操作制御マネージャ起動条件記述ファイルの定義例を示します。

定義例では、以下の環境を想定しています。

• 1つの運用管理サーバにAセンターとBセンターの業務サーバが接続しています。

• Aセンターの管理者のログインIDは、centa003、centa005です。

• Bセンターの管理者のログインIDは、jkl00001、jkl00021です。

• 担当外のサーバに対しては、利用者権限で使用します。

• すべてのログインIDは、Systemwalkerコンソールの操作権のあるユーザです。

想定に合わせた操作制御マネージャ起動条件記述ファイルの記述方法を説明します。

以下に記述例を示します。

1. 操作判定情報を設定します。

   コンソール操作制御機能の実施有無 使用する  y 使用しない  n	check_console	y	コンソール操作制御機能を使用する
   未登録操作のレベル（判定を行う操作が登録されていない操作の操作レベル）	level	127	管理者権限

   操作制御マネージャ起動条件記述ファイルでは、以下の定義になります。

   check_console=y #コンソール操作制御機能の実施有無 level=127 #未登録操作のレベル

2. ユーザグループを登録します。

   操作権限を設定したいユーザのグループ分けを行います。

   ユーザグループは操作制御マネージャ起動条件記述ファイル内だけで有効であり、ACLマネージャのロールや、セキュリティ管理者、セキュリティ監査者の設定と関係しません。

   グループが行う操作	ユーザグループ名	ログインID
   Aセンターの管理	CenterA	centa003
   		centa005
   Bセンターの管理	CenterB	jkl00001
   		jkl00021

   操作制御マネージャ起動条件記述ファイルでは、以下の定義になります。

   !UserID
   CenterA
    centa003
    centa005
   CenterB
    jkl00001
    jkl00021
   !UserID-End

3. 操作のレベルを登録します。

   操作を行うために必要な権限のレベルを決めます。

   • 各メニューに対する操作レベルの設定例

     	操作レベル
     更新権が必要なメニュー	50
     操作権が必要なメニュー	10
     参照権が必要なメニュー	5

   メニューの詳細は、“Systemwalker Centric Manager 使用手引書 監視機能編”の“Systemwalkerコンソールのメニュー項目”を参照してください。操作制御マネージャ起動条件記述ファイルに設定する「操作名」は“Systemwalker Centric Manager リファレンスマニュアル”の“操作制御マネージャ起動条件記述ファイル”を参照してください。

   操作		操作 レベル	製品名	判定を行う操作
   [リモートコマンド]で、右記のコマンドを投入	ls -l	1	opmgr	"command ls -l"
   	kill	50		"command kill"
   監視イベントの状態変更		10		action
   リモートコマンド検索(全ノード)		10		rcmdserchall
   メッセージ検索(指定ノード)		10		msgserchsel
   [リモートコマンド]画面の起動   「リモートコマンド」を投入するためには、[リモートコマンド]画面の起動が必要		1		"CONSOLE TOOLS_REMOTECOMMAND"
   [監視イベントの状態変更]画面の起動   「監視イベントの状態変更」を行うには[監視イベントの状態変更]画面の起動が必要		5		"CONSOLE EVENT_UPDATEEVENT"
   [リモートコマンド検索]画面の起動   「リモートコマンド検索(全ノード)」を行うには[リモートコマンド検索]画面の起動が必要		5		"CONSOLE TOOLS_A_SERCHRCMD"
   [メッセージ検索]画面の起動   「メッセージ検索(指定ノード)」を行うには[メッセージ検索]画面の起動が必要		5		"CONSOLE TOOLS_SERCHMSGLOG"

   製品名：opmgr は予約語であり、Systemwalkerコンソールの操作に対する判定を行うことを表します。

   操作制御マネージャ起動条件記述ファイルは、以下の定義となります。

   !OperationEx
   opmgr
    1,"command ls -l"
    50,"command kill"
    10,action
    10,rcmdserchall
    10,msgserchsel
    1,"CONSOLE TOOLS_REMOTECOMMAND"
    5,"CONSOLE EVENT_UPDATEEVENT"
    5,"CONSOLE TOOLS_A_SERCHRCMD"
    5,"CONSOLE TOOLS_SERCHMSGLOG"
    1,"CONSOLE FILE_SELECTTREE"
   !OperationEx-End
   

4. 条件グループを登録します。

   製品名に対して実行可能なレベルを決めたグループ(条件グループ)を決めます。

   定義するグループの権限	条件グループ名	実行できる権限	製品名	ユーザレベル
   管理者権限	Special	製品名opmgrに対して、127レベルまで実行可能	opmgr	127
   利用者権限	User	製品名opmgrに対して、15レベルまで実行可能		15
   一時利用者	Guest	製品名opmgrに対して、5レベルまで実行可能		5

