test

Sun Management Center 3.5 ユーザーガイド

第 18 章 Sun Management Center のセキュリティ

この章では、セキュリティ機能、ユーザとグループ、およびその特権について説明します。この章の内容は次のとおりです。

Sun Management Center のセキュリティの概念

Sun Management Center ソフトウェアのセキュリティは、Java TM セキュリティクラスと SNMPv2 usec (SNMP バージョン 2、ユーザベースのセキュリティモデル) のセキュリティ標準に基づいています。

以下は、ソフトウェアが提供するセキュリティレイヤです。

アクセス制御カテゴリ

以下は、ソフトウェアが提供する ACL カテゴリです。

ACL カテゴリを理解するためには、まず Sun Management Center ソフトウェアのユーザとグループについて理解する必要があります。以下の節では、ユーザとグループについて説明します。

Sun Management Center のユーザ

Sun Management Center ユーザは、サーバホスト上で有効な UNIX ユーザです。そのため、システム管理者は、有効ユーザを /var/opt/SUNWsymon/cfg/esusers ファイルに追加しなければなりません。このファイルにユーザ名がないと、そのユーザは Sun Management Center ソフトウェアにログインできません。

一般ユーザ

管理者は、Sun Management Center ソフトウェアにログインする必要のある全てのユーザの ID をユーザリストに追加する必要があります。このファイルの全ユーザは、デフォルトで一般的なアクセス権を持っています。ただし、追加の特権を付与されたユーザは除きます。詳細は、ユーザに esadmesopsesdomadm の特権を付与するを参照してください。

esusers ファイルに含まれるユーザは、全て一般ユーザです。Sun Management Center の一般ユーザは、デフォルトで以下の機能を実行できます。

Sun Management Center のスーパーユーザ

Sun Management Center のスーパーユーザは、以下の節で説明する全てのグループに自動的に所属し、管理者特権 (Sun Management Center の管理者 (esadm) を参照) を持っています。

Sun Management Center のグループ

以下のグループは、Sun Management Center サーバの設定中に、サーバホスト上にデフォルトで作成されます。

また、仮想グループに属する Sun Management Center の全ユーザを ANYGROUP と呼びます。

上述したグループは、Sun Management Center のサーバレイヤが動作するマシン上で定義する必要がありますが、他のマシンで定義する必要はありません。以下の節では、これらのグループの詳細について説明します。

注 –

上述したグループは、/etc/group ファイルに定義されます。

Sun Management Center のオペレーター (esops)

グループ esops に所属する Sun Management Center ソフトウェアのユーザは、通常オペレーターユーザとして管理システムの実行、監視、ある値度のパラメータの設定などを行います。esops の実行可能な操作には、一般ユーザに許可される操作の一部が含まれます。

Sun Management Center の管理者 (esadm)

グループ esadm に所属するユーザは管理者操作を実行できます。管理者操作は、オペレーターユーザが実行可能な操作のスーパーセット (上位集合) です (Sun Management Center のオペレーター (esops)を参照)。さらに、管理者ユーザ (esadm) は、オペレーターユーザ (esops) が実行可能な全操作のほかに以下の操作を実行できます。

Sun Management Center のドメイン管理者 (esdomadm)

esdomadm に所属するユーザは、以下のドメイン管理者操作を実行できます。

注 –

上述した特権を除けば、esdomadm に所属するユーザは、別の設定がない限り一般ユーザと変わりません。

管理者、オペレーター、および一般機能

以下の表に、ユーザがデフォルトで実行できる各種機能を示します。各機能ごとに実行可能なユーザが X 印で示されています。

この表は、全てのモジュールに適応されます。ただし、各モジュールが自ら制御する固有の制限を持つ場合もあります。

表 18–1 ドメイン管理者、管理者、オペレーター、および一般機能

機能  

ドメイン管理者 

管理者 

オペレーター 

一般 

モジュールの読み込み 

 

 

 

モジュールの読み込み解除 

 

 

 

管理ドメインの作成 

 

 

 

管理ドメイン内でのグループの作成 

 

 

 

グループまたは管理ドメインへのオブジェクトの追加 

 

 

 

管理ドメイン、ホスト、モジュールの表示 

ACL ユーザまたはグループの設定 

 

 

 

モジュールの無効化と有効化 

 

 

モジュールの使用可能スケジュールの設定 

 

 

 

アラーム制限の設定 

 

 

規則パラメータの設定 

 

 

アラーム処理の実行 

 

 

任意コマンドの実行 

 

 

再表示間隔の設定 

 

 

手動再表示の開始 

履歴ログの有効化と無効化 

 

 

履歴ログパラメータの設定 

 

 

イベントの肯定応答、削除、対処 

 

 

イベントの表示 

 

