この章では、N1 System Managerのユーザーセキュリティの設定および管理方法について説明します。
この章では、ユーザー管理のための次の作業について説明します。
また、ロール管理のための次の作業についても説明します。
N1 System Manager には、ロールに基づいて事前に定義された一定の組み合わせの権限を使って、その主要機能 (コマンドおよびブラウザインタフェース領域) にアクセスすることを可能にするユーザーアカウントシステムがあります。権限は、OS ディストリビューションのインストールやジョブの削除などの、N1 System Manager の定義済みの管理機能です。ロールは、ユーザーがアクセス権を持つ権限の組み合わせです。N1 System Manager にはデフォルトのロールが 3 つありますが、必要に応じてカスタマイズしたロールを作成することもできます。
次の表は、N1 System Manager が提供するデフォルトのロールをまとめています。これらデフォルトのロールは、変更できません。
表 3–1 デフォルトの N1 System Manager ルール
ロール |
権限 |
説明 |
---|---|---|
Admin |
SecurityAdmin 権限を除くすべての権限。 |
このロールは、SecurityAdmin が提供するロール管理に必要なもの以外の、N1 System Manager で使用できるすべての権限を持ちます。 |
ReadOnly |
SecurityAdmin 権限を除くすべての読み取り (*Read) 権限。 |
このロールのユーザーは、N1 System Manager に関するステータス (読み取り専用) 情報のみ見ることができます。 |
SecurityAdmin |
RoleRead、RoleWrite、UserRead 、UserWrite、PrivilegeRead |
このロールは、ロールの作成や、ロールへの権限の追加、ユーザーへのロールの追加などの、ロールの管理に必要な権限のみ持ちます。 |
Sun N1 System Manager ソフトウェアをインストールすると、管理サーバーのスーパーユーザー (root) には、デフォルトの 3 つの N1 System Manager ロールがすべて追加され、Admin ロールがデフォルトに設定されます。
SecurityAdmin ロールを持つユーザー (セキュリティ管理者) は、組織での必要に応じて新しいロールを作成する権限を持ちます。この権限には、ロールに権限を追加する権限も含まれます。また、ユーザーにロールを追加することもできます。
たとえば、ある特定のユーザーが行える操作を、プロビジョニング可能なサーバー上で OS アップデートの管理にだけ制限する必要があると仮定します。セキュリティ管理者は、OSUpdateAdmin とい新しいロールを作成し、そのロールに次の権限を追加することができます。GroupRead、JobRead、LogRead、ServerDeployUpdate、ServerRead、UpdateRead 、UpdateWrite 権限の詳細は、表 3–2 を参照してください。この後、セキュリティ管理者は作成したロールをそのユーザーに追加することになります。そのユーザーに追加されたロールが OSUpdateAdmin のみの場合、ユーザーは、OS アップデートの管理機能以外の、N1 System Manager の他のいかなる部分にもアクセスできません。
SecurityAdmin ロールのみの root 以外のユーザーが、変更不可の SecurityAdmin ロールに新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加することによって、自身の権限セットを拡張することはできません。 詳細は、「セキュリティ管理者のポリシー」を参照してください。
次の表は、ロールに追加可能な定義済み権限の一覧です。show privilege コマンドを使って、省略形式のこの一覧を表示することができます。
表 3–2 N1 System Manager の権限
権限 |
説明 |
コマンド |
---|---|---|
Discover |
サーバーの検出 |
discover |
FirmwareRead |
ファームウェアアップデートの一覧表示 |
show firmware |
FirmwareWrite |
ファームウェアアップデートの管理 |
create firmware delete firmware set firmware |
GroupRead |
サーバーグループの一覧表示 |
show group |
GroupWrite |
サーバーグループの管理 |
create group delete group add group remove group set group |
JobRead |
ジョブの一覧表示 |
show job |
JobWrite |
ジョブの削除または停止 |
delete job stop job |
LogRead |
イベントログの一覧表示 |
show log |
NotificationRuleRead |
通知規則の一覧表示 |
show notification |
NotificationRuleWrite |
通知規則の管理 |
create notification delete notification set notification start notification stop notification |
NotificationRuleTest |
通知規則のテスト |
set notification notification test |
OSProfileRead |
OS プロファイルの一覧表示 |
show osprofile |
OSProfileWrite |
OS プロファイルの管理 |
add osprofile remove osprofile create osprofile delete osprofile set osprofile |
OSRead |
OS ディストリビューションの一覧表示 |
show os |
OSWrite |
OS ディストリビューションの管理 |
create os delete os set os |
PrivilegeRead |
権限の一覧表示 |
show privilege |
RoleRead |
ロールの一覧表示 |
show role |
RoleWrite |
ロールの管理 |
create role delete role add role remove role set role |
ServerBoot |
サーバーの再起動 |
reset group reset server |
ServerDeployFirmware |
サーバーへのファームウェアのインストール |
load server server firmware load group group firmware |
ServerDeployOS |
サーバーへの OS のインストール |
load server server osprofile load group group osprofile |
