N1 System Manager のユーザーセキュリティーの概要
ここでは、N1 System Manager のユーザーセキュリティーの設定と管理の方法について説明します。
N1 System Manager のユーザーの管理に使用される作業には次のようなものがあります。
N1 System Manager のロールの管理に使用される作業には次のようなものがあります。
N1 System Manager が提供するユーザーアカウントシステムにより、事前に定義された固定の権限セットを使って、ロールに基づいた主要機能 (コマンドおよびブラウザインタフェース領域) へのアクセスができます。「権限」は、ユーザーに対して、 OS ディストリビューションのインストールやジョブの削除などの N1 System Manager の操作を実行可能にする、事前定義されたアクセス権のセットです。「ロール」は、ユーザーがアクセス可能な権限のセットです。N1 System Manager にはシステムのデフォルトロールが 3 つありますが、必要に応じてカスタマイズしたロールを作成することもできます。
次の表は、N1 System Manager が提供するシステムのデフォルトロールをまとめています。これらシステムのデフォルトロールは、変更できません。
表 1–1 システムのデフォルトロール|
ロール |
権限 |
説明 |
|---|---|---|
|
Admin |
SecurityAdmin 権限を除くすべての権限。 |
このロールは、SecurityAdmin が提供するロール管理に必要なもの以外の、N1 System Manager で使用できるすべての権限を持ちます。 |
|
ReadOnly |
SecurityAdmin 権限を除くすべての読み取り専用 (*Read) 権限 |
このロールのユーザーは、N1 System Manager に関するステータス (読み取り専用) 情報のみ見ることができます。 |
|
SecurityAdmin |
RoleRead、RoleWrite、UserRead 、UserWrite、PrivilegeRead |
このロールは、ロールの作成や、ロールへの権限の追加、ユーザーへのロールの追加などの、ロールの管理に必要な権限のみ持ちます。 |
Sun N1 System Manager ソフトウェアをインストールすると、管理サーバーのスーパーユーザー (root) アカウントに 3 つのシステムデフォルトロールがすべて自動的に追加され、Admin ロールがアカウントのデフォルトロールに設定されます。
SecurityAdmin ロールを持つユーザー (セキュリティー管理者) は、組織での必要に応じて新しいロールを作成する権限を持ちます。この権限には、ロールに権限を追加する権限も含まれます。セキュリティー管理者は、ユーザーにロールを追加することもできます。
たとえば、ある特定のユーザーが行える操作を、プロビジョニング可能なサーバー上で OS アップデートの管理にだけ制限する必要があると仮定します。セキュリティー管理者は、OSUpdateAdmin とい新しいロールを作成し、そのロールに次の権限を追加することができます。GroupRead、JobRead、LogRead、ServerDeployUpdate、ServerRead、UpdateRead、UpdateWrite。権限の詳細は、表 1–2 を参照してください。このあと、セキュリティー管理者は作成したロールをそのユーザーに追加することになります。ユーザーに追加されたロールが OSUpdateAdmin のみの場合、そのユーザーは、OS アップデートの管理機能以外の、N1 System Manager のいかなる部分にもアクセスできません。
注 –
SecurityAdmin ロールのみを持つ root 以外のユーザーが、 SecurityAdmin ロール (変更不可) に新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加したりして、自身の権限セットを拡張することはできません。詳細は、「セキュリティー管理者の規則」を参照してください。
次の表は、ロールに追加可能な定義済み権限の一覧です。show privilege コマンドを使用すると、簡易形式でこの表を参照することができます。
表 1–2 N1 System Manager の権限|
コマンド |
必要な権限 |
|---|---|
|
add group |
GroupRead GroupWrite |
|
add osprofile |
OSProfileWrite |
|
add role |
RoleWrite |
|
add server |
ServerWrite |
|
connect server |
ServerConsole |
|
create firmware |
FirmwareWrite |
|
create group |
GroupRead GroupWrite |
|
create notification |
NotificationRuleRead NotificationRuleWrite |
|
create os |
OSWrite |
|
create osprofile |
OSProfileWrite |
|
create role |
RoleWrite |
|
create update |
UpdateRead UpdateWrite |
|
create user |
UserWrite |
|
delete firmware |
FirmwareRead FirmwareWrite |
|
delete group |
GroupRead GroupWrite |
|
delete job |
JobWrite |
|
delete notification |
NotificationRuleRead NotificationRuleWrite |
|
delete os |
OSWrite |
|
delete osprofile |
OSProfileWrite |
|
delete role |
RoleWrite |
|
delete server |
ServerWrite |
|
delete update |
UpdateRead UpdateWrite |
|
discover |
Discover JobRead |
|
load group |
GroupRead FirmwareRead FirmwareWrite ServerDeployFirmware ServerDeployOS ServerDeployUpdate UpdateRead |
|
load server |
FirmwareRead FirmwareWrite ServerDeployFirmware ServerDeployOS ServerDeployUpdate |
|
remove group |
GroupRead GroupWrite |
|
remove osprofile |
OSProfileWrite |
|
remove role |
RoleWrite |
|
set firmware |
FirmwareRead FirmwareWrite |
|
set group |
GroupRead GroupWrite |
|
set group group refresh |
ServerRead |
|
set notification |
NotificationRuleRead NotificationRuleTest NotificationRuleWrite |
|
set os |
OSWrite |
|
set osprofile |
OSProfileWrite |
|
set role |
RoleWrite |
|
set server |
ServerExecute |
|
set server server refresh |
ServerRead ServerWrite |
|
show firmware |
FirmwareRead |
|
show group |
GroupRead |
|
show job |
JobRead |
|
show log |
LogRead |
|
show notification |
NotificationRuleRead |
|
show privilege |
RoleRead |
|
show role |
RoleRead |
|
show os |
OSRead |
|
show osprofile |
OSProfileRead UpdateRead |
|
show server |
ServerRead |
|
show update |
UpdateRead |
|
show user |
UserRead |
|
start group |
ServerExecute ServerPower |
|
start notification |
NotificationRuleRead NotificationRuleTest |
|
start server |
ServerPower ServerExecute |
|
stop job |
JobWrite |
|
stop group |
ServerExecute ServerPower |
|
stop server |
ServerExecute ServerPower |
|
unload group |
GroupRead ServerDeployUpdate UpdateRead |
|
unload server |
ServerDeployUpdate UpdateRead |
これらのコマンドの詳細は、『Sun N1 System Manager 1.2 コマンド行レファレンスマニュアル』を参照してください。
セキュリティー管理者の規則
次のリストは、N1 System Manager セキュリティー管理者の重要な規則です。
-
セキュリティー管理者権限を root 以外の N1 System Manager のユーザーに付与するには、ユーザーに SecurityAdmin ロールだけを追加し、セキュリティー管理者権限のみを持つように設定すると安全です。そうしたユーザーが、SecurityAdmin ロール (変更不可) に新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加したりして、自身の権限セットを拡張することはできません。
-
セキュリティー管理者権限だけを持つ root ユーザーを設定してはいけません。
-
ユーザーが SecurityAdmin ロールとカスタムロールを持つ場合、そのユーザーがセキュリティー管理者権限のみ持つように設定してはいけません。これは、そうしたユーザーは、SecurityAdmin 権限を使用してカスタムロールに任意の権限を追加することが可能であり、このため、自身の権限セットを拡張することができるためです。
- © 2010, Oracle Corporation and/or its affiliates