N1 System Manager のユーザーセキュリティの概要
N1 System Manager には、ロールに基づいて事前に定義された一定の組み合わせの権限を使って、その主要機能 (コマンドおよびブラウザインタフェース領域) にアクセスすることを可能にするユーザーアカウントシステムがあります。権限は、OS ディストリビューションのインストールやジョブの削除などの、N1 System Manager の定義済みの管理機能です。ロールは、ユーザーがアクセス権を持つ権限の組み合わせです。N1 System Manager にはデフォルトのロールが 3 つありますが、必要に応じてカスタマイズしたロールを作成することもできます。
次の表は、N1 System Manager が提供するデフォルトのロールをまとめています。これらデフォルトのロールは、変更できません。
表 3–1 デフォルトの N1 System Manager ルール|
ロール |
権限 |
説明 |
|---|---|---|
|
Admin |
SecurityAdmin 権限を除くすべての権限。 |
このロールは、SecurityAdmin が提供するロール管理に必要なもの以外の、N1 System Manager で使用できるすべての権限を持ちます。 |
|
ReadOnly |
SecurityAdmin 権限を除くすべての読み取り (*Read) 権限。 |
このロールのユーザーは、N1 System Manager に関するステータス (読み取り専用) 情報のみ見ることができます。 |
|
SecurityAdmin |
RoleRead、RoleWrite、UserRead 、UserWrite、PrivilegeRead |
このロールは、ロールの作成や、ロールへの権限の追加、ユーザーへのロールの追加などの、ロールの管理に必要な権限のみ持ちます。 |
Sun N1 System Manager ソフトウェアをインストールすると、管理サーバーのスーパーユーザー (root) には、デフォルトの 3 つの N1 System Manager ロールがすべて追加され、Admin ロールがデフォルトに設定されます。
SecurityAdmin ロールを持つユーザー (セキュリティ管理者) は、組織での必要に応じて新しいロールを作成する権限を持ちます。この権限には、ロールに権限を追加する権限も含まれます。また、ユーザーにロールを追加することもできます。
たとえば、ある特定のユーザーが行える操作を、プロビジョニング可能なサーバー上で OS アップデートの管理にだけ制限する必要があると仮定します。セキュリティ管理者は、OSUpdateAdmin とい新しいロールを作成し、そのロールに次の権限を追加することができます。GroupRead、JobRead、LogRead、ServerDeployUpdate、ServerRead、UpdateRead 、UpdateWrite 権限の詳細は、表 3–2 を参照してください。この後、セキュリティ管理者は作成したロールをそのユーザーに追加することになります。そのユーザーに追加されたロールが OSUpdateAdmin のみの場合、ユーザーは、OS アップデートの管理機能以外の、N1 System Manager の他のいかなる部分にもアクセスできません。
注 –
SecurityAdmin ロールのみの root 以外のユーザーが、変更不可の SecurityAdmin ロールに新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加することによって、自身の権限セットを拡張することはできません。 詳細は、「セキュリティ管理者のポリシー」を参照してください。
次の表は、ロールに追加可能な定義済み権限の一覧です。show privilege コマンドを使って、省略形式のこの一覧を表示することができます。
表 3–2 N1 System Manager の権限|
権限 |
説明 |
コマンド |
|---|---|---|
|
Discover |
サーバーの検出 |
discover |
|
FirmwareRead |
ファームウェアアップデートの一覧表示 |
show firmware |
|
FirmwareWrite |
ファームウェアアップデートの管理 |
create firmware delete firmware set firmware |
|
GroupRead |
サーバーグループの一覧表示 |
show group |
|
GroupWrite |
サーバーグループの管理 |
create group delete group add group remove group set group |
|
JobRead |
ジョブの一覧表示 |
show job |
|
JobWrite |
ジョブの削除または停止 |
delete job stop job |
|
LogRead |
イベントログの一覧表示 |
show log |
|
NotificationRuleRead |
通知規則の一覧表示 |
show notification |
|
NotificationRuleWrite |
通知規則の管理 |
create notification delete notification set notification start notification stop notification |
|
NotificationRuleTest |
通知規則のテスト |
set notification notification test |
|
OSProfileRead |
OS プロファイルの一覧表示 |
show osprofile |
|
OSProfileWrite |
OS プロファイルの管理 |
add osprofile remove osprofile create osprofile delete osprofile set osprofile |
|
OSRead |
OS ディストリビューションの一覧表示 |
show os |
|
OSWrite |
OS ディストリビューションの管理 |
create os delete os set os |
|
PrivilegeRead |
権限の一覧表示 |
show privilege |
|
RoleRead |
ロールの一覧表示 |
show role |
|
RoleWrite |
ロールの管理 |
create role delete role add role remove role set role |
|
ServerBoot |
サーバーの再起動 |
reset group reset server |
|
ServerDeployFirmware |
サーバーへのファームウェアのインストール |
load server server firmware load group group firmware |
|
ServerDeployOS |
サーバーへの OS のインストール |
load server server osprofile load group group osprofile |
|
ServerDeployUpdate |
サーバーへの OS アップデートのインストールまたはアンインストール |
load server server update load group group update unload server server update unload group group update |
|
ServerExecute |
サーバーでのコマンドの実行 |
start server server command start group group command |
|
ServerPower |
サーバーの電源の投入および切断 |
stop group stop server start group start server |
|
ServerRead |
サーバーの一覧表示と再表示 |
show server set group group refresh set server server refresh |
|
ServerWrite |
サーバーおよび管理エージェントの管理 |
set server delete server |
|
UpdateRead |
OS アップデートの一覧表示 |
show update |
|
UpdateWrite |
OS アップデートの追加および削除 |
create update delete update |
|
UserRead |
ユーザーの一覧表示 |
show user |
|
UserWrite |
ユーザーの管理 |
create user delete user add user remove user set user |
セキュリティ管理者のポリシー
root 以外の N1 System Manager ユーザーに SecurityAdmin ロールだけを追加して、そのユーザーがセキュリティ管理者権限のみ持つようにすることは、問題なくできます。この場合、SecurityAdmin ロール (変更不可) に新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加することによって、そうしたユーザーが自身の権限セットを拡張することはできません。
ただし、root ユーザーがセキュリティ管理者権限のみ持つように設定することはできません。これは、root ユーザーが、root アカウントにロールを追加することによってその権限セットを拡張できるためです。
また、ユーザーが SecurityAdmin ロールとカスタムロールを持つ場合、そのユーザーがセキュリティ管理者権限のみ持つように設定することもできません。これは、そうしたユーザーは、SecurityAdmin 権限を使用してカスタムロールに任意の権限を追加することが可能であり、このため、自身の権限セットを拡張することができるためです。
- © 2010, Oracle Corporation and/or its affiliates