ServerDeployUpdate |
サーバーへの OS アップデートのインストールまたはアンインストール |
load server server update load group group update unload server server update unload group group update |
ServerExecute |
サーバーでのコマンドの実行 |
start server server command start group group command |
ServerPower |
サーバーの電源の投入および切断 |
stop group stop server start group start server |
ServerRead |
サーバーの一覧表示と再表示 |
show server set group group refresh set server server refresh |
ServerWrite |
サーバーおよび管理エージェントの管理 |
set server delete server |
UpdateRead |
OS アップデートの一覧表示 |
show update |
UpdateWrite |
OS アップデートの追加および削除 |
create update delete update |
UserRead |
ユーザーの一覧表示 |
show user |
UserWrite |
ユーザーの管理 |
create user delete user add user remove user set user |
root 以外の N1 System Manager ユーザーに SecurityAdmin ロールだけを追加して、そのユーザーがセキュリティ管理者権限のみ持つようにすることは、問題なくできます。この場合、SecurityAdmin ロール (変更不可) に新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加することによって、そうしたユーザーが自身の権限セットを拡張することはできません。
ただし、root ユーザーがセキュリティ管理者権限のみ持つように設定することはできません。これは、root ユーザーが、root アカウントにロールを追加することによってその権限セットを拡張できるためです。
また、ユーザーが SecurityAdmin ロールとカスタムロールを持つ場合、そのユーザーがセキュリティ管理者権限のみ持つように設定することもできません。これは、そうしたユーザーは、SecurityAdmin 権限を使用してカスタムロールに任意の権限を追加することが可能であり、このため、自身の権限セットを拡張することができるためです。
いつでも、新しい N1 System Manager ユーザーを作成することができます。Sun N1 System Manager ソフトウェアをインストールすると、管理サーバーのスーパーユーザー (root) には、デフォルトの 3 つの N1 System Manager ロールがすべて追加され、Admin ロールがデフォルトに設定されます。
次の表は、ユーザーの管理に関係するすべての作業およびコマンドをまとめています。
表 3–3 ユーザー管理の早見表
作業 |
コマンド構文 |
---|---|
# useradd -s # n1sh create user user role role |
|
# n1sh delete user user # userdel |
|
set user user defaultrole defaultrole |
|
show user user |
|
add user user role role |
|
remove user user role role |
|
show user user |
管理サーバーオペレーティングシステムに新しいユーザーアカウントを追加するには、スーパーユーザー (root) である必要があります。ユーザー管理の以降の作業は、この作業で使用したスーパーユーザーアカウントなどの、 SecurityAdmin ロールを持つユーザーが行う必要があります。
N1 System Manager に対する新規ユーザーの作成では、ユーザーのログインシェルを UNIX シェルまたは N1–ok> シェル (n1sh コマンド) のいずれかに設定することもできます。N1–ok> シェルに設定した場合、ユーザーは管理サーバーにログインするとき自動的に N1–ok> シェルに入ります。
スーパーユーザーで、リモートシステムから管理サーバーにログインします。
$ ssh -l root management_server |
management-server は、管理サーバーのホスト名か IP アドレスです。
パスワードを求められたら、パスワードを入力します。
useradd(1m) コマンドを使って、管理サーバーに新しいユーザーアカウントを追加します。
次の詳細な設定情報を入力します。
useradd -s オプションを使用して、ユーザーのシェルが自動的に n1–ok> シェル (n1sh コマンド) にログインするように設定します。例: useradd -s /opt/sun/n1gc/bin/n1sh
passwd コマンドを使用してユーザーのパスワードを設定します。
ユーザーのパスに /opt/sun/n1gc/bin を追加して、n1sh コマンドにアクセスできるようにします。
1 つ以上のロールを付けて N1 System Manager にユーザーを追加します。
# n1sh -r SecurityAdmin create user user role role[,role...] |
-r オプションは、この作業に必要な SecurityAdmin ロールを使って n1sh コマンドを実行することを可能にします。詳細は、「create user」を参照してください。add user コマンドを使用し、あとでロールを追加することもできます。
管理サーバーオペレーティングシステムから既存のユーザーアカウントを削除するには、スーパーユーザー (root) である必要があります。ユーザー管理の以降の作業は、この作業で使用したスーパーユーザーアカウントなどの、 SecurityAdmin ロールを持つユーザーが行う必要があります。
スーパーユーザーで、リモートシステムから管理サーバーにログインします。
$ ssh -l root management_server |
management-server は、管理サーバーのホスト名か IP アドレスです。
パスワードの入力が求められます。
N1 System Manager からユーザーを削除します。
# n1sh -r SecurityAdmin delete user user |
-r オプションは、この作業に必要な SecurityAdmin ロールを使って n1sh コマンドを実行することを可能にします。詳細は、「delete user」を参照してください。
(省略可能) userdel(1m) コマンドを使って、管理サーバーからユーザーアカウントを削除します。
