第 17 章 Instant Messaging ポリシーおよび Presence ポリシーの管理
Instant Messaging は、チャット、会議、調査、Presence アクセスなど、さまざまな機能を提供します。ポリシーには、これらの機能に関する一連のアクセス制御権限を記述できます。一方、エンドユーザーおよびグループには、組織の要求に応じて特定のポリシーを割り当てることができます。
この章では、Instant Messaging サーバーの機能と権限情報に対するエンドユーザーと管理者のアクセスを管理するための、ポリシーの定義方法と使用方法について説明します。
プライバシ、セキュリティー、およびサイトポリシーの概要
Instant Messaging は、Instant Messaging 機能へのアクセスを制御する機能と、エンドユーザーのプライバシを保護する機能を備えています。
サイトポリシー
サイトポリシーは、Instant Messaging の特定機能に対するエンドユーザーのアクセス権を指定します。サイトポリシーで指定する権限は次のとおりです。
-
ほかのエンドユーザーの Presence ステータスにアクセスする権限
-
ほかのエンドユーザーにアラートを送信する権限
-
プロパティーをサーバー上に保存する権限
-
会議室を作成および管理する権限
-
ニュースチャネルを作成および管理する権限
Instant Messaging 管理者は、すべての Instant Messaging 機能にアクセスできます。管理者は、すべての会議室とニュースチャネルに対する 管理アクセス権を持っており、任意のエンドユーザーの Presence 情報を表示でき、任意のエンドユーザーのプロパティー (連絡先一覧や Instant Messenger 設定など) を表示および変更できます。サイトポリシーの設定は、管理者権限にはまったく影響しません。
エンドユーザーにはデフォルトで、ほかのエンドユーザーの Presence ステータスにアクセスする権限、ほかのエンドユーザーにアラートを送信する権限、およびプロパティーをサーバー上に保存する権限が与えられます。ほとんどの配備では、このデフォルト値は変更されません。このデフォルト値を変更する必要があるのは、Instant Messaging をポップアップ機能専用として使う場合です。
Instant Messaging をポップアップ機能専用として使う場合、エンドユーザーには Presence 情報、チャット機能、およびニュース機能に対するアクセス権限が付与されません。
注 –
管理者は、特定の権限をグローバルに設定できますが、それらの権限に対する例外を定義することも可能です。たとえば、管理者は、選択されたエンドユーザー、ロール、またはグループに対して、特定のデフォルト権限を拒否することができます。
会議室とニュースチャネルのアクセス制御
会議室とニュースチャネルに対してエンドユーザーが持つことのできるアクセス権限は、次のとおりです。
-
管理: 完全なアクセス権限 (会議室またはニュースチャネルに対するほかのエンドユーザーの権限を設定する権限も含む)
-
書き込み: 会議室またはニュースチャネルにコンテンツを追加する権限
-
読み取り: 会議室またはニュースチャネルのコンテンツを読み取る権限
-
なし: アクセス権限なし
管理権限を持つエンドユーザーは、すべてのエンドユーザーに対するデフォルトの権限レベルを設定できます。また、そうしたエンドユーザーは、特定のエンドユーザーやグループに対してデフォルトとは異なるアクセスレベル権限を付与する例外規則を定義することもできます。
注 –
書き込み権限が設定されたエンドユーザーには、読み取り権限も付与されます。
ユーザーのプライバシ
エンドユーザーは、自身の Presence ステータスをほかのエンドユーザーに公開するかどうかを指定できます。デフォルトでは、すべてのエンドユーザーが、ほかのすべてのエンドユーザーの Presence 情報にアクセスできます。また、エンドユーザーは、特定のエンドユーザーやグループからのアクセスを拒否する例外を設定することもできます。
あるエンドユーザーが自身の Presence ステータスにほかのエンドユーザーがアクセスするのを拒否した場合、ほかのエンドユーザーの連絡先一覧で、そのエンドユーザーのステータスはオフラインとして表示されます。Presence ステータスがオフラインになっているエンドユーザーには、アラートやチャットへの参加依頼を送信できません。
ユーザーのプライバシを設定するには、Instant Messenger の「ユーザー設定」ウィンドウを使います。ユーザーのプライバシを設定する方法の詳細は、「Instant Messenger オンラインヘルプ」を参照してください。
エンドユーザーと管理者の権限を制御する方法
Instant Messaging サービスに対する各種アクセス権限を、エンドユーザーに対して許可または制限することに関する要件は、Instant Messaging サーバーを使用するサイトごとにそれぞれ異なります。エンドユーザーと管理者の、Instant Messaging サーバー機能と権限情報へのアクセスを制御する処理は、ポリシー管理と呼ばれます。ポリシーを管理するための方法は、2 つあります。アクセス制御ファイルを使う方法と、Sun JavaTM System Access Manager を使う方法です。
