第 3 章 N1 System Manager のユーザーセキュリティの管理

この章では、N1 System Managerのユーザーセキュリティの設定および管理方法について説明します。

この章では、ユーザー管理のための次の作業について説明します。

• 「N1 System Manager ユーザーを追加する」

• 「N1 System Manager ユーザーを削除する」

• 「ユーザーのデフォルトロールを設定する」

• 「ユーザーのデフォルトロールを表示する」

• 「ユーザーにロールを追加する」

• 「ユーザーからロールを削除する」

• 「ユーザーに追加されているロールを一覧表示する」

また、ロール管理のための次の作業についても説明します。

• 「ロールを作成する」

• 「ロールを削除する」

• 「ロールに権限を追加する」

• 「ロールから権限を削除する」

• 「使用可能なロールを一覧表示する」

• 「ロールに追加されている権限を一覧表示する」

• 「ユーザーに追加されているロールを一覧表示する」

• 「使用可能な権限を一覧表示する」

N1 System Manager のユーザーセキュリティの概要

N1 System Manager には、ロールに基づいて事前に定義された一定の組み合わせの権限を使って、その主要機能 (コマンドおよびブラウザインタフェース領域) にアクセスすることを可能にするユーザーアカウントシステムがあります。権限は、OS ディストリビューションのインストールやジョブの削除などの、N1 System Manager の定義済みの管理機能です。ロールは、ユーザーがアクセス権を持つ権限の組み合わせです。N1 System Manager にはデフォルトのロールが 3 つありますが、必要に応じてカスタマイズしたロールを作成することもできます。

次の表は、N1 System Manager が提供するデフォルトのロールをまとめています。これらデフォルトのロールは、変更できません。

Sun N1 System Manager ソフトウェアをインストールすると、管理サーバーのスーパーユーザー (root) には、デフォルトの 3 つの N1 System Manager ロールがすべて追加され、Admin ロールがデフォルトに設定されます。

SecurityAdmin ロールを持つユーザー (セキュリティ管理者) は、組織での必要に応じて新しいロールを作成する権限を持ちます。この権限には、ロールに権限を追加する権限も含まれます。また、ユーザーにロールを追加することもできます。

たとえば、ある特定のユーザーが行える操作を、プロビジョニング可能なサーバー上で OS アップデートの管理にだけ制限する必要があると仮定します。セキュリティ管理者は、OSUpdateAdmin とい新しいロールを作成し、そのロールに次の権限を追加することができます。GroupRead、JobRead、LogRead、ServerDeployUpdate、ServerRead、UpdateRead 、UpdateWrite 権限の詳細は、表 3–2 を参照してください。この後、セキュリティ管理者は作成したロールをそのユーザーに追加することになります。そのユーザーに追加されたロールが OSUpdateAdmin のみの場合、ユーザーは、OS アップデートの管理機能以外の、N1 System Manager の他のいかなる部分にもアクセスできません。

SecurityAdmin ロールのみの root 以外のユーザーが、変更不可の SecurityAdmin ロールに新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加することによって、自身の権限セットを拡張することはできません。 詳細は、「セキュリティ管理者のポリシー」を参照してください。

次の表は、ロールに追加可能な定義済み権限の一覧です。show privilege コマンドを使って、省略形式のこの一覧を表示することができます。

セキュリティ管理者のポリシー

root 以外の N1 System Manager ユーザーに SecurityAdmin ロールだけを追加して、そのユーザーがセキュリティ管理者権限のみ持つようにすることは、問題なくできます。この場合、SecurityAdmin ロール (変更不可) に新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加することによって、そうしたユーザーが自身の権限セットを拡張することはできません。

ただし、root ユーザーがセキュリティ管理者権限のみ持つように設定することはできません。これは、root ユーザーが、root アカウントにロールを追加することによってその権限セットを拡張できるためです。

また、ユーザーが SecurityAdmin ロールとカスタムロールを持つ場合、そのユーザーがセキュリティ管理者権限のみ持つように設定することもできません。これは、そうしたユーザーは、SecurityAdmin 権限を使用してカスタムロールに任意の権限を追加することが可能であり、このため、自身の権限セットを拡張することができるためです。

