Sun N1 System Manager 1.0 管理ガイド

第 3 章 N1 System Manager のユーザーセキュリティの管理

この章では、N1 System Managerのユーザーセキュリティの設定および管理方法について説明します。

この章では、ユーザー管理のための次の作業について説明します。

また、ロール管理のための次の作業についても説明します。

N1 System Manager のユーザーセキュリティの概要

N1 System Manager には、ロールに基づいて事前に定義された一定の組み合わせの権限を使って、その主要機能 (コマンドおよびブラウザインタフェース領域) にアクセスすることを可能にするユーザーアカウントシステムがあります。権限は、OS ディストリビューションのインストールやジョブの削除などの、N1 System Manager の定義済みの管理機能です。ロールは、ユーザーがアクセス権を持つ権限の組み合わせです。N1 System Manager にはデフォルトのロールが 3 つありますが、必要に応じてカスタマイズしたロールを作成することもできます。

次の表は、N1 System Manager が提供するデフォルトのロールをまとめています。これらデフォルトのロールは、変更できません。

表 3–1 デフォルトの N1 System Manager ルール

ロール 

権限 

説明 

Admin

SecurityAdmin 権限を除くすべての権限。

このロールは、SecurityAdmin が提供するロール管理に必要なもの以外の、N1 System Manager で使用できるすべての権限を持ちます。

ReadOnly

SecurityAdmin 権限を除くすべての読み取り (*Read) 権限。

このロールのユーザーは、N1 System Manager に関するステータス (読み取り専用) 情報のみ見ることができます。 

SecurityAdmin

RoleReadRoleWriteUserRead UserWritePrivilegeRead

このロールは、ロールの作成や、ロールへの権限の追加、ユーザーへのロールの追加などの、ロールの管理に必要な権限のみ持ちます。 

Sun N1 System Manager ソフトウェアをインストールすると、管理サーバーのスーパーユーザー (root) には、デフォルトの 3 つの N1 System Manager ロールがすべて追加され、Admin ロールがデフォルトに設定されます。

SecurityAdmin ロールを持つユーザー (セキュリティ管理者) は、組織での必要に応じて新しいロールを作成する権限を持ちます。この権限には、ロールに権限を追加する権限も含まれます。また、ユーザーにロールを追加することもできます。

たとえば、ある特定のユーザーが行える操作を、プロビジョニング可能なサーバー上で OS アップデートの管理にだけ制限する必要があると仮定します。セキュリティ管理者は、OSUpdateAdmin とい新しいロールを作成し、そのロールに次の権限を追加することができます。GroupReadJobReadLogReadServerDeployUpdateServerReadUpdateRead UpdateWrite 権限の詳細は、表 3–2 を参照してください。この後、セキュリティ管理者は作成したロールをそのユーザーに追加することになります。そのユーザーに追加されたロールが OSUpdateAdmin のみの場合、ユーザーは、OS アップデートの管理機能以外の、N1 System Manager の他のいかなる部分にもアクセスできません。


注 –

SecurityAdmin ロールのみの root 以外のユーザーが、変更不可の SecurityAdmin ロールに新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加することによって、自身の権限セットを拡張することはできません。 詳細は、「セキュリティ管理者のポリシー」を参照してください。


