Systemwalker Operation Managerで提供されるセキュリティ機能について、以下に示します。セキュリティを強化するためには、必要に応じて各機能を利用するための定義を行ってください。
拡張ユーザ管理機能【UNIX版】
OS上に登録されたユーザとは別のユーザーIDを設定し、Systemwalker Operation Managerにアクセスできるユーザを管理します。
詳細については、“2.4.3 ユーザの定義(拡張ユーザ管理機能を利用する場合)【UNIX版】”を参照してください。
アクセス制御
プロジェクトに対するアクセス制御を行います。
定義方法の詳細については、“Systemwalker Operation Manager 運用ガイド”の“プロジェクトにアクセス権を設定する”を参照してください。アクセス権ごとに、どのメニュー項目や操作、コマンド、APIが利用可能かをまとめた一覧については、“付録E アクセス権別の利用可能項目一覧”を参照してください。Web APIについては、“Systemwalker Operation Manager リファレンス集”の“Web API【Windows版】【Linux版】”の各APIを参照してください。
また、Systemwalker Operation Managerのディレクトリ、ファイルに対するアクセスについて、利用者を限定することも可能です。
定義の詳細については、“2.4.5 利用者制限の定義”を参照してください。
実行ユーザの制限
ジョブの実行を許可するユーザを登録します。
【Windows版】
[運用情報の定義]ウィンドウ-[利用機能]シートで[ジョブを所有者の権限で実行する]を指定した後、[ジョブ所有者情報の定義]ボタンを押下し表示される[ジョブ所有者情報の定義]ウィンドウで、ジョブの実行を許可するユーザだけを登録します。
詳細については、“2.8.1 運用情報の定義”および“2.8.3 ジョブ所有者情報の定義【Windows版】”を参照してください。
【UNIX版】
実行ユーザ制限リストに、ジョブの実行を許可するユーザを登録します。定義方法の詳細については、“2.8.4 実行ユーザ制限リストの定義【UNIX版】”を参照してください。
監査ログ出力
Systemwalker Operation Manager上で行われた操作の記録を監査ログファイルに出力します。
定義方法の詳細については、“2.4.6 監査ログ出力の定義”を参照してください。
[ログイン]ウィンドウにおけるホスト名、ユーザーIDの非保持設定
Systemwalker Operation Managerでは、利便性向上のため、以下の各[ログイン]ウィンドウにおいて、直近に利用したホスト名およびユーザーIDがデフォルトで入力域に表示されます。
[Systemwalker Operation Manager [ログイン]]ウィンドウ
[Systemwalker Operation Manager環境設定 [ログイン]]ウィンドウ
[Systemwalker Operation Manager 配付先 [ログイン]]ウィンドウ
[ジョブスケジューラ情報印刷 [ログイン]]ウィンドウ
[複数サーバ監視 [ログイン]]ウィンドウ
[マスタスケジュール管理状況監視 [ログイン]]ウィンドウ
[マスタスケジュール管理環境設定 [ログイン]]ウィンドウ
これに対し、セキュリティ向上の観点から、利用時に直近のホスト名およびユーザーIDを表示させず、都度入力をデフォルトにすることが可能です。設定方法について説明します。
直近のホスト名、ユーザーIDを非表示の設定にするには、以下の定義ファイルをメモ帳などのエディタで作成します。
定義した内容は、定義ファイルを保存した後に表示した[ログイン]ウィンドウから有効となります。
Systemwalkerインストールディレクトリ\MPWALKER.JM\mpjmcl\etc\client.ini |
[LOGIN] no_host_disp=1 no_user_disp=1 |
利用時にホスト名、または、ユーザーIDを非表示とする場合、本セクションを指定してください。
ホスト名を非表示(非保持)にします。
ホスト名を表示(保持)します。
ユーザーIDを非表示(非保持)にします。
ユーザーIDを表示(保持)します。
ユーザーIDを保持しない場合の定義例を示します。
[LOGIN] no_host_disp=0 no_user_disp=1 |
上記形式以外のファイルを作成しないでください。ただし、本機能とは別の定義を設定した同名の定義ファイルがすでに存在する場合は、別の定義と混在して定義することが可能です。
定義ファイルが存在しない場合や記述形式が不正な場合、定義は有効になりません。その際、エラーメッセージなどは表示されません。
定義ファイルの配置ディレクトリは、一般ユーザにおいても更新可能なディレクトリとなっています。作成した定義ファイルに対し、必要に応じてアクセス権(管理者以外にはアクセス権を付与しない、など)を設定してください。
なお、設定を解除する(初期状態に戻す)場合は、定義ファイルを削除するか、定義ファイル内の記述形式を削除してください。
