Systemwalker Operation Managerの各機能を利用するためのユーザの定義を行います。Systemwalker Operation Managerでは、OS上で登録されたユーザがSystemwalker Operation Managerの各機能を利用することができます。
UNIX版の場合は、拡張ユーザ管理機能で登録したユーザが、Systemwalker Operation Managerの各機能を利用することも可能です。拡張ユーザ管理機能を利用する場合は、“2.4.3 ユーザの定義(拡張ユーザ管理機能を利用する場合)【UNIX版】”を参照してユーザの定義を実施してください。
また、OpenLDAPで管理されたユーザで、Systemwalker Operation Managerを利用することもできます。OpenLDAPを利用する場合は、“2.4.4 ユーザの定義(LDAPを利用する場合)【UNIX版】”を参照して、ユーザの定義を実施してください。
ここでは、OS上で登録されたユーザがSystemwalker Operation Managerを利用する場合の、ユーザ定義について説明します。
ユーザ定義の概要
ユーザ定義の概要を、以下に説明します。
Systemwalker Operation Managerの運用形態によって、必要となるユーザを検討します。
“2.4.2.1 Systemwalker Operation Managerのユーザ管理について”および“2.4.2.2 ジョブ実行時の権限について”を参考にして、どのようなユーザが必要かを検討してください。
ユーザを登録します。
ジョブのスケジュール、実行、操作に必要なユーザを登録します。ユーザの登録には、各OSの機能を利用してください。
ポイント
Systemwalker Operation Managerの運用時に、プロジェクトに対して一般ユーザを利用可能にするには、“Systemwalker Operation Manager 運用ガイド”の“プロジェクトにアクセス権を設定する”を参照し、システム管理者が、一般ユーザのアクセス権を設定してください。
注意
複数サーバ監視クライアントから一般ユーザで監視元サーバにログインする場合、監視元サーバにログインしたユーザーIDおよびパスワードを利用して監視対象サーバと認証処理を行います。そのため、監視対象サーバから情報を取得する場合は、監視対象サーバでも同じユーザーIDおよびパスワードを登録してください。
複数サーバ監視において、監視対象サーバに旧バージョンのOperation Managerが混在する理由により、拡張ユーザ管理機能やSystemwalker認証リポジトリによるユーザー管理機能が有効/無効の監視対象サーバが混在する場合でも、監視元サーバにログインするユーザと同じユーザーIDとパスワードをそれぞれの監視対象サーバに設定することで監視できるようになります。
Systemwalker Operation Manager Webコンソールは、WebコンソールにログインしたユーザーIDとパスワードを利用して、監視ホストと認証処理を行います。そのため、監視ホストにも同じユーザーIDおよびパスワードのユーザを登録してください。
Systemwalker Operation Manager Webコンソールにおいて、監視ホストに旧バージョンのOperation Managerが混在する理由により、拡張ユーザ管理機能やSystemwalker認証リポジトリによるユーザー管理機能が有効/無効の監視ホストが混在する場合でも、Webコンソールにログインするユーザと同じユーザーIDとパスワードをそれぞれの監視ホストに設定することで監視できるようになります。
Systemwalker Operation Managerにおけるユーザ管理について説明します。
Windows版の場合は、Administratorsグループに所属するユーザ、UNIX版の場合は、スーパーユーザの権限を持つユーザでインストール作業を実施します。
プロジェクトの登録/削除は、システム管理者(Windows版の場合はAdministratorsグループ所属ユーザ、UNIX版の場合は、スーパーユーザ)だけが行うことができます。
プロジェクトの所有者の変更は、システム管理者(Windows版の場合はAdministratorsグループ所属ユーザ、UNIX版の場合は、スーパーユーザ)だけが行うことができます。
プロジェクトへアクセスできるユーザの登録は、システム管理者(Windows版の場合はAdministratorsグループ所属ユーザ、UNIX版の場合は、スーパーユーザ)だけが行うことができます。以下のユーザにアクセス権を設定します。
ドメイン内、またはコンピュータ内に登録されている、グループおよびユーザ名から選択します。
コンピュータに登録されているグループおよびユーザ名から選択します。
詳細は、“Systemwalker Operation Manager 運用ガイド”の“プロジェクトにアクセス権を設定する”を参照してください。
システム管理者(Windows版の場合はAdministratorsグループ所属ユーザ、UNIX版の場合は、スーパーユーザ)および、プロジェクトに対してアクセス権が設定されたユーザが、プロジェクト内のジョブネット/ジョブ/グループを監視/操作できます。
プロジェクト内のジョブネット/グループの登録/変更は、システム管理者、プロジェクトの所有者またはプロジェクトに対して更新権、登録権を持つ一般ユーザが行うことができます。
swadminグループに登録されているユーザのみがデマンドジョブの起動、ジョブ実行制御属性のジョブネットの起動、ジョブスケジューラのコマンド実行が利用可能になります。詳細は、“2.4.5 利用者制限の定義”を参照してください。
Systemwalker Operation Managerサーバで動作するSystemwalker Operation Managerのコマンド/APIは、サーバにログインしているユーザの権限で実行されます。
Systemwalker Operation Managerサーバで動作するWeb APIは、認証情報で指定したユーザの権限で実行されます。
注意