次の表は、ロールに追加可能な定義済み権限の一覧です。show privilege コマンドを使って、省略形式のこの一覧を表示することができます。

表 3–2 N1 System Manager の権限

権限 

説明 

コマンド 

Discover

サーバーの検出 

discover

FirmwareRead

ファームウェアアップデートの一覧表示 

show firmware

FirmwareWrite

ファームウェアアップデートの管理 

create firmware

delete firmware

set firmware

GroupRead

サーバーグループの一覧表示 

show group

GroupWrite

サーバーグループの管理 

create group

delete group

add group

remove group

set group

JobRead

ジョブの一覧表示 

show job

JobWrite

ジョブの削除または停止 

delete job

stop job

LogRead

イベントログの一覧表示 

show log

NotificationRuleRead

通知規則の一覧表示 

show notification

NotificationRuleWrite

通知規則の管理 

create notification

delete notification

set notification

start notification

stop notification

NotificationRuleTest

通知規則のテスト 

set notification notification test

OSProfileRead

OS プロファイルの一覧表示 

show osprofile

OSProfileWrite

OS プロファイルの管理 

add osprofile

remove osprofile

create osprofile

delete osprofile

set osprofile

OSRead

OS ディストリビューションの一覧表示 

show os

OSWrite

OS ディストリビューションの管理 

create os

delete os

set os

PrivilegeRead

権限の一覧表示 

show privilege

RoleRead

ロールの一覧表示 

show role

RoleWrite

ロールの管理 

create role

delete role

add role

remove role

set role

ServerBoot

サーバーの再起動 

reset group

reset server

ServerDeployFirmware

サーバーへのファームウェアのインストール 

load server server firmware

load group group firmware

ServerDeployOS

サーバーへの OS のインストール 

load server server osprofile

load group group osprofile

ServerDeployUpdate

サーバーへの OS アップデートのインストールまたはアンインストール 

load server server update

load group group update

unload server server update

unload group group update

ServerExecute

サーバーでのコマンドの実行 

start server server command

start group group command

ServerPower

サーバーの電源の投入および切断 

stop group

stop server

start group

start server

ServerRead

サーバーの一覧表示と再表示 

show server

set group group refresh

set server server refresh

ServerWrite

サーバーおよび管理エージェントの管理 

set server

delete server

UpdateRead

OS アップデートの一覧表示 

show update

UpdateWrite

OS アップデートの追加および削除 

create update

delete update

UserRead

ユーザーの一覧表示 

show user

UserWrite

ユーザーの管理 

create user

delete user

add user

remove user

set user

セキュリティ管理者のポリシー

root 以外の N1 System Manager ユーザーに SecurityAdmin ロールだけを追加して、そのユーザーがセキュリティ管理者権限のみ持つようにすることは、問題なくできます。この場合、SecurityAdmin ロール (変更不可) に新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加することによって、そうしたユーザーが自身の権限セットを拡張することはできません。

ただし、root ユーザーがセキュリティ管理者権限のみ持つように設定することはできません。これは、root ユーザーが、root アカウントにロールを追加することによってその権限セットを拡張できるためです。

また、ユーザーが SecurityAdmin ロールとカスタムロールを持つ場合、そのユーザーがセキュリティ管理者権限のみ持つように設定することもできません。これは、そうしたユーザーは、SecurityAdmin 権限を使用してカスタムロールに任意の権限を追加することが可能であり、このため、自身の権限セットを拡張することができるためです。

ユーザーの管理

いつでも、新しい N1 System Manager ユーザーを作成することができます。Sun N1 System Manager ソフトウェアをインストールすると、管理サーバーのスーパーユーザー (root) には、デフォルトの 3 つの N1 System Manager ロールがすべて追加され、Admin ロールがデフォルトに設定されます。

次の表は、ユーザーの管理に関係するすべての作業およびコマンドをまとめています。

表 3–3 ユーザー管理の早見表

作業 

コマンド構文 

「N1 System Manager ユーザーを追加する」

# useradd -s

# n1sh create user user role role

「N1 System Manager ユーザーを削除する」

# n1sh delete user user

# userdel

「ユーザーのデフォルトロールを設定する」

set user user defaultrole defaultrole

「ユーザーのデフォルトロールを表示する」

show user user

「ユーザーにロールを追加する」

add user user role role

「ユーザーからロールを削除する」

remove user user role role

「ユーザーに追加されているロールを一覧表示する」

show user user

ProcedureN1 System Manager ユーザーを追加する

始める前に

管理サーバーオペレーティングシステムに新しいユーザーアカウントを追加するには、スーパーユーザー (root) である必要があります。ユーザー管理の以降の作業は、この作業で使用したスーパーユーザーアカウントなどの、 SecurityAdmin ロールを持つユーザーが行う必要があります。

N1 System Manager に対する新規ユーザーの作成では、ユーザーのログインシェルを UNIX シェルまたは N1–ok> シェル (n1sh コマンド) のいずれかに設定することもできます。N1–ok> シェルに設定した場合、ユーザーは管理サーバーにログインするとき自動的に N1–ok> シェルに入ります。