   操作制御マネージャ起動条件記述ファイルは、以下の定義となります。

   !Condition
   Guest
    opmgr,5
   User
    opmgr,15
   Special
    opmgr,127
   !Condition-End
   

5. グループへの条件設定を設定します。

   操作対象に対して、ユーザグループと条件グループを関連付けます。

   ユーザグループ	操作対象名 (操作する対象)	権限	設定する条件グループ	操作できる権限
   CenterA	hostA	管理者権限	Special	ユーザグループ(CenterA)は、hostAに対して条件グループ(Special)で設定した権限(管理者権限)まで行える。
   	hostB	利用者権限	User	ユーザグループ(CenterA)は、hostBに対して条件グループ(User)で設定した権限(利用者権限)まで行える。
   	“”	利用者権限	User	ユーザグループ(CenterA)は、操作対象名の判定を行わない操作（注）に対して条件グループ(User)で設定した権限(利用者権限)まで行える。
   	*	一時利用者	Guest	ユーザグループ(CenterA)は、hostA、hostB以外に対して条件グループ(Guest)で設定した権限(一時利用者)まで行える。
   CenterB	hostA	利用者権限	User	ユーザグループ(CenterB)は、hostAに対して条件グループ(User)で設定した権限(利用者権限)まで行える。
   	hostB	管理者権限	Special	ユーザグループ(CenterB)は、hostBに対して条件グループ(Special)で設定した権限(管理者権限)まで行える。
   	“”	利用者権限	User	ユーザグループ(CenterB)は、操作対象名の判定を行わない操作（注）に対して条件グループ(User)で設定した権限(利用者権限)まで行える。
   	*	一時利用者	Guest	ユーザグループ(CenterB)は、hostA、hostB以外に対して条件グループ(Guest)で設定した権限(一時利用者)まで行える。

   注：“3.操作のレベルを登録します。”に登録されている操作で、[操作対象名]に[objectEx=""]が指定される操作。操作対象名については、“Systemwalker Centric Manager リファレンスマニュアル”の“操作制御マネージャ起動条件記述ファイル”を参照してください。

   操作制御マネージャ起動条件記述ファイルは、以下の定義となります。

   !!
   CenterA
    objectEx=hostA
    condition=Special
    objectEx=hostB,””
    condition=User
    objectEx=*
    condition=Guest
   CenterB
    objectEx=hostA,””
    condition=User
    objectEx=hostB
    condition=Special
    objectEx=*
    condition=Guest
   !!

   すべての定義を行った操作制御マネージャ起動条件記述ファイルを以下に示します。

   check_console=y      #コンソール操作制御機能の実施有無
   level=127            #未登録操作のレベル
   
   !UserID
   CenterA
    centa003            #(1)
    centa005
   CenterB
    jkl00001
    jkl00021
   !UserID-End
   
   !OperationEx
   opmgr               #(4)
    1,"command ls -l"
    50,"command kill"
    10,action
    10,rcmdserchall
    10,msgserchsel
    1,"CONSOLE TOOLS_REMOTECOMMAND"
    5,"CONSOLE EVENT_UPDATEEVENT"
    5,"CONSOLE TOOLS_A_SERCHRCMD"
    5,"CONSOLE TOOLS_SERCHMSGLOG"
    1,"CONSOLE FILE_SELECTTREE"      #(5)
   !OperationEx-End
   
   !Condition
   Guest
    opmgr,5
   User
    opmgr,15                         #(3)
   Special
    opmgr,127
   !Condition-End
   
   !!
   CenterA
    objectEx=hostA
    condition=Special
    objectEx=hostB,""               #(2) #(6)
    condition=User
    objectEx=*
    condition=Guest
   CenterB
    objectEx=hostA,""               #(6)
    condition=User
    objectEx=hostB
    condition=Special
    objectEx=*
    condition=Guest
   !!

   • （1）ログインIDがcenta003の利用者は、Aセンターに属します。

   • （2）操作対象名がhostBに対してAセンターのcenta003は、User条件グループの権限を持っています。

   • （3）User条件グループの権限は、製品名(opmgr)に対して15のレベルの操作が許可されています。

   • （4）centa003は、hostBに対して、レベル1のリモートコマンド「ls -l」は実行できますが、レベル50のリモートコマンド「kill」は、実行できません。

   • （5）「監視ツリーの選択」は、ユーザを追加したときにツリーの切り替えが行えなくなるのを防ぐため、低いレベルを指定します。監視ツリーの選択を許可しない場合は高いレベルを設定します。

   • （6）操作対象名が存在しない操作を指定するときは「""」を設定します。

     上記の定義の例では、“3.操作のレベルを登録します。”に登録されている操作の中で、[操作対象名]に[objectEx=""]が指定される操作です。

     操作対象名については、“Systemwalker Centric Manager リファレンスマニュアル”の“操作制御マネージャ起動条件記述ファイル”を参照してください。