ETERNUS SF Managerの機能を使うために、ユーザーアカウントの設定をします。
Webコンソール操作ユーザーおよびコマンド実行ユーザーのアカウントに付与する権限と操作できる範囲を以下に示します。
ETERNUS SFロール | OSの管理者(Administrator)権限 | |
|---|---|---|
あり | なし | |
あり | Webコンソールおよびコマンドのどちらも使用できる | Webコンソールだけ使用できる |
なし | コマンドだけ使用できる | Webコンソールおよびコマンドのどちらも使用できない |
Webコンソール操作ユーザーおよびコマンド実行ユーザーの作成と設定、ETERNUS SFシステムが内部で使用するユーザー(esfpostgres)のパスワード変更手順について説明します。
注意
ETERNUS SFシステムが内部で使用するユーザー(esfpostgres)は、ETERNUS SFシステムの動作に必要なため、ユーザーアカウントを削除しないでください。製品導入時はパスワードに初期値が設定されているため、ETERNUS SFシステムの運用を開始する前にパスワードを変更してください。また、ETERNUS SFシステムの運用中も定期的にパスワードを変更してください。
複数のサーバにETERNUS SF Managerをインストールする場合、それらのサーバでesfpostgresユーザーは共有できません。例えば、Windows環境で1つのドメインに複数のドメインコントローラーの役割を持つサーバが存在し、ドメインコントローラー間でユーザー情報をレプリケーション機能で共有している場合、ETERNUS SF Managerは1台のドメインコントローラーだけにインストールできます。2台目からはメンバーサーバにインストールしてください。
Webコンソール操作ユーザーおよびコマンド実行ユーザーの、アカウント名およびパスワードは、定期的に変更してください。
ETERNUS SFシステムは、Webコンソールへのログイン時認証に、運用管理サーバのOSの認証機構を使用します。
ユーザーにETERNUS SFシステムの利用権限(ロール)を付与するには、ETERNUS SFロールグループを作成し、ETERNUS SFロールグループにユーザーアカウントを所属させます。
ETERNUS SFロールグループに付与されるETERNUS SFロール、および各ロールグループに所属するユーザーに許可されるWebコンソール操作の関係を、下表に示します。
ETERNUS SFロールグループ | 付与されるETERNUS SFロール | 許可されるWebコンソールの操作 |
|---|---|---|
ESFAdmin | Administrator | すべての操作 |
ESFMon | Monitor | 表示系の操作だけ |
ETERNUS SFロールグループ | 付与されるETERNUS SFロール | 許可されるWebコンソールの操作 |
|---|---|---|
esfadmin | Administrator | すべての操作 |
esfmon | Monitor | 表示系の操作だけ |
ETERNUS SFロールグループを作成します。
Windows環境の場合
以下の2つのグループを作成します。
ESFAdmin
ESFMon
Windowsドメイン認証を利用する場合は、ドメインコントローラー(Active Directory)にETERNUS SFロールグループを作成します。
Windowsドメイン認証を利用しない場合は、運用管理サーバにETERNUS SFロールグループを作成します。
注意
ETERNUS SFロールグループに対し、Windowsのセキュリティポリシーでローカルログオンを許可する設定にしてください。
ドメインコントローラー(Active Directory)にETERNUS SFロールグループを作成する場合は、グループのスコープとグループの種類を指定する必要があります。必ず以下の値を指定してください。
グループのスコープ: ドメインローカルまたはユニバーサル
グループの種類: セキュリティ
任意の名前を指定してETERNUS SFロールグループを作成する場合や、スコープにユニバーサルが指定されたグループをETERNUS SFロールグループとして利用する場合は、「付録K ロールグループ設定ファイルのカスタマイズ」に記載されている作業を実施してください。
Solaris環境またはLinux環境の場合
groupaddコマンドなどを使って、以下の2つのグループを作成します。
esfadmin
esfmon
Webコンソールを操作するためのユーザーアカウントを作成します。
Windows環境の場合
Windowsドメイン認証を利用する場合は、ドメインコントローラー(Active Directory)にユーザーアカウントを作成します。
Windowsドメイン認証を利用しない場合は、運用管理サーバにユーザーアカウントを作成します。
Solaris環境またはLinux環境の場合
useraddコマンドなどを使って、運用管理サーバにユーザーアカウントを作成します。
作成したユーザーアカウントをETERNUS SFロールグループに所属させます。
Windows環境の場合
[コンピューターの管理]などを使って設定をします。
Solaris環境の場合
usermodコマンドなどを使って、対象ユーザーアカウントに対し以下のどちらかの設定をします。
1次グループをETERNUS SFロールグループにする
2次グループにETERNUS SFロールグループを追加する
Linux環境の場合
usermodコマンドなどを使って、対象ユーザーアカウントに対し以下のどちらかの設定をします。
主グループをETERNUS SFロールグループにする
補助グループにETERNUS SFロールグループを追加する
ユーザーアカウントにETERNUS SFロールが付与されます。
ポイント
ETERNUS SFロールグループはコマンドラインで作成することもできます。作成用バッチファイルの例を以下に示します。