手順
  1. スーパーユーザーで、リモートシステムから管理サーバーにログインします。


    $ ssh -l root management_server
    

    management-server は、管理サーバーのホスト名か IP アドレスです。

  2. パスワードを求められたら、パスワードを入力します。

  3. useradd(1m) コマンドを使って、管理サーバーに新しいユーザーアカウントを追加します。

    次の詳細な設定情報を入力します。

    • useradd -s オプションを使用して、ユーザーのシェルが自動的に n1–ok> シェル (n1sh コマンド) にログインするように設定します。例: useradd -s /opt/sun/n1gc/bin/n1sh

    • passwd コマンドを使用してユーザーのパスワードを設定します。

    • ユーザーのパスに /opt/sun/n1gc/bin を追加して、n1sh コマンドにアクセスできるようにします。

  4. 1 つ以上のロールを付けて N1 System Manager にユーザーを追加します。


    # n1sh -r SecurityAdmin create user user role role[,role...]

    -r オプションは、この作業に必要な SecurityAdmin ロールを使って n1sh コマンドを実行することを可能にします。詳細は、「create user」を参照してください。add user コマンドを使用し、あとでロールを追加することもできます。

ProcedureN1 System Manager ユーザーを削除する

始める前に

管理サーバーオペレーティングシステムから既存のユーザーアカウントを削除するには、スーパーユーザー (root) である必要があります。ユーザー管理の以降の作業は、この作業で使用したスーパーユーザーアカウントなどの、 SecurityAdmin ロールを持つユーザーが行う必要があります。

手順
  1. スーパーユーザーで、リモートシステムから管理サーバーにログインします。


    $ ssh -l root management_server
    

    management-server は、管理サーバーのホスト名か IP アドレスです。

  2. パスワードの入力が求められます。

  3. N1 System Manager からユーザーを削除します。


    # n1sh -r SecurityAdmin delete user user
    

    -r オプションは、この作業に必要な SecurityAdmin ロールを使って n1sh コマンドを実行することを可能にします。詳細は、「delete user」を参照してください。

  4. (省略可能) userdel(1m) コマンドを使って、管理サーバーからユーザーアカウントを削除します。

Procedureユーザーのデフォルトロールを設定する

ユーザは、デフォルトのロールで自動的に N1 System Manager にログインできます。

手順
  1. N1 System Manager にログインします。

    詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

  2. ユーザーに追加されているロールを表示します。


    N1-ok> show user user
    

    詳細は、「show user」を参照してください。

  3. ユーザーのデフォルトロールを設定します。


    N1-ok> set user user defaultrole defaultrole
    

    詳細は、「set user」を参照してください。


例 3–1 ユーザーのデフォルトロールの設定


N1-ok> show user root

Name:         root
Default Role: Admin
Roles:        SecurityAdmin, ReadOnly, Admin


N1-ok> set user root defaultrole SecurityAdmin

Procedureユーザーのデフォルトロールを表示する

手順
  1. N1 System Manager にログインします。

    詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

  2. ユーザーのデフォルトロールを表示します。


    N1-ok> show user user
    

    詳細は、「show user」を参照してください。


例 3–2 ユーザーのデフォルトロールの表示


N1-ok> show user root

Name:         root
Default Role: Admin
Roles:        SecurityAdmin, ReadOnly, Admin

Procedureユーザーにロールを追加する

手順
  1. N1 System Manager にログインします。

    詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

  2. ユーザーにロールを追加します。


    N1-ok> add user user role role[,role...]

