Sun ONE Instant Messaging 6.1 |
第 4 章
Instant Messaging ポリシーおよびプレゼンスポリシーの管理Sun ONE Instant Messaging Server は、チャット、会議、調査、プレゼンスアクセスなど、さまざまな機能を提供します。ポリシーには、これらの機能に関する一連のアクセス制御権限を記述できます。一方、エンドユーザーおよびグループには、組織の要求に応じて特定のポリシーを割り当てることができます。
この章では、ポリシーを定義および使用することにより、Sun ONE Instant Messaging Server の機能と権限情報に対するエンドユーザーと管理者のアクセス権限を管理する方法について説明します。
Sun ONE Identity Server によるポリシー管理
エンドユーザーと管理者の権限を制御する方法Instant Messaging サービスに対する各種アクセス権限を、エンドユーザーに対して許可または制限することに関する要件は、Sun ONE Instant Messaging Server を使用するサイトごとにそれぞれ異なります。エンドユーザーと管理者の、Sun ONE Instant Messaging Server 機能と権限情報へのアクセスを制御する処理は、ポリシー管理と呼ばれます。ポリシーを管理するための方法は、2 つあります。アクセス制御ファイルを使う方法と、Sun ONE Identity Server を使う方法です。
アクセス制御ファイルによるポリシー管理の概要
アクセス制御ファイルによるポリシー管理では、ニュースチャネル管理、会議室管理、「ユーザー設定」ダイアログにおける設定変更、アラート送信の各領域における、エンドユーザーの権限を調整することができます。また、特定のエンドユーザーをシステム管理者として割り当てることもできます。
Sun ONE Identity Server によるポリシー管理の概要
Sun ONE Identity Server によるポリシー管理では、アクセス制御ファイルを使う方法と同じ権限を制御できますが、この方法ではさらに、アラートの受信、調査の送受信など、機能の制御をよりきめ細かく行えます。完全な一覧については、表 4-4 を参照してください。さらに、Sun ONE Identity Server によるポリシー管理では、権限の制御も、よりきめ細かく行えます。
ポリシーには、Instant Messaging ポリシーとプレゼンスポリシーの 2 種類があります。Instant Messaging ポリシーは、アラートの送受信、公開会議室やニュースチャネルの管理、ファイルの送信といった、一般的な Instant Messaging 機能に対する権限を制御します。プレゼンスポリシーは、エンドユーザーが自身のオンラインステータスを変更する権限や、他人がオンライン情報またはプレゼンス情報を表示するのを許可または拒否する権限を制御します。
ポリシー管理 : 使用する方法の選択
使用するポリシー管理方法を選択する際には、ポリシー情報の格納場所も同時に選択する必要があります。ポリシーの管理方法を選択するには、iim.conf ファイルを編集し、iim.policy.modules パラメータを設定します。Sun ONE Identity Server を使う方法の場合は identity を、アクセス制御ファイルを使う方法の場合は iim_ldap を、それぞれ設定します。なお、後者の方法は、デフォルトの方法でもあります。
LDAP 単独配備を使用する場合、つまり、Sun ONE Identity Server を使用しない場合は、アクセス制御ファイルによる方法を選択する必要があります。Sun ONE Identity Server と Sun ONE Instant Messaging Server を併用し、かつ Instant Messaging サービスおよびプレゼンスサービスのコンポーネントがインストールされている場合、いずれかのポリシー管理方法を選択できます。ただし、Sun ONE Identity Server によるポリシー管理のほうが、より包括的な方法です。この方法の利点の 1 つは、すべてのエンドユーザー情報をディレクトリ内に格納できる点です。
使用するポリシー管理方法を設定する際の具体的な手順を、以下に示します。
ポリシー設定パラメータ
表 4-1 は、Instant Messaging 配備において Sun ONE Identity Server が果たす役割の拡大に伴い、iim.conf ファイル内で新たに利用可能になったパラメータの一覧とその説明です。
アクセス制御ファイルによるポリシー管理アクセス制御ファイルを編集することで、次のエンドユーザー権限を制御できます。
デフォルトでは、ほかのエンドユーザーのプレゼンスステータスにアクセスする権限、エンドユーザーにアラートを送信する権限、およびプロパティをサーバー上に保存する権限が、エンドユーザーに与えられます。ほとんどの配備では、このデフォルト値を変更する必要はありません。
注