Sun Management Center ソフトウェアの上記カテゴリは、包括関係を維持します。つまり、esadm 特権を持つユーザは、esops 特権を持つユーザと全く同じ操作を実行することができます。管理者は、esops ユーザが esadm ユーザより多くの操作を実行できるように、デフォルト権限を変更することが可能です。包括関係とは、esopsesadmesdomadm の各権限が同等であることを意味します。

デフォルト権限を無効にする方法については、デフォルトのエージェント特権を無効にするを参照してください。

デフォルト権限

管理ドメインは、トポロジマネージャで操作します。この節では、トポロジマネージャおよびその他のエージェントとモジュールのデフォルト権限について説明します。

トポロジマネージャのデフォルト権限

以下の表に、管理ドメインを維持するトポロジマネージャのデフォルト権限を示します。

表 18–2 トポロジマネージャのデフォルト権限

トポロジマネージャ 

デフォルト権限 

管理者ユーザのリスト 

 

オペレーターユーザのリスト 

 

一般ユーザのリスト 

 

管理者 SNMP コミュニティーのリスト 

 

オペレーター SNMP コミュニティーのリスト 

 

一般 SNMP コミュニティーのリスト 

public

管理者グループのリスト 

esdomadm

オペレーターグループのリスト 

esops

一般グループのリスト 

ANYGROUP

その他の Sun Management Center のコンポーネントとモジュールのデフォルト権限

以下の表に、トポロジマネージャ以外のコンポーネントとモジュールのデフォルト権限を示します。

表 18–3 Sun Management Center のコンポーネントとモジュールのデフォルト権限

コンポーネントとモジュール 

デフォルト権限 

管理者ユーザのリスト 

 

オペレーターユーザのリスト 

 

一般ユーザのリスト 

 

管理者グループのリスト 

esadm

オペレーターグループのリスト 

esops

一般グループのリスト 

ANYGROUP

管理者 SNMP コミュニティーのリスト 

 

オペレーター SNMP コミュニティーのリスト 

 

一般 SNMP コミュニティーのリスト 

public

ANYGROUP は真の UNIX グループではありませんが、Sun Management Center ソフトウェアにログイン可能な全てのユーザが、オブジェクトへの一般的なアクセス権を付与されることを意味する、特別なキーワードです。

アクセス制御の定義と制限

esadm グループは、ユーザとグループに対して ACL 機能を指定することができます。対象となるコンポーネントは次のとおりです。

管理者、オペレーター、および一般的なアクセス

ACL 仕様は以下のいずれか 1 つまたは複数のパラメータで確立、定義されます。

Sun Management Center の遠隔サーバアクセス

ユーザは、Sun Management Center の遠隔サーバ上で実行中のセッションから、データにアクセスして情報を表示することができます。この場合、ユーザには一般ユーザの読み取り専用のアクセス権が付与されます。異なるサーバ上で起動する Sun Management Center セッションの動作は、各セッションのサーバコンテキストで定義されます。詳細は、Sun Management Center のサーバコンテキストとセキュリティを参照してください。

ユーザとして異なるサーバコンテキストにアクセスして、さまざまな設定を行うことができます。

異なるサーバコンテキストにリンクして、他のサーバコンテキストのオブジェクトの最上位状態を表示することができます。

Sun Management Center のサーバコンテキストとセキュリティ

サーバコンテキストは、特定のサーバレイヤに接続された Sun Management Center エージェントの集合です。サーバコンテキスト内のエージェントとホストは、以下の主要コンポーネントを共有します。

全ての Sun Management Center のコンポーネントとエージェントは、インストール時に、それぞれのトラップハンドラとイベントマネージャの位置を識別するよう設定されます。Sun Management Center ソフトウェアは、IP アドレスとポートアドレスによってトラップハンドラとイベントマネージャを特定します。ユーザは、自分のサーバコンテキスト内にいるかどうかを判断するために、アクセスするサーバの IP アドレスとポートアドレスを知っておく必要があります。サーバコンテキストは、それぞれ個別のポート番号を持っています。

遠隔サーバコンテキストは、遠隔エージェントと関連するサーバレイヤの集合です。

エージェントはサーバレイヤから得たセキュリティ情報によって、エージェントに送られた管理要求の認証が可能となり、管理要求の一部として要求された操作に対してアクセス制御を行えます。

サーバ間の制限

一部のセキュリティ制限は、ユーザがサーバコンテキスト間で通信する場合に適用されます。

現在の Sun Management Center 環境では、他のサーバからの情報アクセスに多少の制限があります。

注 –

コンソールでは、実際に異なるサーバコンテキストにアクセスしているかどうかはっきりしない場合があります。この場合は、「詳細」ウィンドウの「情報」タブでサーバの IP ポート番号またはアドレスを確認してください。

