アクセス制御の定義と制限
esadm グループは、ユーザーとグループに対して ACL 機能を指定することができます。対象となるコンポーネントは次のとおりです。
-
管理ドメイン
-
管理ドメイン内のグループ
-
ホスト
-
モジュール
管理者、オペレーター、および一般的なアクセス
ACL 仕様は次のいずれか 1 つまたは複数のパラメータで確立、定義されます。
-
管理者ユーザーと管理者グループ – 管理者操作を実行可能なユーザーとグループのリスト。デフォルトでは、必要に応じて、これらのユーザーは esadm または esdomadm になります。
-
オペレーターユーザーとオペレーターグループ – オペレーター操作を実行可能なユーザーとグループのリスト。デフォルトでは、これらのユーザーは esops です。
-
一般ユーザーと一般グループ – 一般操作を実行可能なユーザーとグループのリスト。デフォルトでは、ANYGROUP と呼ばれる仮想グループになります。
-
管理者 (SNMP) のコミュニティー – SNMP を使用する管理者操作を実行可能な SNMP コミュニティーのリスト。
-
オペレーター (SNMP) のコミュニティー – SNMP を使用するオペレーター操作を実行可能な SNMP コミュニティーのリスト。
-
一般 (SNMP) のコミュニティー – SNMP を使用する一般操作を実行可能な SNMP コミュニティー。
Sun Management Center の遠隔サーバーアクセス
ユーザーは、Sun Management Center の遠隔サーバー上で実行中のセッションから、データにアクセスして情報を表示することができます。この場合、ユーザーには一般ユーザーの読み取り専用のアクセス権が付与されます。異なるサーバー上で起動する Sun Management Center セッションの動作は、各セッションのサーバーコンテキストで定義されます。詳細は、「Sun Management Center のサーバーコンテキストとセキュリティー」を参照してください。
ユーザーとして異なるサーバーコンテキストにアクセスして、さまざまな設定を行うことができます。
-
各サーバーコンテキストがそれぞれユーザーと管理者を所有し、互いにアクセス可能な状態を維持する。
-
広域ネットワーク (WAN) のコンテキストとして、要素間を物理的に分離する。
-
多くのホストを一組の主要コンポーネントで操作することにより、性能を向上させる。
異なるサーバーコンテキストにリンクして、ほかのサーバーコンテキストのオブジェクトの最上位状態を表示することができます。
Sun Management Center のサーバーコンテキストとセキュリティー
サーバーコンテキストは、Sun Management Center エージェントとそれらエージェントが接続されている特定のサーバーレイヤーの集合です。ーバコンテキスト内のエージェントとホストは、次の主要コンポーネントを共有します。
-
Sun Management Center サーバー
-
トポロジマネージャー
-
イベントマネージャー
-
トラップハンドラ
-
構成マネージャー
すべての Sun Management Center コンポーネントとエージェントは、インストール時に、それぞれのトラップハンドラとイベントマネージャーの位置を認識するよう設定されます。Sun Management Center ソフトウェアは、IP アドレスとポートアドレスによってトラップハンドラとイベントマネージャーを特定します。ユーザーは、自分のサーバーコンテキスト内にいるかどうかを判断するために、アクセスするサーバーの IP アドレスとポートアドレスを知っておく必要があります。サーバーコンテキストは、それぞれ個別のポート番号を持っています。
遠隔サーバーコンテキストは、遠隔エージェントと関連するサーバーレイヤーの集合です。
エージェントはサーバーレイヤーからセキュリティー設定情報を受け取ります。このセキュリティー情報によって、エージェントは受け取った管理要求を認証し、管理要求の一部として要求された操作に対してアクセス制御を行えます。
サーバー間の制限
一部のセキュリティー制限は、ユーザーがサーバーコンテキスト間で通信する場合に適用されます。
現在の Sun Management Center 環境では、ほかのサーバーからの情報アクセスに関していくつか制限があります。
-
遠隔サーバーコンテキストからアクセスする場合、一般ユーザーのアクセス権が付与されます。したがって、データへのアクセスは可能ですが、別のサーバー内でオブジェクトを変更したり使用することはできません。ユーザーの操作は、遠隔サーバーのオブジェクトの表示のみに限定されます。
-
一般ユーザーとして他のコンテキストのデータを表示できますが、制御処理 (アラームしきい値などの設定) は実行できません。
-
編集機能は、遠隔サーバーでは異なる動作をします。たとえば、コンテキスト間のコピー&ペーストは可能ですが、カット&ペーストはできません。
注 –
コンソールでは、実際に異なるサーバーコンテキストにアクセスしているかどうかはっきりしない場合があります。この場合は、「詳細」ウィンドウの「情報」タブでサーバーの IP ポート番号またはアドレスを確認してください。
- © 2010, Oracle Corporation and/or its affiliates