管理者は、特定の権限をグローバルに設定できますが、それらの権限に対する例外を定義することも可能です。たとえば、管理者は、選択されたエンドユーザーまたはグループに対して、特定のデフォルト権限を拒否することができます。
アクセス制御ファイルの格納場所は、次のとおりです。
表 4-2 は、Sun ONE Instant Messaging のグローバルアクセス制御ファイルとそれらのファイルがエンドユーザーに付与する権限を、一覧にまとめたものです。
アクセス制御ファイルの形式
アクセス制御ファイルには、権限を定義する一連のエントリが含まれます。各エントリは、次のいずれかのタグで始まります。
タグのあとにはコロン (:) を付けます。デフォルトタグでは、そのあとに true、false のいずれかを指定します。
エンドユーザータグ、グループタグでは、その後にエンドユーザー名、グループ名をそれぞれ指定します。
複数のエンドユーザーまたはグループを指定するには、それらの各エンドユーザー (u)、各グループ (g) をそれぞれ別々の行に記述します。
デフォルトエントリに true が設定された場合、ファイル内のその他のすべてのエントリは無視されます。デフォルトエントリに false が設定された場合、ファイル内に指定されたエンドユーザーとグループのみが、その特定の権限を持つことになります。
以下に示すのは、新規インストール時の、ACL ファイル内の d: タグ (デフォルトタグ) エントリです。
アクセス制御ファイルのサンプル
この節では、権限が設定されたアクセス制御ファイル (sysTopicsAdd.acl ファイル) のサンプルを示します。会議室レベルおよびニュースチャネルレベルのアクセス制御ファイル (つまり、roomname.acl および newschannel.acl) については、「会議室とニュースチャネルのアクセス制御」を参照してください。
sysTopicsAdd.acl ファイル
以下のサンプルでは、sysTopicsAdd.acl ファイルの d: タグ (デフォルトタグ) エントリは、false になっています。このため、ニュースチャネルを追加および削除する権限は、そのデフォルトよりも前に記述されたエンドユーザーとグループ、すなわち、user1、user2、および sales グループに対して付与されます。
エンドユーザーの権限の変更
エンドユーザーの権限を変更するには、次の手順を実行します。
Sun ONE Identity Server によるポリシー管理Sun ONE Identity Server の Instant Messaging サービスとプレゼンスサービスを使うと、エンドユーザーと管理者の権限を別の方法で制御できます。各サービスに備わる属性には、動的、ユーザー、ポリシーの 3 種類があります。ポリシー属性は、権限を設定するための属性です。
アイデンティティサーバー内に作成された特定のポリシーに、ほかのユーザーから調査メッセージを受信する権限など、Instant Messaging のさまざまな機能に対する権限を、管理者およびエンドユーザーに許可または拒否する規則を追加する際に、ポリシー属性はそれらの規則の一部となります。
Sun ONE Instant Messaging Server を Sun ONE Identity Server とともにインストールすると、サンプルのポリシーとロールがいくつか作成されます。ポリシーとロールの詳細については、『Sun ONE Identity Server Getting Started Guide』と『Sun ONE Identity Server 6.1 管理ガイド』を参照してください。
さらに、サンプルのポリシーに満足できなかった場合、新しいポリシーを作成し、それらをサイトの要求に応じて特定のロール、グループ、組織、またはエンドユーザーに割り当てることも可能です。
Instant Messaging サービスまたはプレゼンスサービスがエンドユーザーに割り当てられると、それらのエンドユーザーは、関連する動的属性とユーザー属性を取得します。動的属性は、Sun ONE Identity Server で設定された特定のロールまたは組織に割り当てることができます。
特定のロールをエンドユーザーに割り当てたり、組織内でエンドユーザーを作成したりすると、関連する動的属性がそのエンドユーザーの特性の一部となります。ユーザー属性は、各エンドユーザーに直接割り当てます。ユーザー属性は、ロールや組織から継承されるわけではないため、通常はエンドユーザーごとに異なります。
エンドユーザーはログオン時に、該当するすべての属性を取得します。なお、取得される属性は、そのユーザーに割り当てられているロールの種類やポリシーの適用方法に応じて異なります。
動的、ユーザー、ポリシーの各属性がエンドユーザーに関連付けられるのは、プレゼンスサービスと Instant Messaging サービスがそれらのエンドユーザーに割り当てられた後です。
Instant Messaging サービス属性
表 4-3 は、各サービスに含まれるポリシー属性、動的属性、ユーザー属性を一覧にまとめたものです。