ユーザは、デフォルトのロールで自動的に N1 System Manager にログインできます。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ユーザーに追加されているロールを表示します。
N1-ok> show user user |
詳細は、「show user」を参照してください。
ユーザーのデフォルトロールを設定します。
N1-ok> set user user defaultrole defaultrole |
詳細は、「set user」を参照してください。
N1-ok> show user root Name: root Default Role: Admin Roles: SecurityAdmin, ReadOnly, Admin N1-ok> set user root defaultrole SecurityAdmin |
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ユーザーのデフォルトロールを表示します。
N1-ok> show user user |
詳細は、「show user」を参照してください。
N1-ok> show user root Name: root Default Role: Admin Roles: SecurityAdmin, ReadOnly, Admin |
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ユーザーにロールを追加します。
N1-ok> add user user role role[,role...] |
詳細は、「add user」を参照してください。show role all コマンドを使用すると、有効なすべてのロールを一覧表示できます。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ユーザーからロールを削除します。
N1-ok> remove user user role role |
詳細は、「remove user」を参照してください。show user user コマンドで、ユーザーに割り当てられているすべてのロールを一覧表示できます。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ユーザーに追加されているロールを一覧表示します。
N1-ok> show user user |
詳細は、「show user」を参照してください。
N1-ok> show user root Name: root Default Role: Admin Roles: SecurityAdmin, ReadOnly, Admin |
表 3–1 は、N1 System Manager が自動的に提供するデフォルトロールをまとめています。これらデフォルトのロールは、変更できません。ただし、組織および業務上の必要に応じてカスタマイズしたロールをユーザーに作成することができます。
次の表は、ロールの管理に関係するすべての作業およびコマンドをまとめています。
表 3–4 ロール管理の早見表
作業 |
コマンド構文 |
---|---|
create role role privilege privilege |
|
delete role role |
|
add role role privilege privilege |
|
remove role role privilege privilege |
|
show role all |
|
show role role |
|
show user all |
|
show privilege all |
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
1 つ以上の権限で新しいロールを作成します。
N1-ok> create role role [description description] privilege privilege[,privilege...] |
詳細は、「create role」を参照してください。add role コマンドを使用し、後でロールに権限を追加することもできます。
ロールが 1 人でもユーザーに追加されている場合、ロールを削除することはできません。使用中のロールを削除しようとすると、エラーになります。ロールを削除するには、権限を持つユーザーがすべてのユーザーからそのロールを削除し、その後でロールそのものを削除する必要があります。
show role all コマンドを使用すると、有効なすべてのロールを一覧表示できます。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ロールを削除します。
N1-ok> delete role role |
詳細は、「delete role」を参照してください。
有効なすべての権限を一覧表示するには、show privileges all コマンドを使用します。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ロールに権限を追加します。
N1-ok> add role role privilege privilege[,privilege] |
詳細は、「add role」を参照してください。
1 つのロールに権限の大部分を追加する場合は、 all オプションを使用してすべての権限を追加し、その後で remove role コマンドを使用して、不要な権限を削除します。
ロールに追加されているすべての権限を一覧表示するには、show role role コマンドを使用します。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ロールから権限を削除します。
N1-ok> remove role role privilege privilege |
詳細は、「remove role」を参照してください。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
使用可能なロールを一覧表示します。
N1-ok> show role all |
show role all コマンドを使用すると、有効なすべてのロールを一覧表示できます。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ロールに追加されている権限を一覧表示します。
N1-ok> show role role |
詳細は、「show role」を参照してください。
N1-ok> show role SecurityAdmin Name: SecurityAdmin Privileges: UserWrite, RoleWrite, RoleRead, PrivilegeRead, UserRead |
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ユーザーに追加されているロールを一覧表示します。
N1-ok> show user all |
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
使用可能な権限を一覧表示します。
N1-ok> show privilege all |