V13.1.0以前においてIDカードセキュリティ機能を使用して運用を行っていた場合、コンソール操作制御とSMARTACCESSへの運用に移行する必要があります。
IDカードセキュリティ機能とコンソール操作制御(SMARTACCESSのアプリケーションログオンを使用した場合)については以下の機能差があります。
操作の保護(Systemwalkerの操作を制御する機能)
認証方式 | コンソール操作制御 | IDカードセキュリティ | |
|---|---|---|---|
媒体名 | セキュリティレベル | ||
磁気カード | 低い | × | ○ (注1) |
スマートアクセス(ICカード) | 単体でも高いが組み合わせて強化できる | ○ | ○ (注1) |
FeliCa (ICカード) | ○ | × | |
指紋 | ○ | × | |
静脈(バイオ認証装置と組み合わせ) | 非常に高い | ○ | × |
注1)
Windows Vista以降では対応していません。
端末の保護(運用管理クライアントのPC自体の操作を制御する機能)
認証方式 | SMARTACCESS/BASIC,Premiumの機能(注1) | IDカードセキュリティ | |
|---|---|---|---|
媒体名 | セキュリティレベル | ||
磁気カード | 低い | × | ○ (注2) |
スマートアクセス(ICカード) | 単体でも高いが組み合わせて強化できる | ○ | ○ (注2) |
FeliCa (ICカード) | ○ | × | |
指紋 | × | × | |
静脈(バイオ認証装置と組み合わせ) | 非常に高い | × | × |
注1)
SMARTACCESS が持つ機能であり、コンソール操作制御の機能ではありません。
注2)
Windows Vista以降では対応していません。
バージョンアップをしてIDカードセキュリティからコンソール操作制御を使用した運用に移行するときに必要となるソフトウェア・ハードウェア
以下のソフトウェアが必要になります。
SMARTACCESS/Premium V1.1 以降、または
SMARTACCESS/BASIC
SMARTACCESS/BASICは2006年以降に発売されたICカードリーダに添付されています。2006年より前に発売されたICカードリーダは、添付ソフトがSMARTACCESS/BASEになります。SMARTACCESS/BASEの場合は、SMARTACCESS/Premium を購入する必要があります。また現在使用しているソフトウェアがSMARTACCESS/Proの場合も、SMARTACCESS/Premium を購入する必要があります。ICカードリーダの添付ソフトを必ず確認してください。
使用しているハードウェアがSMARTACCESS/Premium で動作できるかは、技術員に確認してください。
バージョンアップをして、IDカードセキュリティからコンソール操作制御を使用した運用に移行する手順
運用管理サーバでの作業
運用管理サーバでの作業手順を以下に示します。
Systemwalker のバージョンアップ作業を実施しており、“利用機能別に必要な作業”の前までが完了している環境 |
1 マネージャ起動条件記述ファイル変換コマンドを投入する。 |
2 変換された操作制御マネージャ起動条件記述ファイルの確認とカスタマイズ 確認する観点がファイル内にコメント行として表示されます。変換された定義を確認し、必要に応じて変更します。 |
3 使用するユーザ名の確認・登録をする。 ユーザ名は接続する運用管理サーバの「DmAdmin」「DmOperation」「DmReference」のどれかのロールに所属している必要があります。 |
4 操作制御マネージャ起動条件記述ファイルを操作制御マネージャ起動条件ファイルに変換する。 |
5 Systemwalker Centric Managerを起動する。 |
運用管理クライアントでの作業
運用管理クライアントでの作業手順を以下に示します。
Systemwalker のバージョンアップ作業が実施しており、“利用機能別に必要な作業”の前までが完了している環境 |
1 エージェント起動条件記述ファイル変換コマンドを投入する。 |
2 変換された操作制御エージェント起動条件記述ファイルの確認とカスタマイズする。 確認する観点がファイル内にコメント行として表示されます。変換された定義を確認し、必要に応じて変更します。 |
3 操作制御エージェント起動条件記述ファイルを操作制御エージェント起動条件ファイルに変換する。 |
4 運用管理クライアントPCの再起動 |