アイデンティティサーバー管理コンソールでは、上表の各属性に対応するラベルが表示されます。以下の 2 つの表は、属性、対応するラベル、簡単な説明を一覧にまとめたものです。表 4-4 はポリシー属性の一覧とその説明、表 4-5 は動的属性およびユーザー属性の一覧とその説明です。
属性の直接変更
エンドユーザーは、Sun ONE Identity Server の管理コンソールにログインし、Instant Messaging サービスとプレゼンスサービスの各属性値を参照できます。属性が変更可能として定義されていた場合、エンドユーザーはそれらの属性を変更できます。ただし、デフォルトでは、Instant Messaging サービス内の属性はすべて変更不可能になっており、エンドユーザーにそれらの変更を許可することも、あまりお勧めできません。とはいえ、システム管理の観点から、属性の直接操作が有用である場合もあります。
たとえば、「参加する会議室」など、いくつかのシステム属性ではロールの影響は存在しないため、システム管理者は、それらの属性の値を変更する際に、ほかのエンドユーザー (の会議名簿など) からそれらの属性をコピーしたり、それらの属性を直接変更したりします。これらの属性の一覧を、表 4-5 に示します。
表 4-5 を見ると、ユーザー属性は、エンドユーザーが Sun ONE Identity Server 管理コンソールを使って設定できます。動的属性は、管理者によって設定されます。動的属性に設定された値は、対応するユーザー属性の値を上書きするか、その値とマージされます。
対応する動的属性とユーザー属性の性質により、競合もしくは補完し合う情報がどのように解決されるかが決まります。たとえば、「参加する会議室」の 2 つのソース (動的属性およびユーザー属性) は互いに補完し合う関係にあるため、両者の情報はマージされます。いずれの属性も他方を上書きしません。
Instant Messaging ポリシーとプレゼンスポリシーの事前定義サンプル
表 4-6 は、Instant Messaging サービスコンポーネントのインストール時に Sun ONE Identity Server 内に作成される、7 つのサンプルポリシーと 7 つのサンプルロール、およびその説明を一覧にまとめたものです。各エンドユーザーには、付与すべきアクセス権限に応じたロールを追加できます。
典型的なサイトでは、ロール「IM Regular User」(デフォルトの Instant Messaging アクセス権とプレゼンスアクセス権を取得するロール) を、Instant Messaging ポリシー管理の責務を負わない、Instant Messengerを単に使用するだけのエンドユーザーに割り当てます。また、その同じサイトで、ロール「IM Administrator」 (Instant Messaging サービスとプレゼンスサービスの管理権限が関連付けられたロール) を、Instant Messaging ポリシー管理に対して完全な責務を負うエンドユーザーに割り当てます。表 4-7 は、ポリシー属性のデフォルトの権限割り当て一覧です。あるアクションがある規則内で選択されていない場合、この表の値 「許可」や「許可しない」は意味を持ちません。というのも、そのポリシーはその属性に影響しないからです。
表 4-7 デフォルトポリシーの割り当て
ポリシー
属性
許可
許可
許可
許可
許可
許可
許可
許可しない
許可
許可
許可しない
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可しない
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可
許可
新しい Instant Messaging ポリシーの作成
サイトの特定の要求に応じて、新しいポリシーを作成できます。
新しいポリシーを作成するには、次の手順を実行します。
- Sun ONE Identity Server の管理コンソール (http://hostname:port/amconsole、たとえば http://imserver.company22.example.com:80/amconsole) にログオンします。
- 「アイデンティティ管理」タブが選択された状態で、ナビゲーション区画 (左下のフレーム) にある「表示」ドロップダウンリストから「ポリシー」を選択します。
- 「新規」をクリックします。データ区画 (右下のフレーム) に「新規ポリシー」ページが表示されます。
- 「ポリシータイプ」で「標準」を選択します。
- 「名前」フィールドにポリシーの説明 (「Ability to Perform IM Task」など) を入力します。
- 「作成」をクリックします。ナビゲーション区画のポリシー一覧に新しいポリシーの名前が表示され、データ区画のページが、新しいポリシーに対する「編集」ページに変わります。
- 「編集」ページの「表示」ドロップダウンリストから「ルール」を選択します。「編集」ページ内に「ルール名、サービス、リソース」パネルが表示されます。
