2.4.5 利用者制限の定義

Systemwalker Operation Managerでは、サービス/デーモンが使用する資源にアクセスできるユーザを任意に設定し、Systemwalker Operation Managerの利用者を制限することができます。

利用者制限の定義を有効にした場合、以下をswadminグループに含まれるユーザおよびAdministratorsグループ所属ユーザ/スーパーユーザだけに制限します。

デマンドジョブの起動（ジョブの実行ユーザ）
ジョブ実行制御属性のジョブネット起動（ジョブの実行ユーザ）
一部のジョブスケジューラのコマンド機能の利用（コマンドの実行ユーザ）
一部のマスタスケジュール管理のコマンド機能の利用（コマンドの実行ユーザ）

Systemwalker Operation Manager V16.0.0以降の場合、新規インストール時の利用者制限の定義はデフォルトで有効となっています。利用者制限の定義を無効にしたい場合は、“利用者制限の定義を無効にする手順”を参照して無効にしてください。

また、利用者制限の定義を無効から有効に変更したい場合には、“利用者制限の定義を有効にする手順”を参照してください。

注意

Systemwalker Operation Managerの利用者を制限できるのは、ファイルシステムがNTFSの場合に限ります。FATを利用している場合には利用者を制限できないため、利用者制限の定義を無効にしてください。【Windows版】

利用者制限の定義を無効にする手順

システム管理者(Administratorsグループに所属しているユーザ/スーパーユーザ)権限でログインします。
監査ログファイルの設定
【Windows版】
1. 監査ログの出力先ディレクトリに、Usersグループに対する「読み取り」および「書き込み」のアクセス権を追加します。
2. 監査ログの出力先ディレクトリのアクセス許可エントリから、swadminグループを削除します。
【UNIX版】
監査ログの出力先ディレクトリのアクセス権を777に、所有者をsysグループに変更します。監査ログの出力先ディレクトリが /var/opt/FJSVftlo/audit(デフォルトの場合)の場合の例を、以下に示します。
# cd /var/opt/FJSVftlo
# chmod 777 audit
# chgrp sys audit
[Operation Manager共通パラメタの定義]ウィンドウの表示
[Systemwalker Operation Manager環境設定]ウィンドウの[共通パラメタ]ボタンをクリックすると、[Operation Manager共通パラメタの定義]ウィンドウが表示されます。
利用者制限の定義(無効化)
[swadminグループに含まれるユーザだけが、デマンドジョブの起動、ジョブ実行制御属性のジョブネット起動、およびジョブスケジューラのコマンド機能が利用できるように制限する]のチェックを外します。
サービス/デーモンの再起動
[Operation Manager共通パラメタの定義]ウィンドウでの設定後、[OK]ボタンをクリックすると再起動の確認ダイアログボックスが表示されます。再起動の確認ダイアログボックスで[OK]ボタンをクリックすると、以下が再起動されます。
【Windows版】
ジョブ実行制御、ジョブスケジューラ、業務連携サービスが再起動されます。複数サブシステム運用している場合は、全サブシステムと業務連携サービスが再起動されます。
【UNIX版】
ジョブ実行制御、ジョブスケジューラデーモンが再起動されます。複数サブシステム運用している場合は、全サブシステムが再起動されます。

利用者制限の定義を有効にする手順

アップグレードインストールの場合、利用者制限の定義は旧バージョンの設定を引き継ぎます。旧バージョンで無効になっていた等で設定を有効に変更したい場合は、以下の手順で有効にしてください。

swadminグループの作成

デマンドジョブの投入、ジョブ実行制御属性のジョブネット起動およびジョブスケジューラのコマンドの利用者を制限するには、swadminグループが必要です。

【Windows版】: swadminグループはSystemwalker Operation Managerのサーバインストール時に自動的に生成されます。一度生成されたswadminグループは、[Operation Manager共通パラメタの定義]ウィンドウで利用者の限定を解除しても削除はされません。

【UNIX版】

swadminグループはSystemwalker Operation Managerのサーバインストール時に自動的に生成されます。

ジョブスケジューラおよびジョブ実行制御のコマンド機能の使用を許可するユーザをすべてswadminグループに登録してください。

[Operation Manager共通パラメタの定義]ウィンドウの設定

[Operation Manager共通パラメタの定義]ウィンドウの表示
[Systemwalker Operation Manager環境設定]ウィンドウの[共通パラメタ]ボタンをクリックすると、[Operation Manager共通パラメタの定義]ウィンドウが表示されます。
利用者制限の定義(有効化)
[swadminグループに含まれるユーザだけが、デマンドジョブの起動、ジョブ実行制御属性のジョブネット起動、およびジョブスケジューラのコマンド機能が利用できるように制限する]をチェックします。
サービス/デーモンの再起動
[Operation Manager共通パラメタの定義]ウィンドウでの設定後、[OK]ボタンをクリックすると再起動の確認ダイアログボックスが表示されます。再起動の確認ダイアログボックスで[OK]ボタンをクリックすると、以下が再起動されます。
【Windows版】
ジョブ実行制御、ジョブスケジューラ、業務連携サービスが再起動されます。複数サブシステム運用している場合は、全サブシステムと業務連携サービスが再起動されます。
【UNIX版】
ジョブ実行制御、ジョブスケジューラデーモンが再起動されます。複数サブシステム運用している場合は、全サブシステムが再起動されます。