-
「アクセス制御ファイルによるポリシー管理」 - アクセス制御ファイルによるポリシー管理では、ニュースチャネル管理、会議室管理、「ユーザー設定」ダイアログでの設定変更、アラート送信の各領域におけるエンドユーザーの権限を調整できます。また、特定のエンドユーザーをシステム管理者として割り当てることもできます。
-
「Sun Java System Access Manager によるポリシーの管理」 - アクセス制御ファイルを使う方法と同じ権限を制御できますが、この方法ではさらに、アラートの受信、調査の送受信など、各種の機能をよりきめ細かく制御できます。完全な一覧については、表 17–3 を参照してください。さらに、Sun Java System Access Manager によるポリシー管理では、権限の制御もよりきめ細かく行えます。
ポリシーには、Instant Messaging ポリシーと Presence ポリシーの 2 種類があります。Instant Messaging ポリシーは、アラートの送受信、公開会議室やニュースチャネルの管理、ファイルの送信といった、一般的な Instant Messaging 機能に対する権限を制御します。Presence ポリシーは、エンドユーザーが自身のオンラインステータスを変更する権限や、他人がオンライン情報または Presence 情報を表示するのを許可または拒否する権限を制御します。
配備に Sun Java System Access Manager が使用されていない場合、アクセス制御ファイルによる方法を使ってポリシーを管理する必要があります。Sun Java System Access Manager と Instant Messaging サーバー併用し、Instant Messaging サービスコンポーネントと Presence サービスコンポーネントがインストールされている場合、いずれかのポリシー管理方法を使用できます。Sun Java System Access Manager を使用するポリシー管理のほうが、より包括的な方法です。この方法の利点の 1 つは、すべてのエンドユーザー情報をディレクトリ内に格納できる点です。
ポリシー管理方法の設定
使用するポリシー管理方法を選択する際には、ポリシー情報の格納場所も同時に選択する必要があります。ポリシーの管理方法を選択するには、iim.conf ファイルを編集し、iim.policy.modules パラメータを設定します。Access Manager を使用する場合は identity を、アクセス制御ファイルを使用する場合は iim_ldap をそれぞれ設定します。後者の方法はデフォルトの方法でもあります。
ポリシーの管理に使用する方法を設定するには、次の手順に従います。
ポリシー管理方法を設定する
-
iim.conf を開きます。
iim.conf の場所、およびこのファイルに変更を加える手順については、「iim.conf ファイルの構文」を参照してください。
-
iim.policy.modules パラメータを編集します。具体的には、次のいずれかを設定します。
-
iim_ldap (デフォルト、アクセス制御ファイルによる方法)
-
identity (Access Manager による方法)
identity を選択する場合、imadmin assign_services を実行して、Instant Messaging サービスおよび Presence サービスを既存のユーザーに割り当てることができます。
-
-
iim.userprops.store パラメータを編集します。具体的には、次のいずれかを設定します。
-
ldap (ユーザープロパティーを LDAP に格納する場合)
ldap を選択する場合、imadmin assign_services を実行して、ユーザープロパティーを格納する必要なオブジェクトクラスをディレクトリ内のユーザーエントリに追加できます。
-
file (デフォルト、ユーザープロパティーをファイル内に格納する場合)
-
-
iim.conf を保存して閉じます。
-
設定を更新します。
ポリシー設定パラメータ
表 17–1 は、Instant Messaging 配備において Sun Java System Access Manager が果たす役割の拡大に伴い、iim.conf ファイル内で利用可能になったパラメータの一覧とその説明です。
表 17–1 iim.conf における Access Manager 関連のパラメータ|
パラメータ名 |
使用法 |
値 |
|---|---|---|
|
iim.policy.modules |
ポリシーの格納に Sun Java System Access Manager とディレクトリのどちらを使用するかを示します。 |
iim_ldap (デフォルト) identity |
|