- 「追加」をクリックします。「ルールを追加」ページが表示されます。
- 適用するサービス (「Instant Messaging サービス」、「Presence サービス」のいずれか) を選択します。
各サービスでは、エンドユーザーが特定のアクションを実行するのを許可または拒否できます。たとえば、「チャット」は Instant Messaging サービスに固有のアクションであり、「他人の Presence にアクセス」はプレゼンスサービスに固有のアクションです。
- 「ルール名」フィールドに規則の説明 (「Rule 1」など) を入力します。
- 「リソース名」に適切な値 (IMResource、PresenceResource のいずれか) を入力します。
- 「アクション」で適用するアクションを選択します。
- 「値」で各アクションの値 (「許可」、「許可しない」のいずれか) を選択します。
- 「作成」をクリックします。この規則案が、そのポリシーの保存規則一覧に表示されます。
- 「保存」をクリックします。この規則案が保存規則になります。
- そのポリシーに適用するすべての規則を作成し終えるまで、手順 8 〜 15 を繰り返します。新しい規則を作成するたびに、「保存」をクリックして変更内容をポリシーに保存してください。
ロール、グループ、組織、ユーザーへのポリシーの割り当て
ロール、グループ、組織、またはユーザーには、ポリシー (デフォルトの Instant Messaging ポリシーまたは Instant Messaging のインストール後に作成された Instant Messaging ポリシー) を割り当てることができます。
特定のポリシーを割り当てるには、次の手順を実行します。
- Sun ONE Identity Server の管理コンソール (http://hostname:port/amconsole、たとえば http://imserver.company22.example.com:80/amconsole) にログオンします。
- 「アイデンティティ管理」タブが選択された状態で、ナビゲーション区画 (左下のフレーム) にある「表示」ドロップダウンリストから「ポリシー」を選択します。
- 割り当てるポリシーの名前の横にある矢印をクリックします。そのポリシーに対する「編集」ページが、データ区画 (右下のフレーム) に表示されます。
- 「編集」ページの「表示」ドロップダウンリストから「サブジェクト」を選択します。
- 「追加」をクリックします。「サブジェクトを追加」ページが表示されます。このページには、次の利用可能なサブジェクトタイプが一覧表示されます。
- このポリシーに合うサブジェクトタイプ (「組織」など) を選択します。
- 「次へ」をクリックします。
- 「名前」フィールドで、サブジェクトの説明を入力します。
- 必要であれば、「排他的」チェックボックスをオンにします。
「排他的」チェックボックスは、デフォルトでオフになっています。これは、このサブジェクトのすべてのメンバーにポリシーが適用されることを意味しています。
「排他的」チェックボックスをオンにすると、このサブジェクトのメンバー以外のすべてのユーザーにポリシーが適用されます。
- 「利用可能」フィールドで、このサブジェクトに追加するエントリを検索します。
- 「作成」をクリックします。このサブジェクト案が、そのポリシーの保存サブジェクト一覧に表示されます。
- 「保存」をクリックします。このサブジェクト案が保存サブジェクトになります。
- このポリシーに追加するすべてのサブジェクトを作成し終えるまで、手順 5 〜 12 を繰り返します。新しいサブジェクトを作成するたびに、「保存」をクリックして変更内容をポリシーに保存してください。
アイデンティティサーバーによる新しいサブ組織の作成
Sun ONE Identity Server のサブ組織作成機能を使うと、組織的に独立した複数のユーザー群を、Sun ONE Instant Messaging Server 内に作成することができます。各サブ組織は、個別の DNS ドメインにマッピングすることが可能です。サブ組織内のエンドユーザーは、ほかのサブ組織内のエンドユーザーから完全に隔離されます。Instant Messaging の新しいサブ組織を作成するための最小限の手順を、以下に示します。
新しいサブ組織を作成するには、次の手順を実行します。
- Sun ONE Identity Server の管理コンソール (http://hostname:port/amconsole、たとえば http://imserver.company22.example.com:80/amconsole) にログオンします。
- 新しい組織を作成します。
- 新しく作成されたサブ組織のサービスを登録します。
- 新しく選択されたサービスのサービステンプレートを作成します。
- ナビゲーション区画で、特定のサービスのプロパティ矢印をクリックします。まずは、「コア」サービスから始めます。
データ区画に「サービステンプレートの作成」ページが表示されます。.
