Sun N1 System Manager 1.1 管理ガイド

N1 System Manager のユーザーセキュリティーの概要

ここでは、N1 System Manager のユーザーセキュリティーの設定と管理の方法について説明します。

N1 System Manager ユーザーの管理に使用される作業には次のようなものがあります。

N1 System Manager ロールの管理に使用される作業には次のようなものがあります。

N1 System Manager には、ロールに基づいて事前に定義された一定の組み合わせの権限を使って、その主要機能 (コマンドおよびブラウザインタフェース領域) にアクセスすることを可能にするユーザーアカウントシステムがあります。権限は、たとえば OS ディストリビューションやジョブの削除などのような作業を、N1 System Manager でユーザーが行うことができるようにする事前定義されたアクセス権のセットです。ロールは、ユーザーがアクセス権を持つ権限の組み合わせです。N1 System Manager にはシステムのデフォルトロールが 3 つありますが、必要に応じてカスタマイズしたロールを作成することもできます。

次の表は、N1 System Manager が提供するシステムのデフォルトロールをまとめています。これらシステムのデフォルトロールは、変更できません。

表 1–1 システムのデフォルトロール


ロール	権限	説明
`Admin`	`SecurityAdmin` 権限を除くすべての権限。	このロールは、`SecurityAdmin` が提供するロール管理に必要なもの以外の、N1 System Manager で使用できるすべての権限を持ちます。
`ReadOnly`	`SecurityAdmin` 権限を除くすべての読み取り専用 (*`Read`) 権限。	このロールのユーザーは、N1 System Manager に関するステータス (読み取り専用) 情報のみ見ることができます。
`SecurityAdmin`	`RoleRead`、`RoleWrite`、`UserRead`、`UserWrite`、`PrivilegeRead`	このロールは、ロールの作成や、ロールへの権限の追加、ユーザーへのロールの追加などの、ロールの管理に必要な権限のみ持ちます。

Sun N1 System Manager ソフトウェアをインストールすると、管理サーバーのスーパーユーザー (root) アカウントには、システムのデフォルトの 3 つのロールがすべて追加され、Admin ロールがアカウントのデフォルトロールに設定されます。

SecurityAdmin ロールを持つユーザー (セキュリティー管理者) は、組織での必要に応じて新しいロールを作成する権限を持ちます。この権限には、ロールに権限を追加する権限も含まれます。セキュリティー管理者は、ユーザーにロールを追加することもできます。

たとえば、ある特定のユーザーが行える操作を、プロビジョニング可能なサーバー上で OS アップデートの管理にだけ制限する必要があると仮定します。セキュリティ管理者は、OSUpdateAdmin という新しいロールを作成し、そのロールに次の権限を追加することができます。GroupRead、JobRead、LogRead、ServerDeployUpdate、ServerRead、UpdateRead 、UpdateWrite。権限についての詳細は、表 1–2を参照してください。この後、セキュリティ管理者は作成したロールをそのユーザーに追加することになります。そのユーザーに追加されたロールが OSUpdateAdmin のみの場合、ユーザーは、OS アップデートの管理機能以外の、N1 System Manager の他のいかなる部分にもアクセスできません。

注 –

SecurityAdmin ロールのみの root 以外のユーザーが、変更不可の SecurityAdmin ロールに新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加することによって、自身の権限セットを拡張することはできません。詳細は、「セキュリティ管理者の規則」を参照してください。

次の表は、ロールに追加可能な定義済み権限の一覧です。show privilege コマンドを使用すると、簡易形式でこの表を参照することができます。

表 1–2 N1 System Manager の権限


権限	説明	コマンド
`Discover`	サーバーの検出	`discover`
`FirmwareRead`	ファームウェアアップデートの一覧表示	`show firmware`
`FirmwareWrite`	ファームウェアアップデートの管理	`create firmware` `delete firmware` `set firmware`
`GroupRead`	サーバーグループの一覧表示	`show group`
`GroupWrite`	サーバーグループの管理	`create group` `delete group` `add group` `remove group` `set group`
`JobRead`	ジョブの一覧表示	`show job`
`JobWrite`	ジョブの削除または停止	`delete job` `stop job`
`LogRead`	イベントログの一覧表示	`show log`
`NotificationRuleRead`	通知規則の一覧表示	`show notification`
`NotificationRuleTest`	通知規則のテスト	`set notification notification test`
`NotificationRuleWrite`	通知規則の管理	`create notification` `delete notification` `set notification` `start notification` `stop notification`
`OSProfileRead`	OS プロファイルの一覧表示	`show osprofile`
`OSProfileWrite`	OS プロファイルの管理	`add osprofile` `remove osprofile` `create osprofile` `delete osprofile` `set osprofile`
`OSRead`	OS ディストリビューションの一覧表示	`show os`
`OSWrite`	OS ディストリビューションの管理	`create os` `delete os` `set os`
`PrivilegeRead`	権限の一覧表示	`show privilege`
`RoleRead`	ロールの一覧表示	`show role`
`RoleWrite`	ロールの管理	`create role` `delete role` `add role` `remove role` `set role`
`ServerBoot`	サーバーの再起動	`reset group` `reset server`
`ServerConsole`	サーバーのシリアルコンソールへの接続	`connect server`
`ServerDeployFirmware`	サーバーへのファームウェアのインストール	`load server server firmware` `load group group firmware`
`ServerDeployOS`	サーバーへの OS のインストール	`load server server osprofile` `load group group osprofile`
`ServerDeployUpdate`	サーバーへの OS アップデートのインストールまたはアンインストール	`load server server update` `load group group update` `unload server server update` `unload group group update`
`ServerExecute`	サーバーでのコマンドの実行	`start server server command` `start group group command`
`ServerPower`	サーバーの電源の投入および切断	`stop group` `stop server` `start group` `start server`
`ServerRead`	サーバーの一覧表示と再表示	`show server` `set group group refresh` `set server server refresh`
`ServerWrite`	サーバーおよび管理機能の管理	`add server` `server` `feature` `delete server`
`UpdateRead`	OS アップデートの一覧表示	`show update`
`UpdateWrite`	OS アップデートの追加および削除	`create update` `delete update`
`UserRead`	ユーザーの一覧表示	`show user`
`UserWrite`	ユーザーの管理	`create user` `delete user` `add user` `remove user` `set user`

これらのコマンドの詳細については、『Sun N1 System Manager 1.1 コマンド行レファレンスマニュアル』を参照してください。

セキュリティ管理者の規則

次の表は、N1 System Managerセキュリティー管理者の重要な規則です。

root 以外の N1 System Manager ユーザーに SecurityAdmin ロールだけを追加して、そのユーザーがセキュリティ管理者権限のみ持つようにすることは、問題なくできます。この場合、SecurityAdmin ロール (変更不可) に新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加することによって、そうしたユーザーが自身の権限セットを拡張することはできません。
セキュリティー管理権限だけを持つ root を設定することはできません。
ユーザーが SecurityAdmin ロールとカスタムロールを持つ場合、そのユーザーがセキュリティ管理者権限のみ持つように設定することもできません。これは、そうしたユーザーは、SecurityAdmin 権限を使用してカスタムロールに任意の権限を追加することが可能であり、このため、自身の権限セットを拡張することができるためです。