ユーザーの管理

いつでも、新しい N1 System Manager ユーザーを作成することができます。Sun N1 System Manager ソフトウェアをインストールすると、管理サーバーのスーパーユーザー (root) には、デフォルトの 3 つの N1 System Manager ロールがすべて追加され、Admin ロールがデフォルトに設定されます。

次の表は、ユーザーの管理に関係するすべての作業およびコマンドをまとめています。

N1 System Manager ユーザーを追加する

始める前に

管理サーバーオペレーティングシステムに新しいユーザーアカウントを追加するには、スーパーユーザー (root) である必要があります。ユーザー管理の以降の作業は、この作業で使用したスーパーユーザーアカウントなどの、 SecurityAdmin ロールを持つユーザーが行う必要があります。

N1 System Manager に対する新規ユーザーの作成では、ユーザーのログインシェルを UNIX シェルまたは N1–ok> シェル (n1sh コマンド) のいずれかに設定することもできます。N1–ok> シェルに設定した場合、ユーザーは管理サーバーにログインするとき自動的に N1–ok> シェルに入ります。

手順

1. スーパーユーザーで、リモートシステムから管理サーバーにログインします。

   $ ssh -l root management_server

   management-server は、管理サーバーのホスト名か IP アドレスです。

2. パスワードを求められたら、パスワードを入力します。

3. useradd(1m) コマンドを使って、管理サーバーに新しいユーザーアカウントを追加します。

   次の詳細な設定情報を入力します。

   • useradd -s オプションを使用して、ユーザーのシェルが自動的に n1–ok> シェル (n1sh コマンド) にログインするように設定します。例: useradd -s /opt/sun/n1gc/bin/n1sh

   • passwd コマンドを使用してユーザーのパスワードを設定します。

   • ユーザーのパスに /opt/sun/n1gc/bin を追加して、n1sh コマンドにアクセスできるようにします。

4. 1 つ以上のロールを付けて N1 System Manager にユーザーを追加します。

   # n1sh -r SecurityAdmin create user user role role[,role...]

   -r オプションは、この作業に必要な SecurityAdmin ロールを使って n1sh コマンドを実行することを可能にします。詳細は、「create user」を参照してください。add user コマンドを使用し、あとでロールを追加することもできます。

N1 System Manager ユーザーを削除する

始める前に

管理サーバーオペレーティングシステムから既存のユーザーアカウントを削除するには、スーパーユーザー (root) である必要があります。ユーザー管理の以降の作業は、この作業で使用したスーパーユーザーアカウントなどの、 SecurityAdmin ロールを持つユーザーが行う必要があります。

手順

1. スーパーユーザーで、リモートシステムから管理サーバーにログインします。

   $ ssh -l root management_server

   management-server は、管理サーバーのホスト名か IP アドレスです。

2. パスワードの入力が求められます。

3. N1 System Manager からユーザーを削除します。

   # n1sh -r SecurityAdmin delete user user

   -r オプションは、この作業に必要な SecurityAdmin ロールを使って n1sh コマンドを実行することを可能にします。詳細は、「delete user」を参照してください。

4. (省略可能) userdel(1m) コマンドを使って、管理サーバーからユーザーアカウントを削除します。

ユーザーのデフォルトロールを設定する

ユーザは、デフォルトのロールで自動的に N1 System Manager にログインできます。

手順

1. N1 System Manager にログインします。

   詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

2. ユーザーに追加されているロールを表示します。

   N1-ok> show user user

   詳細は、「show user」を参照してください。

3. ユーザーのデフォルトロールを設定します。

   N1-ok> set user user defaultrole defaultrole

   詳細は、「set user」を参照してください。

例 3–1 ユーザーのデフォルトロールの設定

N1-ok> show user root

Name:         root
Default Role: Admin
Roles:        SecurityAdmin, ReadOnly, Admin


N1-ok> set user root defaultrole SecurityAdmin

ユーザーのデフォルトロールを表示する

手順

1. N1 System Manager にログインします。

   詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

2. ユーザーのデフォルトロールを表示します。

   N1-ok> show user user

   詳細は、「show user」を参照してください。

例 3–2 ユーザーのデフォルトロールの表示

N1-ok> show user root

Name:         root
Default Role: Admin
Roles:        SecurityAdmin, ReadOnly, Admin

ユーザーにロールを追加する

手順

1. N1 System Manager にログインします。

   詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

2. ユーザーにロールを追加します。

   N1-ok> add user user role role[,role...]