- データ区画で「作成」をクリックします。すると、「サービステンプレートの作成」ページに代わって、選択したサービスのテンプレートオプションを含むページが表示されます。
テンプレートオプションを変更しない場合でも、個々のサービスごとに「作成」をクリックする必要があります。
- 以下の手順に従って、各サービスのサービステンプレートのオプションを変更します。
- コア : 通常の場合、オプションを変更する必要はありません。そのまま手順 d に進んでください。
- LDAP : 手順 d に進む前に、次の手順を実行します。
- 新しいサブ組織のプレフィックスを、「ユーザー検索の開始 DN」フィールドに追加します。プレフィックス追加後の最終的な DN の形式は、次のようになります。
o=sub1,dc=company22,dc=example,dc=com
- 「root ユーザーバインドパスワード」、「root ユーザーバインドパスワード (確認)」の各フィールドに、LDAP パスワードを入力します。
- Instant Messaging サービス : 通常の場合、オプションを変更する必要はありません。そのまま手順 d に進んでください。
- Presence サービス : エンドユーザーのプレゼンス情報をほかのユーザーがデフォルトで利用できるようにしたい場合 (そのようにしたいサイトが多い)、「デフォルト Presence 表示」チェックボックスをオンにしたあとで、手順 d に進みます。
- 「保存」をクリックします。
- すべてのサービスのサービステンプレートを作成し終わるまで、手順 a 〜 d を繰り返します。
追加したエンドユーザーへのロールの割り当て
サブ組織内に新しいエンドユーザーを作成し終わったら、次にそれらのエンドユーザーにロールを割り当てる必要があります。ロールは親組織から継承できます。その方法を以下で説明します。
追加したエンドユーザーへロールを割り当てるには、次の手順を実行します。
- 親組織に移動し、「表示」ドロップダウンリストから「ロール」を選択します。具体的な手順は、次のとおりです。
- 割り当てるロールの右側にあるプロパティ矢印をクリックします。そのロールに対するページが、データ区画 (右下のフレーム) に表示されます。
- データ区画の「表示」ドロップダウンリストから「ユーザー」を選択します。
- 「追加」をクリックします。「ユーザーを追加」ページが表示されます。
- ユーザーを特定するための検索パターンを入力します。たとえば、「UserId」フィールドにアスタリスク「*」を入力すると、すべてのユーザーが一覧表示されます。
- 「フィルタ」をクリックします。「ユーザーを選択」ページが表示されます。
- 「ユーザーを選択」ページで親パスを表示します。
- このロールを割り当てるユーザーを選択します。
- 「送信」をクリックします。
Sun ONE Instant Messaging 6.0 サーバーの Instant Messaging サービスからの移行移行しない場合
ユーザーのサイトで、Sun ONE Instant Messaging 6.0 サーバーと Sun ONE Identity Server 5.1 ソフトウェアを併用して Instant Messaging サービスが配備されていた場合、Sun ONE Instant Messaging 6.1 ソフトウェアはそれらの古い属性を尊重します。sunIMAllowFileTransfer や sunIMEnableModerator などといった Sun ONE Instant Messaging 6.0 サーバーのポリシー属性は、Sun ONE Instant Messaging 6.1 サーバーで設定された同じポリシー属性を上書きします。
移行する場合
ただし、2 つの Instant Messaging サービス間の相違点をより好ましいかたちで解決するには、Sun ONE Instant Messaging 6.0 ソフトウェアの Instant Messaging サービスから移行し、Sun ONE Instant Messaging 6.1 ソフトウェアの Instant Messaging サービスとプレゼンスサービスを使用する Sun ONE Identity Server ポリシーを、変更または作成する必要があります。新しいポリシーを定義する際には、古いポリシーと同等のアクセス制御をサイトに対して提供できるように配慮する必要があります。
たとえば、「Default Instant Messaging and presence access」ポリシー内の特定の規則を変更して各ポリシー属性の動作 (「許可」、「許可しない」のいずれか) を設定することで、そのポリシーの動作が、Sun ONE Instant Messaging 6.0 サーバーの場合と同じになるようにします。または、以前と同じ動作を実現する規則を含んだ、新しいポリシーを作成します。
