ジョブの実行ユーザを制限したい場合、viやメモ帳などのエディタを使用して実行ユーザ制限リストを作成します。
実行ユーザ制限リストに登録されたユーザのみジョブの投入ができるようになります。インストール直後は実行ユーザ制限リストは設定されていません。実行ユーザ制限リストはサブシステム単位に作成し、サブシステム単位で有効になります。
実行ユーザ制限リストを設定した時のジョブの実行は以下のように制限されます。
実行ユーザ制限リストの有無 | 実行ユーザ制限リストへのユーザの登録 | ジョブの実行 |
|---|---|---|
有 | 登録されている | 実行できる(注1) |
登録されていない | 実行できない(注2) | |
無 | - | 実行できる |
実行ユーザ制限リストにシステム管理者(root)を登録しないと、実行にシステム管理者の権限が必要なコマンドはジョブとして実行できませんので注意してください。
ジョブの権限によって指定されたユーザが実行ユーザ制限リストに記述されていない場合、ジョブ投入時に投入エラーとなってジョブが実行されません。
ジョブの権限については、“2.4.2.2 ジョブ実行時の権限について”を参照してください。
作成手順
実行ユーザ制限リストを以下の手順で作成してください。
なお、実行ユーザ制限リストは、システム管理者のみ作成することができます。
複数サブシステム運用を行っている場合は、サブシステムごとに作成してください。
実行ユーザ制限リストの作成
viやメモ帳などのエディタを使用して、ジョブの実行を許可するユーザ名を実行ユーザ制限リストに記述します。
実行ユーザ制限リストの格納
作成した実行ユーザ制限リストを以下のファイル名で格納します。
mjexuser
ジョブ実行制御の再起動
設定を有効にするにはジョブ実行制御の再起動が必要です。ジョブ実行制御デーモンを再起動してください。
実行ユーザ制限リストの記述方法、ファイルの格納場所および注意事項については、“Systemwalker Operation Manager リファレンス集”を参照してください。
一度、設定を有効にすると、実行ユーザ制限リストの内容を変更するだけで、制限されるユーザを変更することができます。
また、実行ユーザ制限機能を無効にするには、実行ユーザ制限リストを削除した後にジョブ実行制御デーモンを再起動してください。
参考
バックアップ・リストアについて
実行ユーザ制限リストは、mpbkoコマンドおよびmprsoコマンドによってバックアップ・リストアすることができます。
バックアップ・リストアする時の手順については、“第3章 運用環境をバックアップ・リストアする”を参照してください。
ポリシー情報の抽出・配付について
実行ユーザ制限リストのユーザ情報は、ポリシー情報の抽出・配付の対象です。[ポリシーの抽出]ウィンドウの[環境定義]シートの[運用情報]を選択することで、ポリシー情報を抽出・配付することができます。
ポリシー情報を抽出・配付する手順については、“2.13.1 ポリシー情報の抽出”および“2.13.2 ポリシー情報の配付”を参照してください。
ネットワークジョブについて
ネットワークジョブの場合、ジョブの実行を許可するユーザを定義した実行ユーザ制限リストをスケジュールサーバ/実行サーバの双方に作成することで、実行ユーザを制限(許可)できます。旧バージョンとの関係は以下になります。
V13.0.0以前のバージョンへネットワークジョブを依頼する場合:
スケジュールサーバに実行ユーザ制限リストを作成
V13.0.0以前のバージョンからネットワークジョブを受ける場合:
実行サーバに実行ユーザ制限リストを作成