Solaris 10以降の場合の注意事項
Solaris 10以降には、プロセス単位で実行権限を設定する機能があります。プロセス単位で実行を制限した場合、root権限を持つユーザであっても実行が制限される場合があります。
例えば、シェルの起動時に読み込まれるファイルに、プロセスの起動を抑止するように設定すると、シェルからの操作を抑止します。このような場合、Systemwalker Operation Managerで提供するコマンドを実行しても、プロセスが起動しないように抑止されているため、コマンドの実行権限にかかわらず実行できなくなります。
Systemwalker Operation Managerでジョブを実行するときの権限について説明します。
ローカルジョブの権限
Systemwalker Operation Managerのローカルジョブは、以下の権限で実行されます。
Windows版で、[ジョブを所有者の権限で実行する]が指定されている場合、またはUNIX版の場合
ジョブの種類 | 実行方法 | 実行ユーザ | 権限 |
|---|---|---|---|
スケジュールジョブ | ジョブネットの起動条件、操作で起動 | 指定あり | 実行ユーザ(“実行ユーザ名”に指定したユーザ) |
スケジュールジョブ | ジョブネットの起動条件、操作で起動 | 指定なし | プロジェクトの“所有者”に指定したユーザ |
デマンドジョブ | qsubコマンドを使用して実行(注1) | “-cu”オプションで指定 | “-cu”オプションで指定したユーザ |
デマンドジョブ | qsubコマンドを使用して実行(注1) | 指定なし | Systemwalker Operation Managerサーバにログインしているユーザ |
デマンドジョブ | [ジョブ情報編集/投入]ウィンドウから投入 | 指定できません。 | Systemwalker Operation Managerサーバにログインしているユーザ |
注1) ジョブ投入APIを使用した場合を含みます。
Windows版で、[ジョブを所有者の権限で実行する]が指定されていない場合
ジョブの種類 | 実行方法 | 実行ユーザ | 権限 |
|---|---|---|---|
スケジュールジョブ | ジョブネットの起動条件、操作で起動 | 指定してもジョブの権限は変わりません。 | ジョブ実行制御サービスのログオンアカウント |
デマンドジョブ | qsubコマンドを使用して実行(注1) | 指定してもジョブの権限は変わりません。 | ジョブ実行制御サービスのログオンアカウント |
デマンドジョブ | [ジョブ情報編集/投入]ウィンドウから投入 | 指定できません。 | ジョブ実行制御サービスのログオンアカウント |
注1) ジョブ投入APIを使用した場合を含みます。
ネットワークジョブ/分散実行機能の権限
ネットワークジョブおよび、分散実行機能のアカウントは、投入元サーバと投入先サーバで以下のように引き継がれます。
ジョブは実行サーバ(投入先サーバ)上において、“ローカルジョブの権限”で説明した権限で実行されます。投入先サーバのOSによって、投入元サーバと投入先サーバとで、以下を一致させてください。
[投入先サーバがWindows版の場合]
アカウントとパスワード
[投入先サーバがUNIX版の場合]
アカウント
なお、以下の条件にすべて該当する場合、システム管理者(スーパーユーザ)の権限で実行されます。
投入先サーバがUNIX版の場合
投入元サーバにおいて、実行ユーザまたはプロジェクトの所有者が、WindowsのAdministratorsグループに属する場合
ジョブは実行サーバ(投入先サーバ)上において、ジョブ実行制御サービスのログオンアカウントで実行されます。
投入元サーバにおける実行ユーザ、またはプロジェクトの所有者のアカウントが、投入先サーバにも登録されている必要があります。
投入先サーバがWindows版の場合、投入元サーバのジョブ実行制御サービスのログオンアカウントと、投入先サーバのジョブ実行制御サービスのログオンアカウントが同じである必要があります。
なお、以下の条件にすべて該当する場合、システム管理者(スーパーユーザ)の権限で実行されます。
投入先サーバがUNIX版の場合
投入元サーバにおいて、実行ユーザまたはプロジェクトの所有者が、WindowsのAdministratorsグループに属する場合
投入先サーバがUNIX版の場合、ジョブは実行サーバ(投入先サーバ)上において、“ローカルジョブの権限”で説明した権限で実行されます。
投入先サーバがWindows版の場合、ジョブは投入先サーバにおいて、ジョブ実行制御サービスのログオンアカウントで実行されます。また、投入先サーバに[ジョブを所有者の権限で実行する]を指定しないでください。指定してある場合、ジョブが異常終了します。
注意
投入元サーバがUNIX版で、投入先サーバがWindows版の場合、投入先サーバの[運用情報の定義]ウィンドウ-[利用機能]シートで[ジョブを所有者の権限で実行する]を指定しないでください。指定してある場合、ジョブが異常終了します。
ポイント
ネットワークジョブおよび分散実行機能を利用時に、実行ユーザを指定してジョブを実行した場合、指定されたユーザが投入元サーバおよび実行サーバにOSユーザとして登録されているかどうかで、以下のようにジョブの実行可否が決まります。
ネットワークジョブの場合【UNIX版】
| 実行サーバ | ||
|---|---|---|---|
ユーザが登録されている | ユーザが未登録 | ||
投入元サーバ | ユーザが登録されている | ○ | × |
ユーザが未登録 | ○ | × | |
○:ジョブは正常に実行される。 ×:ジョブは実行依頼処理でエラーになり、実行されない。
ネットワークジョブの場合【Windows版】および
分散実行機能の場合
| 実行サーバ | ||
|---|---|---|---|
ユーザが登録されている | ユーザが未登録 | ||
投入元サーバ | ユーザが登録されている | ○ | × |
ユーザが未登録 | × | × | |
○:ジョブは正常に実行される。 ×:ジョブは実行依頼処理でエラーになり、実行されない。
