以下の利用者権限を定義します。
画面のアクセス権を定義する
利用者に対するセキュリティ強化のために、画面のアクセス権を定義します。Systemwalker Centric Managerは、ロールという単位で各機能の利用権限を定義しています。ロールとは、共通の役割(権限)を持つ利用者から構成されるグループのことです。Systemwalker Centric Managerを運用管理サーバにインストールすると、以下のロールが運用管理サーバに登録されます。
機能の使用を許可するためにユーザを所属させるロール
ロール名 | 利用できる範囲 | 使用機能 |
|---|---|---|
DmAdmin | 監視機能の参照、操作、および設定のすべての機能 | Systemwalkerコンソール リモート操作(注2) |
DmOperation | 監視機能の参照、および操作の機能 | |
DmReference | 監視機能の参照の機能 | |
OrmOperation(注1) | 監視機能の返答操作の機能 | 返答操作のコマンド |
SecurityAdmin | セキュリティ管理者の登録、セキュリティ監査者の登録、セキュリティポリシーの作成機能、システム保守支援機能、監査ログ分析の機能 | Systemwalkerコンソール サーバアクセス制御 |
SecurityAuditor | セキュリティ管理者の参照、セキュリティ監査者の参照、セキュリティポリシーの参照、システム保守支援機能、監査ログ分析機能 | Systemwalkerコンソール サーバアクセス制御 監査ログ分析 |
Solaris版、Linux版で登録されます。
「クライアント」以外のインストール種別でインストールした場合にロール設定が必要です。
管理者は、ユーザを上記のロールに適宜所属させてください。所属させるロールの種類により、ユーザが使用できる機能と利用権限が決まります。ロールと利用可能な機能の関係は、以下のとおりです。
Systemwalkerコンソールの監視機能を使用するために必要な権限については、“Systemwalkerコンソールのメニュー項目”を参照してください。
Systemwalkerコンソールの編集機能を使用するためには、DmAdminロールに所属します。
[システム監視設定]ダイアログボックスを起動するためには、DmAdminロールに所属します。[システム監視設定]ダイアログボックスについては、“イベント監視の監視条件を設定する”の“サーバに直接接続して環境定義を行う場合”を参照してください。
DmAdminは、DmOperation、DmReference、OrmOperationの権限を含んでいます。
DmOperationは、DmReference、OrmOperationの権限を含んでいます。
返答操作のコマンドの詳細は、“Systemwalker Centric Manager リファレンスマニュアル”の“返答メッセージ用コマンドの概要【UNIX版】”を参照してください。
“機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属していない一般のユーザは、Systemwalker Centric Managerの機能を使用できません。
Systemwalkerコンソールを起動するユーザ、およびリモート操作エキスパート/リモート操作クライアントが動作するWindows端末にログオンするユーザを、“表:機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属させてください。
ただし、ユーザアカウント制御(UAC)が無効になっている場合には、Administratorsグループに所属させることでも使用できます。
SecurityAdmin(セキュリティ管理者)、SecurityAuditor(セキュリティ監査者)を除き、スーパーユーザ/Administratorsグループに所属するユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわらず、アクセス制御の対象外として常に更新権を持つユーザとして扱われます。
注意
運用管理クライアントから運用管理サーバへ接続する場合の注意事項
OSのセキュリティポリシーで、「アカウントの空のパスワードの使用をコンソールログオンのみに制限する」を「有効」としていた場合、パスワードが空のアカウントは、Systemwalker Centric Managerのユーザ認証でエラーとなります。
運用管理サーバのユーザをロールに登録する方法
運用管理サーバのユーザを、ロールに登録させる手順を以下に説明します。
[Systemwalkerコンソール[監視]]の機能選択コンボボックスを[編集]に切り替えます。
→[Systemwalkerコンソール[編集]]に切り替わります。
