることでも使用できます。

Systemwalkerコンソールを起動するユーザについては、“Systemwalker Centric Manager 使用手引書 監視機能編”の“Systemwalkerの利用者権限を定義する”を参照してください。

【UNIXの場合】

• スーパーユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわらず、アクセス制御の対象外として常に更新権を持つユーザとして扱われます。

• Solaris 11では、OSのインストール時にユーザアカウントの設定を行った場合、rootは「役割」として登録されます。この場合、スーパーユーザ(root)をSecurityAdmin,SecurityAuditor以外のロールに登録すると、以下のポップアップメッセージが表示され登録に失敗します。

  

  DmAdminにrootを登録するときに表示されるメッセージ例

  
  

  なお、スーパーユーザ（root）は、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわらず、アクセス制御の対象外として常に更新権を持つユーザであり、デフォルトで次のロールに登録された状態と同等の権限を持っているため、ロールに登録する必要はありません。

  • DmAdmin

  • DmOperation

  • DmReference

  • DistributionAdmin

  • DistributionOperation

  • DistributionReference

  • OrmOperation

【Windows(R)の場合】

Administratorsグループに所属するユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわらず、アクセス制御の対象外として常に更新権を持つユーザとして扱われます。

Systemwalkerコンソールを起動するWindows端末のDmAdmin、DmOperation、DmReference、またはAdministratorsのどれかのグループに所属するローカルユーザでWindows端末にログオンする必要があります。

ただし、ユーザアカウント制御(UAC)が有効になっている場合には、DmAdmin、DmOperation、またはDmReferenceのどれかのグループに所属するローカルユーザでWindows端末にログオンする必要があります。

運用時には、DmReferenceグループに所属するローカルユーザでWindows端末にログオンすることを推奨します。

以下の運用を検討されている場合、セキュリティをより高めた監視を行うことを推奨します。

1. 監視ツリーごとにオペレータを分けて監視を行う場合

2. 同一の監視ツリーを複数のオペレータが監視するが、オペレータごとに作業、または監視対象が異なる場合

3. オペレータごとに使用できるSystemwalkerコンソールのメニューを限定したい場合

4. オペレータごとに監視するノードなどのオブジェクトを限定したい場合

セキュリティをより高めた監視を行うには、以下の設定を行ってください。

• ユーザ権限の設定

• メニュー抑止の設定

管理者、オペレータ、および資源配付の管理者（資源配付のオペレータを含む）のユーザ名をそれぞれ決定してください。各ユーザの役割は、以下のとおりです。

• 管理者

  Systemwalker Centric Managerのすべての資源に対し、更新、操作、参照できる特権ユーザ。導入時の初期設定や構成情報/ポリシーの変更などを行うユーザ。

• オペレータ

  通常の監視操作を行い、特定の資源に対しての操作、参照が行えるユーザ。更新権は付与されていないが、監視時にリモートコマンドの発行やイベントの対処などを行うユーザ。

• 資源配付の管理者（資源配付のオペレータを含む）

  資源配付機能を利用するユーザ。

  なお、資源配付の操作は、コンソール操作制御の対象ではないため、Systemwalkerコンソールからは使用せず、スタートメニューまたはアプリ画面から使用してください。

管理者およびオペレータに対して、それぞれ以下の設定を行ってください。

• 管理者

  【付与するロールおよび権限】

  • DmAdmin

  • DistributionAdmin

• オペレータ

  【付与するロールおよび権限】

  • DmOperation または、DmReference

  操作、参照ユーザの場合は、「DmOperation」、参照ユーザの場合は、「DmReference」を付与してください。

以下のメニューについて、上記「ユーザ権限の設定」の「オペレータ」が実行できないようにするため、DmAdminロールに所属するユーザのみが実行できるようコンソール操作制御機能で設定してください。定義方法は、“コンソール操作制御機能で認証する”を参照してください。

[オブジェクト]メニュー

• ノード情報をCSV形式で保存

[イベント]メニュー

• 監視イベントログをCSV形式で保存

[操作]メニュー

• IP NetMGR－構成情報検索

• ブレードサーバ管理画面－指定ノード

• 性能情報の出力

• 利用者管理

• ノード中心マップ型の表示

• ペアノード経路マップ型の表示

• バッチ業務

• IP NetMGR－構成情報

• ブレードサーバ管理画面－全ノード

• ユーザ登録メニュー（注）

• 連携製品の起動

注）操作メニュー登録画面または、「mpaplreg(監視画面のメニュー項目登録コマンド)」から登録したメニューです。

上記のメニューは、表示している監視ツリーに含まれないオブジェクトについて参照/操作/更新が可能です。監視ツリーに含まれないオブジェクトを参照/操作/更新させない運用をするために、本設定を行う必要があります。

以下の画面および機能においてインベントリ情報を参照するには、コンソール操作制御機能が運用中でない場合に使用してください。

• [インベントリ情報で検索]画面

• [ソフトウェア修正管理]画面からインベントリ情報を表示する