アクセス制御カテゴリ
-
UNIX のスーパーユーザ (root) などの管理者
-
システムを実行、監視するオペレーター
-
読み取り専用のアクセス権を持つゲストなどの一般
ACL カテゴリを理解するためには、まず Sun Management Center ソフトウェアのユーザとグループについて理解する必要があります。以下の節では、ユーザとグループについて説明します。
Sun Management Center のユーザ
Sun Management Center ユーザは、サーバホスト上で有効な UNIX ユーザです。そのため、システム管理者は、有効ユーザを /var/opt/SUNWsymon/cfg/esusers ファイルに追加しなければなりません。このファイルにユーザ名がないと、そのユーザは Sun Management Center ソフトウェアにログインできません。
一般ユーザ
管理者は、Sun Management Center ソフトウェアにログインする必要のある全てのユーザの ID をユーザリストに追加する必要があります。このファイルの全ユーザは、デフォルトで一般的なアクセス権を持っています。ただし、追加の特権を付与されたユーザは除きます。詳細は、ユーザに esadm、esops、esdomadm の特権を付与するを参照してください。
esusers ファイルに含まれるユーザは、全て一般ユーザです。Sun Management Center の一般ユーザは、デフォルトで以下の機能を実行できます。
-
ソフトウェアへのログイン
-
作成した管理ドメイン、ホスト、モジュールの表示
-
イベントの表示
-
手動再表示の開始
-
任意コマンドの実行
-
データのグラフ化
Sun Management Center のスーパーユーザ
Sun Management Center のスーパーユーザは、以下の節で説明する全てのグループに自動的に所属し、管理者特権 (Sun Management Center の管理者 (esadm) を参照) を持っています。
Sun Management Center のグループ
以下のグループは、Sun Management Center サーバの設定中に、サーバホスト上にデフォルトで作成されます。
また、仮想グループに属する Sun Management Center の全ユーザを ANYGROUP と呼びます。
上述したグループは、Sun Management Center のサーバレイヤが動作するマシン上で定義する必要がありますが、他のマシンで定義する必要はありません。以下の節では、これらのグループの詳細について説明します。
注 –
上述したグループは、/etc/group ファイルに定義されます。
Sun Management Center のオペレーター (esops)
グループ esops に所属する Sun Management Center ソフトウェアのユーザは、通常オペレーターユーザとして管理システムの実行、監視、ある値度のパラメータの設定などを行います。esops の実行可能な操作には、一般ユーザに許可される操作の一部が含まれます。
-
モジュールの無効化と有効化
-
アラーム制限の設定
-
規則パラメータの設定
-
アラーム処理の実行
-
任意コマンドの実行
-
再表示間隔の設定
-
イベントの肯定応答、削除、対処
-
履歴ログの有効化と無効化
-
履歴ログパラメータの設定
Sun Management Center の管理者 (esadm)
グループ esadm に所属するユーザは管理者操作を実行できます。管理者操作は、オペレーターユーザが実行可能な操作のスーパーセット (上位集合) です (Sun Management Center のオペレーター (esops)を参照)。さらに、管理者ユーザ (esadm) は、オペレーターユーザ (esops) が実行可能な全操作のほかに以下の操作を実行できます。
-
モジュールの読み込みと読み込み解除
-
ACL ユーザとグループの設定
-
管理ドメイン、ホスト、モジュールの表示
Sun Management Center のドメイン管理者 (esdomadm)
esdomadm に所属するユーザは、以下のドメイン管理者操作を実行できます。
-
管理ドメインの作成
-
管理ドメイン内でのグループの作成
-
グループまたは管理ドメインへのオブジェクトの追加
-
管理ドメイン、ホスト、モジュールの表示
注 –
上述した特権を除けば、esdomadm に所属するユーザは、別の設定がない限り一般ユーザと変わりません。
管理者、オペレーター、および一般機能
以下の表に、ユーザがデフォルトで実行できる各種機能を示します。各機能ごとに実行可能なユーザが X 印で示されています。
この表は、全てのモジュールに適応されます。ただし、各モジュールが自ら制御する固有の制限を持つ場合もあります。
表 18–1 ドメイン管理者、管理者、オペレーター、および一般機能|
機能 |
ドメイン管理者 |
管理者 |
オペレーター |
一般 |
|---|---|---|---|---|
|
モジュールの読み込み |
|
x |
|
|
|
モジュールの読み込み解除 |
|
x |
|
|
|
管理ドメインの作成 |
x |
|
|
|
|
管理ドメイン内でのグループの作成 |
x |
|
|
|
|
グループまたは管理ドメインへのオブジェクトの追加 |
x |
|
|
|
|
管理ドメイン、ホスト、モジュールの表示 |
x |
x |
x |
x |
|
ACL ユーザまたはグループの設定 |
|
x |
|
|
|
モジュールの無効化と有効化 |
|
x |
x |
|
|
モジュールの使用可能スケジュールの設定 |
|
x |
|
|
|
アラーム制限の設定 |
|
x |
x |
|
|
規則パラメータの設定 |
|
x |
x |
|
|
アラーム処理の実行 |
|
x |
x |
|
|
任意コマンドの実行 |
|
x |
x |
|
|
再表示間隔の設定 |
|
x |
x |
|
|
手動再表示の開始 |
x |
x |
x |
x |
|
履歴ログの有効化と無効化 |
|
x |
x |
|
|
履歴ログパラメータの設定 |
|
x |
x |
|
|
イベントの肯定応答、削除、対処 |
|
x |
x |
|
|
イベントの表示 |
|
x |
x |
x |
Sun Management Center ソフトウェアの上記カテゴリは、包括関係を維持します。つまり、esadm 特権を持つユーザは、esops 特権を持つユーザと全く同じ操作を実行することができます。管理者は、esops ユーザが esadm ユーザより多くの操作を実行できるように、デフォルト権限を変更することが可能です。包括関係とは、esops、esadm、esdomadm の各権限が同等であることを意味します。
デフォルト権限を無効にする方法については、デフォルトのエージェント特権を無効にするを参照してください。
- © 2010, Oracle Corporation and/or its affiliates