5 SMARTACCESSのインストールと設定 1)SMARTACCESS/BASIC、またはPremiumをインストールします。 2)アプリケーションログオン機能で[コンソール操作制御[操作の判定]]ダイアログボックスを登録します。 3)認証デバイスにユーザ名、およびパスワードを登録します。 4)IDカードセキュリティの端末の保護を使用していた場合、カードのポーリング動作を設定します。 なお、同一コンピュータでバージョンアップする場合は、先にSMARTACCESS/BASE、またはProをアンインストールしておく必要があります。詳細については、SMARTACCESSのマニュアルを参照してください。 |
マネージャ起動条件記述ファイル変換コマンドを投入して操作制御マネージャ起動条件記述ファイルに変換する
バージョンアップする際に退避されたIDカードセキュリティマネージャ起動条件ファイルから、IDカードセキュリティマネージャ起動条件記述ファイルと、自動変換した操作制御マネージャ起動条件記述ファイルを作成します。
/opt/FJSVsopct/bin/idchgmanager
コマンドの詳細については“Systemwalker Centric Managerリファレンスマニュアル”の“idchgmanager(マネージャ起動条件記述ファイル変換コマンド)”を参照してください。
IDカード・マネージャ起動条件記述ファイルを操作制御マネージャ起動条件記述ファイルに変換する項目について
設定を変更する項目を以下に示します。
基本情報
項目名 | IDカードセキュリティのマネージャ起動条件記述ファイルの項目 | 操作制御マネージャ起動条件記述ファイルで指定する項目 | 変換 | マネージャ記述変換コマンドの動作 | 変換の注意事項 |
|---|---|---|---|---|---|
コンソール操作制御の認証方式 | なし | check_kind=2 | ○ | 変換する | IDカードセキュリティの後継機能は「操作ごとの保護」を指定する。 |
ポート番号 | port | 該当なし | ○ | 手動で設定する | ポート番号がデフォルト値(9343)でないときは「MpIdcMgr」サービス名のポート番号の設定を変更する。 |
保護の種別 | kind | 該当なし | × | 削除 | 端末の保護を使用する場合は、SMARTACCESSの「カードのポーリング動作」機能を使用する。 |
認証 (カードデータ)有効時間 | interval | interval | ○ | 同じ値 | コンソール操作制御機能では、最後に操作の判定が必要な操作(注)を行ってから、指定した時間が経過すると、認証を解除します。 IDカードセキュリティでは、指定した時間だけ無操作状態(PC端末に入力がない状態)が続いた場合に、認証を解除します。 |
操作ログ | log | 該当なし | × | 削除 | コンソール操作制御の操作ログは監査ログに出力します。監査ログを採取する/しないは、監査ログの設定で行います。 |
操作ログファイル | ldir | ||||
操作ログサイズ | lsize | ||||
操作ログ数 | lnum | ||||
監査ログ出力 | auditlog |
○:変換が必要な項目です。「変換方法についての注意事項」がある場合は、注意事項を考慮して変換してください。マネージャ記述変換コマンドで自動変換された項目についても必ず確認してください。
×:該当する項目がありません。削除するか、先頭に「#」を付けてコメント行にしてください。
-:変換の必要はありません。
Systemwalkerコンソールで操作の判定が必要な操作は、“Systemwalker Centric Manager リファレンスマニュアル”で、“操作制御マネージャ起動条件記述ファイル”の“操作制御機能の対象となるメニュー/操作”を参照してください。
操作判定情報
項目名 | IDカードセキュリティのマネージャ起動条件記述ファイルの定義項目 | 操作制御マネージャ起動条件記述ファイルで指定する項目 | 変換の必要 | マネージャ記述変換コマンドの動作 | 変換の注意事項 |
|---|---|---|---|---|---|
操作の保護の対象 | ch_other | check_console | ○ | 変換する |
|
ch_hard | check_hard | ○ | 変換する |
| |
カードの開始位置と長さ | pos=x,y | 該当なし | × | 削除 |
|
登録されていない操作のレベル | level | level | - | 同じ値 |
|
ユーザおよびユーザグループの登録 |
|
| |||
| !User | !UserID | ○ | 変換する |
|
ユーザグループ名 | ユーザグループ名 | - | 同じ値 |
| |
ユーザ名、カードデータ | ユーザ名 | ○ | 同じ値 | ユーザ名は運用管理サーバの「DmAdmin」、「DmOperation」、「DmReference」のどれかのロールに所属する必要があります。 | |