[Systemwalkerコンソール[編集]]の[ポリシー]メニューから[セキュリティ]-[利用者のアクセス権設定]を選択します。
→[ロール一覧]画面が表示されます。
更新する[ロール名]を一覧から選択し、[プロパティ]ボタンをクリックします。
→[ロール情報]画面が表示されます。
[OSユーザーID]タブの[アクセス権設定一覧]には、当該ロールに現在登録されているユーザが表示されます。
ロールへ登録するユーザを[ユーザーID一覧]から選択し、[追加]ボタンをクリックします。
→[アクセス権設定一覧]に登録したユーザが表示されます。
ロールの設定変更を行うサーバがWindowsである場合、[NetBiosコンピュータ名]を変更することで、[ユーザーID一覧]に表示されるユーザを切り替えることができます。
[OK]ボタンをクリックします。
[閉じる]ボタンをクリックします。
部門管理サーバ/業務サーバのユーザをロールに登録する方法
部門管理サーバ、業務サーバ上のユーザを、ロールに登録させる手順を以下に説明します。
ネットワーク上の安全が保証されていない環境で使用する場合、サーバ上でmpsetmemコマンドを使用すると、より安全にユーザをロールに登録します。mpsetmem(ロールへのメンバの追加/削除コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
[スタート]-[Systemwalker Centric Manager]-[利用者のアクセス権]を選択します。
→[セキュリティ設定[ログイン]]ダイアログボックスが表示されます。
注意
Server Core環境の場合
Systemwalkerの利用者権限の設定は、運用管理クライアント、またはクライアントから、Server Core環境の業務サーバを指定して[ロール一覧]画面を起動してから実施してください。
ロールへのユーザの追加
ロールからのユーザの削除
接続する部門管理サーバ、または業務サーバの[ホスト]、[ユーザーID]、[パスワード]を入力し、[OK]ボタンをクリックします。[パスワード]として指定できるのは28バイトまでです。
→[ロール一覧]ダイアログボックスが表示されます。
【Windowsの場合】
Windows®のサーバに接続する場合は、[ドメイン名]の指定が可能です。
ログインでのユーザ名の検索順序
[ドメイン名]を入力しない場合、指定したユーザは、以下の順に検索されます。
ローカルコンピュータ
ドメイン
信頼関係のあるドメイン
[ロール一覧]ダイアログボックス以降の操作手順は、“運用管理サーバのユーザをロールに登録する方法”の手順2)以降を参照してください。
【UNIXの場合】
セキュリティロールに所属させるユーザが、TELNETなどでログインしていると、セキュリティロールにそのユーザを所属させることができません。セキュリティロールにユーザを所属させる際には、そのユーザがログインしていないことを確認してから実行してください。
Systemwalkerコンソールを起動するWindows端末にログオンする場合の注意事項
Systemwalkerコンソールを起動するWindows端末のDmAdmin、DmOperation、DmReference、またはAdministratorsのどれかのグループに所属するユーザでWindows端末にログオンする必要があります。
ただし、以下の場合には、DmAdmin、DmOperation、またはDmReferenceのどれかのグループに所属するユーザでWindows端末にログオンする必要があります。
ユーザアカウント制御(UAC)が有効になっている場合
Systemwalker Centric Managerインストール時に以下のディレクトリが存在する状態でインストールした場合
Systemwalkerインストールディレクトリ\MPWALKER
Systemwalkerインストールディレクトリ\MPWALKER.DM
運用時には、DmReferenceグループに所属するユーザでWindows端末にログオンすることを推奨します。Windows端末にログオンするとき、ユーザが所属するグループを下表に示します。
Systemwalker Centric Managerインストール時に以下のディレクトリが存在しなかった場合
Systemwalkerインストールディレクトリ\MPWALKER
Systemwalkerインストールディレクトリ\MPWALKER.DM
UACの設定状態 | Windows端末にログオンするユーザが所属するグループ |
|---|---|
UACが無効な場合 | DmAdmin、DmOperation、DmReference、Administrators |
UACが有効な場合 | DmAdmin、DmOperation、DmReference |
Systemwalker Centric Managerインストール時に以下のディレクトリが存在した場合