[Operation Manager共通パラメタの定義]ウィンドウ

[Operation Manager利用者の限定]：: デマンドジョブの起動、ジョブ実行制御属性のジョブネット起動およびジョブスケジューラのコマンド機能を、swadminグループに含まれるユーザおよびAdministratorsグループ所属ユーザ/スーパーユーザだけに制限したい場合に指定します。

監査ログファイルの保護

監査ログファイルを保護するためには、利用者制限の定義を行ってから、以下の手順で出力先ディレクトリにアクセス権を設定してください。

注意

監査ログファイルの出力先ディレクトリを変更した場合は、その都度、以下の設定を行う必要があります。

【Windows版】

Administratorsグループに所属しているユーザでログインします。
監査ログの出力先ディレクトリのアクセス許可エントリから、Usersグループを削除します。
監査ログの出力先ディレクトリに、swadminグループに対する「読み取り」「書き込み」のアクセス権を追加します。

【UNIX版】

スーパーユーザでログインします。
監査ログの出力先ディレクトリをswadminグループの所有権に変更します。
例）# chgrp swadmin /var/opt/FJSVftlo/audit
監査ログの出力先ディレクトリのアクセス権を変更します。
例）# chmod 770 /var/opt/FJSVftlo/audit

上記のコマンドは、監査ログ出力先のディレクトリをデフォルトのまま利用している場合の例です。

利用者制限の定義についての注意事項

サービス/デーモンが使用する資源のアクセス権について
【Windows版】
Systemwalker Operation Managerのいくつかのサービスは、資源に対してアクセス権がないと起動できません。Systemwalker Operation Managerサーバの以下の資源については、Administratorsグループにフルコントロールを設定してください。
インストール時に指定したインストール先ディレクトリおよびその配下のファイル
- カレンダ情報ディレクトリ(インストール先ディレクトリ\MpWalker.JM\mpjmcal\caldb)
- ジョブスケジューラのデータベースディレクトリ(初期値は、インストール先ディレクトリ\MpWalker.JM\mpjobsch\jobdb)およびその配下のファイル
【UNIX版】
Systemwalker Operation Managerの各デーモンが利用する以下の資源には、[Operation Manager利用者の限定]のチェック状況に応じて適切なアクセス権が設定されています。これらのアクセス権を変更しないでください。アクセス権を変更すると、Systemwalker Operation Managerが正しく動作しなくなるおそれがあります。
- Solaris版およびLinux版の場合
  - インストール先ディレクトリ配下の資源
  - データベースディレクトリ(/var/opt/パッケージ名)配下の資源
- HP-UX版およびAIX版の場合
  - インストール先ディレクトリ配下の資源
なお、[Operation Manager利用者の限定]のチェック内容によっては、インストール時と異なるアクセス権が設定されるため、pkgchkコマンドでエラーメッセージが出力される場合があります。

拡張ユーザ管理機能を利用する場合について【UNIX版】
拡張ユーザ管理機能を有効としている場合、Operation Managerユーザに対応づけられたOSユーザが、利用者制限の定義の対象となります。
拡張ユーザ管理機能を有効としている場合で、利用者制限の定義を有効にしている場合は、以下のようにアクセス権が決定されます。
1. 対応づけられたOSユーザがswadminグループに所属しているかチェックされます。
2. swadminグループに所属していることが確認された場合、プロジェクトにアクセス権があるかどうかチェックされます。
3. アクセス権がある場合、デマンドジョブの投入、ジョブ実行制御属性のジョブネット起動およびジョブスケジューラのコマンドが利用できます。

ジョブを投入する場合について【Windows版】
利用者制限の定義を有効にし、かつ、以下のユーザにswadminグループに所属するドメインユーザを指定した場合、ジョブを正常に投入するために、指定したドメインユーザを[ジョブ所有者情報の定義]ウィンドウで、登録しておく必要があります。
- スケジュールジョブ:プロジェクトの所有者、ジョブの実行ユーザ
- デマンドジョブ:ログインユーザ
- qsubコマンド:ジョブの実行ユーザ
- ジョブ投入API:ジョブの実行ユーザ