ユーザ、グループ、および役割の概要 (Sun Management Center 3.5 インストールと構成ガイド)

Sun Management Center 3.5 インストールと構成ガイド

ユーザ、グループ、および役割の概要

Sun Management Center のユーザとユーザグループを設定する前に、予想される管理作業の種類について理解する必要があります。これは、それらの作業を適切なユーザクラスに割り当てるためです。ユーザグループと役割を念入りに計画することで、構成を適切に管理するとともに、管理情報やシステムリソースのデータ整合性とセキュリティを実現しやすくなります。

あらかじめマスターアクセスファイル /var/opt/SUNWsymon/cfg/esusers で明示的に識別されていないかぎり、どのユーザも Sun Management Center にアクセスすることはできません。Sun Management Center に対するアクセス権を付与するには、そのユーザの UNIX ユーザ名を /var/opt/SUNWsymon/cfg/esusers に追加します。追加されたユーザは、標準の UNIX ユーザ名とパスワードを使用して Sun Management Center にログインできます。

ユーザがログインすると、次に示す機能上の役割に応じて Sun Management Center がアクセスを制御し、ユーザ権限を決定します。

Domain Administrator (ドメイン管理者) – この役割は、メンバーに対してサーバコンテキスト内にトップレベルのドメインを作成することやそれらのドメイン内のほかの Sun Management Center ユーザに権限を割り当てることなどを許可する最高レベルの役割です。ドメイン管理者は、特定のドメインを作成し、続いてそれらのドメインにユーザ権限を割り当てることによって特定のトポロジ環境のためのカスタマイズ構成を確立できます。esdomadm UNIX ユーザグループのメンバーである場合、そのユーザはドメイン管理者とみなされます。
Administrator (管理者) – この役割は、トポロジシステムの領域を超えるあらゆるオペレーションに対する管理用の役割です。管理者は、モジュールの読み込み、管理対象オブジェクトやデータプロパティの構成といった特権的な作業を実行できます。管理者は、エージェントレベルとモジュールレベルでアクセス制御を指定することもできます。このような制御が可能なことから、この役割はエンタイトルメント (権限付与) ポリシーを確立し維持する手段となります。esadm UNIX ユーザグループのメンバーである場合、そのユーザは管理者とみなされます。
Operator (オペレーター) – この役割を持つシステムユーザは、独自のドメインとトポロジコンテナを構成することができます。また、データ収集やアラームに関連して管理対象オブジェクトの設定を行なったり、管理情報を確認したりもできます。オペレーターは管理モジュールの有効化および無効化も行えますが、デフォルトではモジュールの読み込みとアクセス制御権の変更は行えません。このようなことから、オペレーターとは製品を効率良く使用したり処理を微調整したりはできるユーザクラスですが、主要な構成やアーキテクチャ上の変更はできないと言えます。esops UNIX ユーザグループのメンバーである場合、そのユーザはオペレーターとみなされます。
General user (一般ユーザ) – この役割は、上記の 3 つのグループに明示的に属していないユーザのためのものです。一般ユーザは広範な権限が与えられることがなく、デフォルトでは管理情報の表示と、アラームの確認応答ができるだけです。一般ユーザの役割は、問題の特定、修復、および引き継ぎを主要目標とする第 1 レベルのサポートに適しています。

大規模組織では、Sun Management Center セキュリティの役割が既存のシステム管理機能やサポート機能に直接割り当てられます。中小の組織では、企業職分と製品の役割の区分がさほど明瞭ではないためにプロセスが入り組んだものとなることがあります。場合によっては、1 人のユーザにすべての論理の役割を割り当てるという方法が認められることもあります。

注 –

権限の指定は柔軟に行え、Sun Management Center の 4 つのセキュリティの役割に限定する必要はありません。

Sun Management Center 権限は、ドメイン、トポロジコンテナ、エージェント、およびモジュールの各レベルで明示的に指定できます。権限指定では、任意の UNIX ユーザまたは UNIX グループを基準とし、上記のグループを慣例的に使用するだけに留めることができます。つまり、機能の役割を割り当てる際に Sun Management Center 権限グループに対して既存のアカウント構成を使用できます。権限を割り当てる場合に明示的なユーザを指定することはお勧めできませんが、UNIX グループがすでに確立されている環境では UNIX グループを使用すると便利な場合があります。

セキュリティの役割、グループ、ユーザなどの詳細は、ユーザの設定と『Sun Management Center 3.5 ユーザーガイド』の「Sun Management Center のセキュリティ」を参照してください。