2.4.4 ユーザの定義(LDAPを利用する場合)【UNIX版】

OpenLDAPでユーザ管理する場合のユーザ定義について説明します。

以降、OpenLDAPで管理されるユーザーおよびグループを、それぞれLDAPユーザ、LDAPグループと呼びます。

拡張ユーザ管理機能を利用する場合は、本機能は利用できません。また、同一サーバ上にV15.3.0以前のSystemwalker Centric Managerがインストールされている場合、本機能は利用できません。

LDAPユーザ/LDAPグループについて

利用可能なLDAPユーザおよびLDAPグループは、以下のとおりです。

ユーザ名およびグループ名の文字列長および文字種は、OSユーザおよびOSグループの使用可能範囲内であること
OSユーザおよびOSグループと同名のユーザやグループが存在しないこと

OpenLDAP上にswadminグループを作成する

利用者制限の定義が有効な場合、OpenLDAPに登録されているユーザでSystemwalker Operation Managerを利用するには、swadminグループへの所属が必要です。また、複数のSystemwalker Operation Manager環境からOpenLDAPに登録されているユーザを利用する場合、Systemwalker Operation Manager環境ごとのswadminグループに所属させるのではなく、OpenLDAP上にswadminグループを作成して所属させることを推奨します。

利用者制限の定義については、“2.4.5 利用者制限の定義”を参照してください。

OpenLDAP上にswadminグループを作成する手順を説明します。

Systemwalker Operation Managerがインストールされていない場合

Systemwalker Operation Managerをインストールする前に、OpenLDAP上にswadminグループを作成する手順を説明します。

Systemwalker Operation Managerをインストールする環境に、swadminグループが存在している場合は、削除します。
OpenLDAP上にswadminグループを作成します。
Systemwalker Operation Managerをインストールする環境で、OpenLDAP上のswadminグループを「getent group」コマンドなどにより参照できるようにします。
Systemwalker Operation Managerをインストールします。
OSのローカルユーザーやOpenLDAPに登録されているユーザを、OpenLDAP上のswadminグループに追加します。

Systemwalker Operation Managerがインストールされている場合

すでにSystemwalker Operation Managerがインストールされている状況で、OpenLDAP上にswadminグループを作成する手順を説明します。

Systemwalker Operation Managerのバックアップを行います。
Systemwalker Operation Managerをアンインストールします。
2の環境で、swadminグループを削除します。
OpenLDAP上にswadminグループを作成します。
2の環境で、OpenLDAP上のswadminグループを「getent group」コマンドなどにより参照できるようにします。
Systemwaelkr Operation Managerをインストールします。
1.でバックアップしたSystemwalker Operation Managerの情報をリストアします。
監査ログの出力先ディレクトリのグループを、OpenLDAP上のswadminグループに変更します。
Systemwalker Operation Managerを起動します。
OSのローカルユーザーやOpenLDAPに登録されているユーザを、OpenLDAP上のswadminグループに追加します。

参考

SSSD(System Security Services Daemon)を利用する場合、sssd.confに「enumerate = True」を記載することで、getentコマンドでLDAPユーザ/グループが取得できる状態になります。

詳細については、OSのマニュアルを参照してください。

PAM認証の定義をする

OpenLDAP管理のユーザでSystemwalker Operation Managerを利用する場合は、事前にPAM認証の設定ファイルを作成する必要があります。本設定により、ユーザのアクセス権チェックでPAM認証が行われます。

/etc/pam.d/omgr_check_userファイルを作成し、以下を記載します。
【Linux版】

auth sufficient pam_sss.so
auth required pam_unix.so
account sufficient pam_sss.so
account required pam_unix.so

【Solaris版】

auth requisite pam_authtok_get.so.1
auth required pam_dhkeys.so.1
auth required pam_unix_cred.so.1
auth binding pam_unix_auth.so.1 server_policy
auth required pam_ldap.so.1

account requisite pam_roles.so.1
account binding pam_unix_account.so.1 server_policy
account required pam_ldap.so.1

作成したomgr_check_userファイルの権限は、以下のように設定してください。

所有者	root
グループ	root
権限	0644

指定に誤りがある場合はユーザ認証に失敗します。

/etc/pam.d/omgr_check_userファイルが存在しない場合は、PAM認証が行われません。

注意

Solaris 11の場合の注意事項

Solaris 11では、rootはデフォルトで“ユーザアカウント”ではなく“役割”であるため、rootとしてシステムに直接ログインできません。本設定後にrootで、Systemwalker Operation Managerの各クライアント(注)、および、WebコンソールからSystemwalker Operation Managerサーバへ接続する場合は、事前にrolemodコマンドを実行し、rootを“役割”から“ユーザアカウント”へ変更してください。

rolemodコマンドで変更する方法は、以下を参考にしてください。

http://docs.oracle.com/cd/E26924_01/html/E25887/rbactask-4.html#rbactask-20

注)
Systemwalker Operation Managerクライアント／複数サーバ監視クライアント／ジョブスケジューラ情報印刷クライアント／マスタスケジュール管理環境設定クライアント／マスタスケジュール管理状況監視クライアント／環境設定クライアント

LDAPユーザでSystemwalker Operation Managerを利用する

LDAP管理のユーザでログインすることで、Systemwalker Operation Managerが利用できます。

注意

ログインシェルに/sbin/nologinを設定しても認証エラーとはなりません。