アクセス制御の使用

以下の節では、主要なアクセス機能の実行方法について説明します。

Sun Management Center のユーザを追加する

  1. Sun Management Center サーバホスト上でスーパーユーザになります。


    % su -

  2. /var/opt/SUNWsymon/cfg/esusers ファイルを編集します。

  3. 新規の行にユーザ名を追加します。

    ユーザ名が有効な UNIX ユーザであるかどうか確認してください。

  4. ファイルを保存して、エディタを終了します。

    ユーザリストに追加されたユーザは、デフォルト特権を有します。詳細は、デフォルト権限デフォルトのエージェント特権を無効にするを参照してください。

モジュールへのアクセスを制御する

  1. 次のいずれかの方法で属性エディタにアクセスします。

    • 選択したオブジェクト上でマウスボタン 3 を押して、ポップアップメニューから「属性エディタ」を指定します。

    • メインコンソールウィドウの「ツール」メニューから属性エディタを指定します。

    「属性エディタ」が表示されます。ウィンドウ下のボタンは、「取消し」と「ヘルプ」を除いて選択不可の状態です。ウィンドウのフィールドを変更すると、全てのボタンが選択可能になります。

  2. 「属性エディタ」ウィンドウの「セキュリティ」タブを選択します。

  3. 必要に応じて値を変更します。

    以下に、各フィールドのデータの説明と値の例を示します。

    管理者ユーザ

    ユーザのリスト。jim は、管理者操作が可能なユーザです。

    オペレーターユーザ

    オペレーターのリスト。john などは、オペレーター操作が可能なユーザです。複数のエントリの場合は、1 つまたは複数の空白で区切ります。

    一般ユーザ

    一般ユーザのリスト。nickrichie は、一般操作が可能なユーザです。

    管理者グループ

    管理者グループに属する全ユーザは、管理者操作を実行できます。デフォルトでは、必要に応じて esadm または esdomadm になります。

    オペレーターグループ

    esops に属する全ユーザは、オペレーター操作を実行できます。

    一般ユーザグループ

    ANYGROUP は、一般操作を実行できる仮想グループです。Sun Management Center の全ユーザは、仮想グループに属します。

    管理者のコミュニティー

    このフィールドは空で、SNMP を使用する管理者操作を実行できる SNMP コミュニティーがないことを意味します。

    オペレーターのコミュニティー

    このフィールドは空で、SNMP を使用するオペレーター操作を実行できる SNMP コミュニティーがないことを意味します。

    一般ユーザのコミュニティー

    デフォルトでは、public は、SNMP を使用する一般操作を実行できる SNMP コミュニティーです。

    上述したとおり、「ユーザ」の下に「オペレーター」を複数エントリする場合などは、空白またはカンマで区切ります。

    セキュリティ(アクセス権)についての詳細は、アクセス制御カテゴリを参照してください。

ユーザ定義のグループを ACL に追加する

  1. Sun Management Center サーバホスト上でスーパーユーザになります。

  2. groupadd コマンドを使用してグループを作成します。


    # /usr/sbin/groupadd groupname

  3. 作成したグループにユーザを追加します。

    1. /etc/group ファイルで、グループにユーザを追加します。

    2. ファイルを保存して、エディタを終了します。

  4. 新規グループを ACL に追加します。

    詳細は、モジュールへのアクセスを制御するを参照してください。

ユーザに esadmesopsesdomadm の特権を付与する

  1. Sun Management Center サーバホスト上でスーパーユーザになります。

  2. 必要に応じて、/var/opt/SUNWsymon/cfg/esusers ファイルにユーザ名を追加します。

  3. /etc/group ファイルで、以下のいずれかの行にユーザを追加します。esadmesops、または esdomadm

  4. ファイルを保存して、エディタを終了します。

Sun Management Center のユーザを削除する

  1. Sun Management Center サーバホスト上でスーパーユーザになります。

  2. /var/opt/SUNWsymon/cfg/esusers ファイルで、削除したいユーザ名の行を削除します。

  3. ファイルを保存して、エディタを終了します。

  4. Sun Management Center のグループからユーザ名を削除します。

    注 –

    Sun Management Center のユーザリストから削除されたユーザは、以後 Sun Management Center サーバにログインすることはできません。ユーザを削除する場合は、必ず全ての ACL から削除してください。

デフォルトのエージェント特権を無効にする

Sun Management Center ソフトウェアでは、管理者だけが、属性エディタを使用してデフォルト特権を無効にし、特定オブジェクトの ACL リストを変更することができます。

  1. 特権を変更する必要のある管理オブジェクトの属性エディタアクセスします。

  2. セキュリティ情報を表示して変更するには、「属性エディタ」ウィンドウの「セキュリティ」タブをクリックします。

  3. 必要に応じて情報を変更します。

  4. セキュリティの変更を適用して「属性エディタ」ウィンドウを閉じる場合は、「了解」をクリックします。

    「属性エディタ」ウィンドウを開いたままセキュリティの変更を適用する場合は、「適用」をクリックします。