承認

接続が確立すると、WBEM サーバーは CIM クライアントとのそれ以降の操作におけるすべての承認検査について、認証されたユーザーまたは役割 ID を使用します。

WBEM は、次の機構により、2 種類の承認検査をサポートします。

• アクセス制御リスト (ACL)。これは、特定の名前空間について WBEM サーバーによって維持される

• RBAC 承認。これは Solaris OS の一部として構成される

WBEM がどの承認検査機構を使用するかは、MOF クラスプロバイダがどのように実装されているかに応じて決まります。WBEM が特定の MOF クラス操作で使用する承認検査は、次の要因によって決まります。

• WBEM が実行する操作

• MOF クラスの実装方法

Solaris_Acl.mof で定義されているクラスは、WBEM の ACL ベースのセキュリティを実装します。WBEM の ACL ベースのセキュリティは、Solaris WBEM サービスにデフォルトの承認スキーマを提供します。WBEM ベースのセキュリティは、特定の状況で、特定の CIM 操作セットに適用されます。ACL ベースのセキュリティは、Solaris WBEM サービスによって提供される固有の機能です。

WBEM サーバー上の特定の名前空間について ACL を確立するには、Sun WBEM ユーザーマネージャ (wbemadmin) を使用します。Sun WBEM ユーザーマネージャを使って、名前空間の ACL に、ユーザー名または役割名を追加できます。ユーザーごとに読み取り権や書き込み権を割り当てることもできます。Sun WBEM ユーザーマネージャについては、「Sun WBEM ユーザーマネージャを使ってアクセス制御を設定する」、および wbemadmin(1M) のマニュアルページを参照してください。

書き込み権のあるユーザーは、クラスのメタデータの変更、その名前空間にある MOF クラスのインスタンスの変更、およびインスタンスに対する呼び出しメソッドの発行が可能です。ローカル WBEM サーバーの root ユーザー ID には、いつでも、サーバー上の名前空間すべてに対する書き込み権が許可されます。明示的な ACL 項目のない、すべての認証されたユーザーには、デフォルトで読み取り権が許可されます。

MOF クラスのメタデータのアクセスを含む操作 (たとえば、getClass) は、WBEM の ACL を使用します。これらの操作では、認証されたユーザーに対し、この MOF クラスを含む名前空間の ACL によって許可されたアクセス権が検査されます。ACL 項目に RBAC の役割を設定することもできますが、ACL 項目はいつもユーザー ID に対して検査され、役割 ID に対しては検査されません。つまり、ACL に役割名を設定することはできますが、CIMOM は実行時にその役割名を検査しないということです。

MOF クラスのインスタンスが関係する操作には、WBEM ACL か RBAC 承認のいずれかの検査が含まれる可能性があります。

また、ユーザー、または役割 ID にアクセス権を許可して、プロバイダが RBAC 承認を使用している MOF クラスのインスタンスをそのユーザーがアクセスおよび変更できるようにすることもできます。これらのアクセス権を許可するには、Solaris 管理コンソールのユーザーツールに含まれる権利ツールを使用します。ユーザーへのアクセス権の許可については、『Solaris のシステム管理 (セキュリティサービス)』の「権利プロファイルを作成または変更する方法」を参照してください。

MOF クラスのインスタンスが WBEM の永続的なデータストアに格納されている場合、CIMOM は、その MOF クラスを含む名前空間についての WBEM ACL を検査します。MOF クラスプロバイダの実装は、次の条件下では、ほぼ確実に RBAC 承認検査を行います。

• MOF クラスプロバイダの実装がプロバイダのデータストアにアクセスする場合

• MOF クラスプロバイダの実装が Solaris OS のシステムデータにアクセスする場合

一般に、MOF クラス定義にプロバイダ修飾子が含まれている場合、プロバイダの実装は通常、RBAC 承認検査を行います。MOF クラス定義にプロバイダ修飾子が含まれていない場合、CIMOM は次のことを実行します。

• MOF クラスのインスタンスを WBEM の永続的なデータストアに格納する

• MOF クラスの名前空間へのアクセスを制御する ACL を検査して、アクセスが許可されていることを確認する