!User-End | !UserID-End | ○ | 変換する |
| |
操作のレベルの登録 |
|
| |||
| !Operation | !OperationEx | ○ | 変換する |
|
製品名 | 製品名 | - | 同じ値 |
| |
_操作レベル,判定を行う操作 | _操作レベル,判定を行う操作 | ○ | 同じ値 | 非互換があります。 | |
!Operation-End | !OperationEx-End | ○ | 変換する |
| |
条件グループの登録 |
|
| |||
| !Condition | !Condition | - | 同じ値 |
|
条件グループ名 | 条件グループ名 | - | 同じ値 |
| |
_製品名,ユーザレベル | _製品名,ユーザレベル | - | 同じ値 |
| |
!Condition-End | !Condition-End | - | 同じ値 |
| |
グループへの条件の設定 |
|
| |||
| !! | !! | - | 同じ値 |
|
ユーザグループ名 | ユーザグループ名 | - | 同じ値 |
| |
_object=操作対象名[,操作対象名[,*]] | _objectEx=操作対象名[,操作対象名[,*]] | ○ | 同じ値 | 指定できる操作対象名が128バイトに拡張しています。 | |
_condition=条件グループ名[,条件グループ名[,*]] | _condition=条件グループ名[,条件グループ名[,*]] | - | 同じ値 |
| |
!! | !! | - | 同じ値 |
| |
○:変換が必要な項目です。「変換方法についての注意事項」がある場合は、注意事項を考慮して変換してください。マネージャ起動条件記述ファイル変換コマンドで自動変換された項目についても、必ず確認してください。
×:該当する項目がありません。削除するか、先頭に「#」をつけてコメント行にしてください。
-:変換の必要はありません。
1)投入できるリモートコマンドの長さ
IDカードセキュリティを使用している環境では、Systemwalker Centric Managerから投入できるリモートコマンドの最大長は120バイトです。121バイト以上のリモートコマンドは投入できません。コンソール操作制御を使用している環境では、投入できるリモートコマンドの長さが1024バイトまで拡張しており121バイト以上のリモートコマンドも判定を行う操作として、権限のチェックを行います。
そのため、IDカードセキュリティを使用している環境では投入できなかったリモートコマンドが、コンソール操作制御を使用している環境では投入できるようになることがあります。
投入するリモートコマンド
|----120バイト-----| ls -l /op/......../......../......../......../
IDカードセキュリティ
マネージャ起動条件記述ファイルの設定で投入できる権限があってもコマンドの長さが121バイト以上あるため投入できない。
コンソール操作制御
マネージャ起動条件記述ファイルの設定で投入できる権限があれば、コマンドの長さが1024バイトまでは投入できる。
2)前提となる「判定を行う操作」
コンソール操作制御では、IDカードセキュリティより多くの操作を「判定を行う操作」として登録できます。1つの「判定を行う操作」を行うときに前提となる「判定を行う操作」があり、前提となる「判定を行う操作」を許可する必要があります。以下にリモートコマンドの例を示します。前提となる「判定を行う操作」は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
例)
リモートコマンド(command)を実行するには、[リモートコマンド]画面の起動「"CONSOLE TOOLS_REMOTECOMMAND"」を許可する必要があります。
!OperationEx opmgr 1,"CONSOLE TOOLS_REMOTECOMMAND" 1,"command ls -l" 50,"command kill" . !OperationEx-End
Systemwalker Centric Manager GEE 11.0 以前のIDカードセキュリティから操作制御を使用した運用に移行する場合
Systemwalker Centric Manager GEE 11.0 以前からのバージョンアップであり、[操作]メニューの「ハード監視」または「WSMGR」を使用している場合は、バージョンアップ後にマネージャ起動条件ファイルの再設定が必要になります。12.0以降、操作メニューの「ハード監視」、「WSMGR」がIDカードセキュリティの操作チェックの対象になっています。