Systemwalkerインストールディレクトリ\MPWALKER
Systemwalkerインストールディレクトリ\MPWALKER.DM
UACの設定状態 | Windows端末にログオンするユーザが所属するグループ |
|---|---|
UACが無効な場合 | DmAdmin、DmOperation、DmReference |
UACが有効な場合 | DmAdmin、DmOperation、DmReference |
なお、ユーザをDmAdmin、DmOperation、またはDmReferenceに追加した場合、追加したユーザがOSにログイン中である場合は、一度OSからログアウトし、ログインし直す必要があります。
以下の手順に従い、ユーザをDmReferenceグループに追加してください。
設定例)
スタートアップアカウントとして指定したローカルユーザ(systemwalker)をDmReferenceグループに追加する。
手順
[コントロールパネル]-[システムとメンテナンス]-[管理ツール]-[コンピュータの管理]を選択し、[コンピュータの管理]画面を表示します。
[ローカルユーザとグループ]-[ユーザ]フォルダをクリックし、DmReferenceグループに所属させたいローカルユーザ(ここではsystemwalker)を選択し、[操作]-[プロパティ]メニューをクリックします。
プロパティ画面(ここではsystemwalkerのプロパティ)を選択し、[所属するグループ]タブを選択します。
[追加]ボタンをクリックし、[グループの選択]画面を表示します。
[詳細設定]ボタンをクリックし、[グループの選択]画面を表示します。
[今すぐ検索]ボタンをクリックし、[検索結果]リストに表示されたDmReferenceグループを選択し、[OK]ボタンをクリックします。
[グループの選択]画面で、[OK]ボタンをクリックします。
プロパティ画面(ここではsystemwalkerのプロパティ)で、[OK]ボタンをクリックします。
Systemwalkerコンソールを起動するユーザ
Systemwalkerコンソールは、以下のユーザで起動します。
【UNIX版】
操作するコンピュータ:運用管理クライアント
[Systemwalkerコンソールセットアップ]-[接続先の設定]画面で、[ログイン画面で入力する]を選択した場合
起動ユーザ | [Systemwalkerコンソール[ログイン]]画面で指定したユーザ |
[Systemwalkerコンソールセットアップ]-[接続先の設定]画面で、[以下のユーザーでログインする]と選択した場合
起動ユーザ | [接続先の設定]画面で指定したユーザ |
[Systemwalkerコンソールセットアップ]-[接続先の設定]画面で、[Windowsにログインしているユーザーでログインする]と選択した場合には、Systemwalkerコンソールを起動できません。
【Windows版】
操作するコンピュータ:運用管理サーバ、運用管理クライアント
[Systemwalkerコンソールセットアップ]-[接続先の設定]画面で、[ログイン画面で入力する]を選択した場合
[Systemwalkerコンソール[ログイン]]画面
[Windowsにログインしているユーザーでログインする]を選択する
起動ユーザ | 運用管理サーバのコンピュータのログインユーザ(操作するコンピュータ:運用管理サーバ) |
[Windowsにログインしているユーザーでログインする]を選択しない
起動ユーザ | [Systemwalkerコンソール[ログイン]]画面で指定したユーザ |
[Systemwalkerコンソールセットアップ]-[接続先の設定]画面で、[Windowsにログインしているユーザーでログインする]と選択した場合
起動ユーザ | 運用管理サーバのコンピュータのログインユーザ(操作するコンピュータ:運用管理サーバ) |
[Systemwalkerコンソールセットアップ]-[接続先の設定]画面で、[以下のユーザーでログインする]と選択した場合
起動ユーザ | [接続先の設定]画面で指定したユーザ |
起動するユーザの条件
ユーザの所属グループ | [Systemwalkerコンソール[編集]] | [Systemwalkerコンソール[監視]] |
|---|---|---|
Administratorsグループ | ○ | ○ |
DmAdminロール | ○ | ○ |
DmOperationロール | × | ○ |
DmReferenceロール | × | ○ |
○:操作可能、×:操作不可
特定の監視ツリーへのアクセス権を定義する
利用者に対するセキュリティ強化のために、特定の監視ツリーへのアクセス権を定義します。Systemwalkerコンソールで以下の設定ができます。
特定のシステムやサーバ以外の情報には、アクセスできないように、特定のツリーだけ表示することができます。