    詳細は、「add user」を参照してください。show role all コマンドを使用すると、有効なすべてのロールを一覧表示できます。

Procedureユーザーからロールを削除する

手順
  1. N1 System Manager にログインします。

    詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

  2. ユーザーからロールを削除します。


    N1-ok> remove user user role role
    

    詳細は、「remove user」を参照してください。show user user コマンドで、ユーザーに割り当てられているすべてのロールを一覧表示できます。

Procedureユーザーに追加されているロールを一覧表示する

手順
  1. N1 System Manager にログインします。

    詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

  2. ユーザーに追加されているロールを一覧表示します。


    N1-ok> show user user
    

    詳細は、「show user」を参照してください。


例 3–3 ユーザーに追加されているロールの一覧表示


N1-ok> show user root

Name:         root
Default Role: Admin
Roles:        SecurityAdmin, ReadOnly, Admin

ロールの管理

表 3–1 は、N1 System Manager が自動的に提供するデフォルトロールをまとめています。これらデフォルトのロールは、変更できません。ただし、組織および業務上の必要に応じてカスタマイズしたロールをユーザーに作成することができます。

次の表は、ロールの管理に関係するすべての作業およびコマンドをまとめています。

表 3–4 ロール管理の早見表

作業 

コマンド構文 

「ロールを作成する」

create role role privilege privilege

「ロールを削除する」

delete role role

「ロールに権限を追加する」

add role role privilege privilege

「ロールから権限を削除する」

remove role role privilege privilege

「使用可能なロールを一覧表示する」

show role all

「ロールに追加されている権限を一覧表示する」

show role role

「ユーザーに追加されているロールを一覧表示する」

show user all

「使用可能な権限を一覧表示する」

show privilege all

Procedureロールを作成する

手順
  1. N1 System Manager にログインします。

    詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

  2. 1 つ以上の権限で新しいロールを作成します。


    N1-ok> create role role [description description] privilege privilege[,privilege...]

    詳細は、「create role」を参照してください。add role コマンドを使用し、後でロールに権限を追加することもできます。

Procedureロールを削除する

始める前に

ロールが 1 人でもユーザーに追加されている場合、ロールを削除することはできません。使用中のロールを削除しようとすると、エラーになります。ロールを削除するには、権限を持つユーザーがすべてのユーザーからそのロールを削除し、その後でロールそのものを削除する必要があります。

show role all コマンドを使用すると、有効なすべてのロールを一覧表示できます。

手順
  1. N1 System Manager にログインします。

    詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

  2. ロールを削除します。


    N1-ok> delete role role
    

    詳細は、「delete role」を参照してください。

Procedureロールに権限を追加する

始める前に

有効なすべての権限を一覧表示するには、show privileges all コマンドを使用します。

手順
  1. N1 System Manager にログインします。

    詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

  2. ロールに権限を追加します。


    N1-ok> add role role privilege privilege[,privilege]

    詳細は、「add role」を参照してください。


    ヒント –

    1 つのロールに権限の大部分を追加する場合は、 all オプションを使用してすべての権限を追加し、その後で remove role コマンドを使用して、不要な権限を削除します。


Procedureロールから権限を削除する

始める前に

ロールに追加されているすべての権限を一覧表示するには、show role role コマンドを使用します。

手順
  1. N1 System Manager にログインします。

    詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

  2. ロールから権限を削除します。


    N1-ok> remove role role privilege privilege
    

    詳細は、「remove role」を参照してください。

Procedure使用可能なロールを一覧表示する

手順
  1. N1 System Manager にログインします。

    詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

  2. 使用可能なロールを一覧表示します。


    N1-ok> show role all
    

Procedureロールに追加されている権限を一覧表示する

始める前に

show role all コマンドを使用すると、有効なすべてのロールを一覧表示できます。

手順
  1. N1 System Manager にログインします。

    詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

  2. ロールに追加されている権限を一覧表示します。


    N1-ok> show role role
    

    詳細は、「show role」を参照してください。


例 3–4 ロールに追加されている権限の一覧表示


N1-ok> show role SecurityAdmin

Name:       SecurityAdmin
Privileges: UserWrite, RoleWrite, RoleRead, PrivilegeRead, UserRead

Procedureユーザーに追加されているロールを一覧表示する

手順
  1. N1 System Manager にログインします。

    詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

  2. ユーザーに追加されているロールを一覧表示します。


    N1-ok> show user all
    

Procedure使用可能な権限を一覧表示する

手順
  1. N1 System Manager にログインします。

    詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。

  2. 使用可能な権限を一覧表示します。


    N1-ok> show privilege all