以下の条件にすべて一致する場合には、再設定が必要です。
Systemwalker Centric Manager GEE 11.0 以前からのバージョンアップである。
「ハード監視」または「WSMGR」を使用している。
マネージャ起動条件記述ファイルの操作判定情報のck_other が「y」の設定である。
操作制御マネージャ起動条件記述ファイルに、「ハード監視」と「WSMGR」の権限のレベルを登録してください。
11.0以前と同じように、「ハード監視」、「WSMGR」を操作チェックの対象としない場合は、以下の定義を操作制御マネージャ起動条件記述ファイルに追加してください。
!OperationEx opmgr ・ ・ 0,apmenu ハード監視 0,apmenu WSMGR !OperationEx-End
操作制御マネージャ起動条件記述ファイルを変更した場合は、操作制御マネージャ起動条件ファイルを作成し、Systemwalker Centric Managerを再起動してください。
エージェント起動条件記述ファイル変換コマンドを投入して操作制御エージェント起動条件記述ファイルに変換する
バージョンアップする際に退避されたIDカードセキュリティエージェント起動条件ファイルから、IDカードセキュリティエージェント起動条件記述ファイルと、自動変換した操作制御エージェント起動条件記述ファイルを作成します。
Systemwalkerインストールディレクトリ\mpwalker.dm\MpOrCtrl\bin\idchgagent |
コマンドの詳細については“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
IDカード・エージェント起動条件記述ファイルを操作制御エージェント起動条件記述ファイルに変換する項目について
設定を変更する項目を以下に示します。
項目名 | IDカードセキュリティのエージェント起動条件記述ファイルの項目 | 操作制御エージェント起動条件記述ファイルで指定する項目 | 変換 | エージェント記述変換コマンドの動作 | 変換方法についての注意事項 |
|---|---|---|---|---|---|
デバイス名 | device | 該当なし | × | 削除 |
|
リーダのタイプ | type | 該当なし | × | 削除 |
|
保護の種別 | kind | 該当なし | × | 削除 | 端末の保護を使用する場合は、SMARTACCESSの「カードのポーリング動作」機能を使用する。 |
認証 (カードデータ)有効時間 | interval | interval | ○ | 同じ値 | コンソール操作制御機能では、最後に操作の判定が必要な操作(注2)を行ってから、指定した時間が経過すると、認証を解除します。 IDカードセキュリティでは、指定した時間だけ無操作状態(PC端末に入力がない状態)が続いた場合に、認証を解除します。 |
ポート番号 | port | 該当なし | ○ | 手動で設定する | ポート番号がデフォルト値(9343)でないときは「MpIdcMgr」サービス名のポート番号の設定を変更する。 |
運用管理サーバのホスト名 | host | 該当なし | × | 削除 | コンソール操作制御は、Systemwalker Centric Manager起動時に指定した運用管理サーバに接続します。 |
運用管理サーバ未接続時の動作 | option | 該当なし | × | 削除 | 端末の保護を使用する場合は、SMARTACCESSの「カードのポーリング動作」機能を使用する。 |
テストモード | mode | 該当なし | × | 削除 | |
端末の保護を解除できるユーザ名 | !! !! | 該当なし | × | 削除 |
注1)
○:変換が必要な項目です。「注意事項」がある場合は、注意事項を考慮して変換してください。エージェント記述変換コマンドで自動変換された項目についても必ず確認してください。
×:該当する項目がありません。削除するか、先頭に「#」をつけてコメント行にしてください。
-:変換の必要はありません。
注2)
Systemwalkerコンソールで操作の判定が必要な操作は、“Systemwalker Centric Manager リファレンスマニュアル”で、“操作制御マネージャ起動条件記述ファイル”の“操作制御機能の対象となるメニュー/操作”を参照してください。
SMARTACCESSの推奨設定値
SMARTACCESSの推奨値については、“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“運用管理クライアントの環境設定”を参照してください。