なお、ツリーの表示、非表示は設定できますが、ツリーに対する各ユーザのアクセス権(更新権、操作権、参照権)は、変更できません。
監視機能を使用する場合、最低1つのツリーに対する使用権が必要です。また、編集機能を使用する場合には、ノード一覧ツリーに対する使用権が必要です。
使用権を設定していないツリー
インストール時およびツリー作成時に、ツリーに対し、以下の属性のユーザの使用権が設定されます。Systemwalker Centric Managerの利用者でSystemwalkerコンソールにログインした場合、ツリーは表示されます。各ツリーに対するアクセス権は以下のとおりです。
使用権が設定される | ツリーの | Systemwalkerコンソール | |
|---|---|---|---|
編集 | 監視 | ||
システム管理者 | 有 | 更新権 | 更新権 |
DmAdmin | 有 | 更新権 | 更新権 |
DmOperation | 有 | - | 操作権 |
DmReference | 有 | - | 参照権 |
DistributionAdmin | 有 | - | - |
DistributionOperation | 有 | - | - |
DistributionReference | 有 | - | - |
SecurityAdmin | 有 | - | 参照権 |
SecurityAuditor | 有 | - | 参照権 |
特定のユーザだけ、特定のツリーを表示しないように設定する
特定のユーザだけ、Systemwalkerコンソールの特定のツリーを表示しないように設定する手順を説明します。ツリーに対して更新権のあるユーザで、[Systemwalkerコンソール[編集]]画面から設定します。
ツリーを選択します。
ノード管理ツリー、業務管理ツリーの場合
Systemwalkerコンソールの[ファイル]メニューから[監視ツリーの選択]を選択します。
→[監視ツリーの選択]ダイアログボックスが表示されます。
ツリーを選択します。
ノード管理ツリー、業務管理ツリー以外の場合
Systemwalkerコンソールで、ツリーを選択します。
Systemwalkerコンソールの[ファイル]メニューから[監視ツリーのアクセス権設定]を選択します。
→[アクセス権情報]ダイアログボックスが表示されます。
[アクセス権設定一覧]で、ツリーを表示させないユーザとそのユーザが所属しているロールを選択します。
[削除]ボタンをクリックします。
なお、管理者アカウントが、rootの場合は削除できません。
3.でアクセス権を削除したロールに所属しているユーザに、ツリーを表示させるユーザが含まれている場合は、以下の設定を行います。
[ロール/ユーザーID一覧]からアクセス権を追加するユーザを選択します。
なお、運用管理サーバがWindowsである場合、[NetBiosコンピュータ名]を変更することで[ロール/ユーザーID一覧]に表示されるユーザを切り替えることができます。
[追加]ボタンをクリックします。
[アクセス権情報]ダイアログボックスで[OK]ボタンをクリックします。
ツリーにアクセス権を設定したユーザをOSから削除しても、そのユーザのアクセス権は削除されません。必要に応じて、[監視ツリーのアクセス権設定]から、ユーザのアクセス権を削除してください。
設定例)
「名古屋本社ツリー」、「大阪支社ツリー」を作成し、DmOperationロールに所属する「osakaOpeユーザ」がSystemwalkerコンソールにログインした場合は、「大阪支社ツリー」だけを表示する
ロール名 | 所属ユーザ |
|---|---|
DmAdmin | nagoyaAdm、osakaAdm |
DmOperation | nagoyaOpe、osakaOpe |
DmReference | nagoyaRef、osakaRef |
「名古屋本社ツリー」に設定されているDmOperationロールの使用権を削除します。
「名古屋本社ツリー」に、「nagoyaOpe」ユーザの使用権を追加します。
ユーザ | 表示されるツリー | ツリーに対するアクセス権 |
|---|---|---|
nagoyaAdm | 名古屋本社 | 更新権 |
osakaAdm | 名古屋本社 | 更新権 |
nagoyaOpe | 名古屋本社 | 操作権 |
osakaOpe | 大阪支社 | 操作権 |
nagoyaRef | 名古屋本社 | 参照権 |
osakaRef | 名古屋本社 | 参照権 |
メニュー単位のアクセス権を定義する
Systemwalkerコンソールのメニュー単位のアクセス権を定義します。
定義方法については、“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“Systemwalkerコンソールのアクセス権の考え方”を参照してください。
