Navigatorで利用できるアクセス制御機能を設定する方法について説明します。
データの非公開/公開の設定、およびデータの公開条件の設定は、Navigator辞書管理ツールから行います。
設定方法については、“Navigator Server 管理者ガイド(辞書管理ツール)”を参照してください。
IPアドレスによるログオン規制機能を使用するために、以下の作業を行います。
IPアドレス設定ファイルの作成
環境変数ファイルの設定
IPアドレス設定ファイルの作成
IPアドレス設定ファイルでは、Navigatorの利用を許可するPCと利用者を定義します。
Navigatorの利用を許可するPCの定義
Navigatorの利用を許可するPCのIPアドレスを、以下のようにIPアドレス設定ファイルに記述します。
IPアドレスは、1カラム目から、半角で記述します。
【例】"10.123.45.67"を指定する場合
"10.123.45.67" |
同一サブネットの1から255の範囲を一括して登録する場合、サブネットの下の値を「0」にします。
【例】"10.123.45.1"~"10.123.45.254"の範囲を指定する場合
10.123.45.0 |
指定した範囲のIPアドレスを一括して登録する場合、IPアドレスの間に半角のハイフン「-」を記述します。
【例】"10.123.45.1"から"10.123.45.10"の範囲を指定する場合
10.123.45.1-10.123.45.10 |
Navigatorの利用を許可する利用者の定義
Navigatorの利用を許可する利用者のユーザ名を、以下のようにIPアドレス設定ファイルに記述します。
IPアドレスごとに特定のユーザ名を指定する場合、IPアドレスに続けて、半角のカンマ「,」ユーザ名と記述します。複数のユーザ名を指定する場合、さらに、半角カンマ「,」ユーザ名を続けて記述します。
【例】
10.123.45.0,satou,watanabe,suzuki |
IPアドレスごとに特定のユーザ名を指定しない場合、IPアドレスだけ記述します。ユーザ名の記述をしない場合は、すべての利用者が対象になります。
【例】
10.123.45.0 |
コメント行の記述について
IPアドレス設定ファイルでは、コメント行を記述することができます。
1カラム目にセミコロン「;」を記述すると、その行はコメント行として扱われます。
【例】クライアントPCが「IPv6」の場合の記述例
注意
「IPv4射影アドレス」は、使用できません。
Navigatorを利用するPCと利用者を一組とした運用
IPアドレスをもつPCとその利用者を以下のように限定し、他の人が利用できないようにします。
IPアドレス:"3ffe:5ff:aa00::01"、利用者:"satou"
IPアドレス:"3ffe:5ff:aa00::0a"、利用者:"watanabe"
;kazuo.satou |
Navigator Serverにログオンできるサブネットと利用者を限定した運用
サブネットに"3ffe:5ff:aa00"のIPアドレスをもつPCとし、利用者を購買業務の"satou"、"watanabe"、"suzuki"、"yamada"に限定します。
; sales_Navigator logon user |
Navigatorを利用するために専用のPCを設け、複数人が利用する運用
IPアドレスが"3ffe:5ff:aa00::01"~"3ffe:5ff:aa00::10"の10台のPCだけに限定し、利用者は限定しないようにします。
; sales_Navigator logon user all |
【例】クライアントPCが「IPv4」の場合の記述例
Navigatorを利用するPCと利用者を一組とした運用
IPアドレスをもつPCとその利用者を以下のように限定し、他の人が利用できないようにします。
IPアドレス:"10.123.45.179"、利用者:"satou"
IPアドレス:"10.123.45.183"、利用者:"watanabe"
;kazuo.satou |
Navigator Serverにログオンできるサブネットと利用者を限定した運用
サブネットに"10.123.45"のIPアドレスをもつPCとし、利用者を購買業務の"satou"、"watanabe"、"suzuki"、"yamada"に限定します。
; sales_Navigator logon user |
Navigatorを利用するために専用のPCを設け、複数人が利用する運用
IPアドレスが"10.123.45.10"~"10.123.45.19"の10台のPCだけに限定し、利用者は限定しないようにします。
; sales_Navigator logon user all |
環境設定ファイルの設定
IPアドレスでログオン規制を使用した運用を行う場合、あらかじめNavigator Serverの環境設定ファイルに以下の環境変数を設定します。
RN_IPLOCKFILE=<IPアドレス設定ファイルの絶対パス名> |
環境設定ファイルに、IPアドレス設定ファイルの絶対パス名を指定します。
本環境変数が設定されている場合は、IPアドレス設定ファイルに定義されているPCと利用者だけが、Navigator Serverへ接続できます。定義外のPCや利用者は、Navigator Serverに接続することができません.
本環境変数の指定がない場合は、IPアドレス設定ファイルが作成されていても、IPアドレスによるログオンの規制は行いません。
Navigatorが問い合わせの処理で作成する一時ファイルや、ログファイルなどのファイルをOSに登録しているユーザから、アクセスできないようにするには、専用実効ユーザモードを利用してください。
専用実効ユーザモードを利用することで、Navigatorが問い合わせの処理で作成するファイルは、実効ユーザのみがアクセスできるようになります。
すでに専用実効ユーザモードを利用しないで運用している場合は、専用実効ユーザモードへ移行することでファイルのアクセスを制御することができます。
専用実効ユーザモードへ移行作業の詳細は、“付録I 専用実効ユーザモードへ移行する”を参照してください。
ポイント
OS認証を選択して、専用実効ユーザモードを利用していない場合は、Navigatorが問い合わせの処理で作成する一時ファイルや、ログファイルなどのファイルが、OSに登録しているユーザがサーバにログオンすると参照できてしまいます。
マートバッチを実行するユーザ以外から、これらのファイルをアクセスできないように保護を行ってください。
アクセス権限の設定は、OSのコマンドを使用して、マートバッチコマンドを実行するユーザに対してだけアクセス権限を与えます。アクセス権限の設定は、スーパユーザで行ってください。
【例】
chown -R <ユーザ名>:<グループ名> <ファイル名> |
それぞれ以下を指定します。
<ユーザ名>
マートバッチコマンドを実行するユーザ名
<グループ名>
マートバッチコマンドを実行するユーザのグループ名
<ファイル名>
マートバッチ定義ファイル、およびマートバッチ接続設定ファイル
アイドル監視は、ユーザ管理機能を有効(ON)にしてから、アイドル監視の環境変数(RN_USER_IDLE_TIME、RN_USER_IDLE_MSG_TIME)を指定します。
アイドル監視の設定方法については、“14.3 ユーザ管理機能の環境設定”を参照してください。