   詳細は、「add user」を参照してください。show role all コマンドを使用すると、有効なすべてのロールを一覧表示できます。

ユーザーからロールを削除する

手順

1. N1 System Manager にログインします。

   詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

2. ユーザーからロールを削除します。

   N1-ok> remove user user role role

   詳細は、「remove user」を参照してください。show user user コマンドで、ユーザーに割り当てられているすべてのロールを一覧表示できます。

ユーザーに追加されているロールを一覧表示する

手順

1. N1 System Manager にログインします。

   詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

2. ユーザーに追加されているロールを一覧表示します。

   N1-ok> show user user

   詳細は、「show user」を参照してください。

例 3–3 ユーザーに追加されているロールの一覧表示

N1-ok> show user root

Name:         root
Default Role: Admin
Roles:        SecurityAdmin, ReadOnly, Admin

ロールの管理

表 3–1 は、N1 System Manager が自動的に提供するデフォルトロールをまとめています。これらデフォルトのロールは、変更できません。ただし、組織および業務上の必要に応じてカスタマイズしたロールをユーザーに作成することができます。

次の表は、ロールの管理に関係するすべての作業およびコマンドをまとめています。

ロールを作成する

手順

1. N1 System Manager にログインします。

   詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

2. 1 つ以上の権限で新しいロールを作成します。

   N1-ok> create role role [description description] privilege privilege[,privilege...]

   詳細は、「create role」を参照してください。add role コマンドを使用し、後でロールに権限を追加することもできます。

ロールを削除する

始める前に

ロールが 1 人でもユーザーに追加されている場合、ロールを削除することはできません。使用中のロールを削除しようとすると、エラーになります。ロールを削除するには、権限を持つユーザーがすべてのユーザーからそのロールを削除し、その後でロールそのものを削除する必要があります。

show role all コマンドを使用すると、有効なすべてのロールを一覧表示できます。

手順

1. N1 System Manager にログインします。

   詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

2. ロールを削除します。

   N1-ok> delete role role

   詳細は、「delete role」を参照してください。

ロールに権限を追加する

始める前に

有効なすべての権限を一覧表示するには、show privileges all コマンドを使用します。

手順

1. N1 System Manager にログインします。

   詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

2. ロールに権限を追加します。

   N1-ok> add role role privilege privilege[,privilege]

   詳細は、「add role」を参照してください。

   ---

   ヒント –

   1 つのロールに権限の大部分を追加する場合は、 all オプションを使用してすべての権限を追加し、その後で remove role コマンドを使用して、不要な権限を削除します。

   ---

ロールから権限を削除する

始める前に

ロールに追加されているすべての権限を一覧表示するには、show role role コマンドを使用します。

手順

1. N1 System Manager にログインします。

   詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

2. ロールから権限を削除します。

   N1-ok> remove role role privilege privilege

   詳細は、「remove role」を参照してください。

使用可能なロールを一覧表示する

手順

1. N1 System Manager にログインします。

   詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

2. 使用可能なロールを一覧表示します。

   N1-ok> show role all

ロールに追加されている権限を一覧表示する

始める前に

show role all コマンドを使用すると、有効なすべてのロールを一覧表示できます。

手順

1. N1 System Manager にログインします。

   詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

2. ロールに追加されている権限を一覧表示します。

   N1-ok> show role role

   詳細は、「show role」を参照してください。

例 3–4 ロールに追加されている権限の一覧表示

N1-ok> show role SecurityAdmin

Name:       SecurityAdmin
Privileges: UserWrite, RoleWrite, RoleRead, PrivilegeRead, UserRead

ユーザーに追加されているロールを一覧表示する

手順

1. N1 System Manager にログインします。

   詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

2. ユーザーに追加されているロールを一覧表示します。

   N1-ok> show user all

使用可能な権限を一覧表示する

手順

1. N1 System Manager にログインします。

   詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

2. 使用可能な権限を一覧表示します。

   N1-ok> show privilege all