Windowsドメイン認証を利用する場合はドメインコントローラーで、利用しない場合は運用管理サーバで実行してください。
@echo off REM # ----------------------- REM # ESFAdminグループ作成 REM # ----------------------- net localgroup ESFAdmin > NUL 2>&1 if errorlevel 1 ( echo ESFAdmin group add. net localgroup ESFAdmin /add /comment:"ETERNUS SF Administrator" ) REM # ----------------------- REM # ESFMonグループ作成 REM # ----------------------- net localgroup ESFMon > NUL 2>&1 if errorlevel 1 ( echo ESFMon group add. net localgroup ESFMon /add /comment:"ETERNUS SF Monitor" )
Express、Storage Cruiser、AdvancedCopy Manager、およびAdvancedCopy Manager CCMのコマンドは、OSの管理者権限を持つユーザーだけが実行できます。
ここでは、コマンドを実行するユーザーの作成について説明します。
ポイント
ここで作成したユーザーをETERNUS SFロールグループに所属させることで、Webコンソール操作とコマンド実行が、同じユーザーでできるようになります。
Windows operating systemのユーザーアカウント制御(以降、“UAC”と呼びます)が有効な場合と無効な場合について説明します。
UACが有効な場合
Administratorアカウント以外のすべてのユーザー(Administratorsグループに属するアカウントを含む)は、管理者権限を必要とする処理やプログラムの実行時に「権限昇格/承認ダイアログ」が表示されるため、権限昇格の確認および承認を行う必要があります。
UACが無効な場合
管理者権限を必要とする処理やプログラムの実行は、AdministratorアカウントまたはAdministratorsグループに所属するユーザーアカウントで実行する必要があります。
動作条件を以下に示します。
アカウントの種類 | UAC: 有効 | UAC: 無効 |
|---|---|---|
Administratorアカウント | 〇 | 〇 |
Administratorsグループに所属するユーザーアカウント | ×(注) | 〇 |
標準ユーザーアカウント | ×(注) | × |
〇: 権限昇格ダイアログを表示せずに動作します。
×: 管理者権限を取得できないため、動作しません。
注: 権限昇格ダイアログを表示し、承認がされたら動作しますが、処理やプログラムが出力するメッセージは表示されません。
UACが有効な場合にAdministratorアカウント以外のすべてのユーザーで実施するときは、以下のどちらかの方法を利用して、管理者権限でプログラムを実行する必要があります。
対話処理回避方法 | Administratorsグループに | 標準ユーザーアカウント |
|---|---|---|
「管理者として実行」を指定してコマンドプロンプトを起動し、開いたコマンドプロンプト上でプログラムを実行 | 回避可 | 回避可 |
タスクスケジューラで「最上位の特権で実行する」を指定して起動 | 回避可 | 回避不可 |
Express(Linux版だけ)、Storage Cruiser、AdvancedCopy Manager、およびAdvancedCopy Manager CCMのコマンドは、rootユーザーだけが実行可能です。rootユーザーで操作してください。
esfpostgresユーザーのパスワード変更は、以下の手順で行ってください。
Windows環境の場合
作業を行うサーバに、Administrator権限を持つユーザーでログオンします。
コマンドプロンプトを「管理者として実行」で起動します。
以下のバッチを実行して、ETERNUS SF Managerサービスを停止します。
> $INS_DIR\Common\bin\Stop_ESFservice.bat
$INS_DIRは、ETERNUS SF Managerをインストールしたときの「プログラムディレクトリ」です。
以下のコマンドを実行してesfpostgresユーザーのパスワードを変更します。
> net user esfpostgres *
Service Control ManagerからETERNUS SF Manager Postgres Serviceを開き、ログオンの際に使用するパスワードを変更します。
パスワードには、esfpostgresユーザーと同じパスワードを指定します。
以下のバッチを実行して、ETERNUS SF Managerサービスを開始します。
> $INS_DIR\Common\bin\Start_ESFservice.bat
$INS_DIRは、ETERNUS SF Managerをインストールしたときの「プログラムディレクトリ」です。
Solaris/Linux環境の場合
作業を行うサーバにログインします。ログイン後の操作は、root(スーパーユーザー)で実施してください。
以下のコマンドを実行して、ETERNUS SF Managerデーモンを停止します。
# /opt/FJSVesfcm/bin/stopesf.sh
以下のコマンドを実行して、esfpostgresユーザーのパスワードを変更します。
# passwd esfpostgres
以下のコマンドを実行して、ETERNUS SF Managerデーモンを起動します。
# /opt/FJSVesfcm/bin/startesf.sh