アクセス制御ファイルの移行
ユーザーのサイトで、以前のバージョン (6.0 以前) の Sun ONE Instant Messaging Server が使用されており、かつ Instant Messaging サービスが使われていなかった場合、つまり、エンドユーザーの権限が、Sun ONE Identity Server によるポリシー管理を通じて設定されておらず、アクセス制御ファイルを編集することで設定されていた場合、アクセス制御ファイル内に設定されたポリシー情報に基づいて Sun ONE Identity Server ポリシーを作成できますが、それには次の 2 つの方法があります。
アクセス制御ファイル情報の手動移行
この方法の概要手順を、以下に示します。
- 各アクセス制御ファイルを開きます (一度に 1 つずつ)。たとえば、sysTopicsAdd.acl、sysRoomsAdd.acl などです。
アクセス制御ファイルの格納場所や記述形式の詳細については、「アクセス制御ファイルによるポリシー管理」を参照してください。
- 各ファイル内で、デフォルト行の値を読み取ります。デフォルト行では、文字「d」の後にコロンが続いています (d:)。
- Sun ONE Identity Server 管理コンソールの「Default Instant Messaging and presence access」ポリシー内で、アクセス制御ファイルから読み取ったデフォルト値と同じ値を、特定の規則に設定します。
- 通常の Instant Messaging エンドユーザーのすべてに、ロール「IM Regular User」を割り当てます。
- これらのアクセス制御ファイル内に記述されたエンドユーザー (会議室やニュースチャネルの管理権限など、さまざまな権限を持つユーザー) を、それらの権限を備えた対応するロールに追加します。各デフォルトポリシーが適用されるロールについては、表 4-6 を参照してください。
アクセス制御ファイル情報の自動移行
アクセス制御ファイル内の情報を手作業で移し替える代わりに、それらの情報をコマンドを使って一括移行することもできます。
次のコマンドを入力します。
imadmin migrate
このコマンドを実行すると、グローバルアクセス制御ファイル内の情報が、対応するポリシーとその関連サブジェクトへと転送されます。グローバルアクセス制御ファイルとポリシー間のマッピング一覧については、表 4-8 を参照してください。
Sun ONE Instant Messenger 設定の移行
Sun ONE Instant Messaging 6.1 サーバーでは、iim.conf ファイルのパラメータ iim.userprops.store が ldap に設定されていると、Sun ONE Instant Messenger のエンドユーザー設定が、sunIMUserProperties ユーザー属性に格納されます。
ユーザーのサイト上で、以前のバージョンの Sun ONE Instant Messaging Server が使用されており、かつ Sun ONE Instant Messenger 設定が user.properties ファイルに格納されていた場合、Sun ONE Instant Messaging 6.1 サーバーのインストール完了後、エンドユーザーがサーバーにログオンする際に、その古い設定が sunIMUserProperties ユーザー属性へと自動的に移行されます。ただし、そうした処理が実行されるのは、iim.conf ファイル内の iim.userprops.store パラメータが ldap に設定されている場合だけです。
あるエンドユーザーが初めて Sun ONE Instant Messaging 6.1 サーバーにログオンする際、サーバーは、sunIMUserProperties ユーザー属性が存在するかどうか、存在している場合はそのエンドユーザーの設定が格納されているかを確認します。そのエンドユーザーの設定がそこに見つからなかった場合、サーバーは、そのエンドユーザーに対する user.properties ファイルが存在するかどうかを確認します。そのような user.properties ファイルが存在する場合、サーバーは、そのファイル内の情報を sunIMUserProperties ユーザー属性へと転送します。一方、そのような user.properties ファイルが存在しない場合は、デフォルトの Sun ONE Instant Messenger 設定が、そのエンドユーザーの sunIMUserProperties ユーザー属性値として設定されます。