iim.userprops.store |
ユーザープロパティーをユーザープロパティーファイルまたは LDAP のどちらに格納するかを示します。このパラメータが重要なのは、Presence サービスおよび Instant Messaging サービスのサービス定義がインストールされている場合だけです。 |
file (configure ユーティリティーの実行時に、ポリシーに対して Sun Java System Access Manager を使用しないことを選択した場合のデフォルト) ldap (configure ユーティリティーの実行時に、ポリシーに対して Sun Java System Access Manager を使用することを選択した場合のデフォルト) |
アクセス制御ファイルによるポリシー管理
アクセス制御ファイルを編集することで、次のエンドユーザー権限を制御できます。
-
ほかのエンドユーザーの Presence ステータスにアクセスする権限
-
ほかのエンドユーザーにアラートを送信する権限
-
プロパティーをサーバー上に保存する権限
-
新しい会議室を作成する権限
-
新しいニュースチャネルを作成する権限
デフォルトでは、ほかのエンドユーザーの Presence ステータスにアクセスする権限、エンドユーザーにアラートを送信する権限、およびプロパティーをサーバー上に保存する権限が、エンドユーザーに与えられます。ほとんどの配備では、このデフォルト値を変更する必要はありません。
管理者は、特定の権限をグローバルに設定できますが、それらの権限に対する例外を定義することも可能です。たとえば、管理者は、選択されたエンドユーザーまたはグループに対して、特定のデフォルト権限を拒否することができます。
また、配備内でアクセス制御ファイルを使用してポリシーを適用している場合、これらのファイルはサーバープール内のすべてのサーバーで同じである必要があります。
表 17–2 は、Instant Messaging のグローバルアクセス制御ファイルとそれらのファイルがエンドユーザーに付与する権限の一覧です。
表 17–2 アクセス制御ファイル|
アクセス制御ファイル |
権限 |
|---|---|
|
sysSaveUserSettings.acl |
自身の設定を変更できる (できない) ユーザーを定義します。この権限を持たないユーザーは、連絡先の追加や会議室の作成などを行うことができません。 |
|
sysTopicsAdd.acl |
ニュースチャネルを作成できる (できない) ユーザーを定義します。 |
|
sysRoomsAdd.acl |
会議室を作成できる (できない) ユーザーを定義します。 |
|
sysSendAlerts.acl |
アラートを送信できる (できない) ユーザーを定義します。sysSendAlerts を無効にすると調査も無効になります。 |
|
sysWatch.acl |
ほかのエンドユーザーの変更を監視できる (できない) ユーザーを定義します。この権限を持たないエンドユーザーの Instant Messenger のウィンドウには、会議室とニュースチャネルへの登録と登録解除を行うためのメニューだけが表示されます。 |
|
sysAdmin.acl |
管理者専用に予約されています。このファイルでは、すべてのエンドユーザーを対象に、すべての Instant Messaging 機能に対する管理特権を設定します。この権限はほかのすべての権限よりも優先されます。また、会議室とニュースチャネルを作成および管理できる権限に加えて、エンドユーザーの Presence 情報、設定、およびプロパティーにアクセスできる権限を管理者に与えます。 |
アクセス制御ファイルでエンドユーザーの権限を変更する
-
im-cfg-base/acls ディレクトリに移動します。
im-cfg-base の場所については、「Instant Messaging サーバーのディレクトリ構造」を参照してください。
-
目的のアクセス制御ファイルを編集します。
たとえば、次のようになります。
vi sysTopicsAdd.acl
アクセス制御ファイルの一覧については、表 17–2 を参照してください。
-
変更を保存します。
-
変更を反映するには、エンドユーザーが Instant Messenger のウィンドウを更新する必要があります。
サーバープールでのアクセス制御ファイルの使用
配備内でアクセス制御ファイルを使用してポリシーを適用している場合、ファイルの内容がサーバープール内のすべてのサーバーで同じである必要があります。このためには、1 台のサーバーから、プール内のその他のノードのそれぞれにファイルをコピーするようにします。これらのファイルの場所については、「アクセス制御ファイルの場所」を参照してください。
アクセス制御ファイルの場所
アクセス制御ファイルの格納場所は、im-cfg-base/acls です。im-cfg-base は設定ディレクトリです。設定ディレクトリのデフォルトの場所については、「Instant Messaging サーバーのディレクトリ構造」を参照してください。
アクセス制御ファイルの形式
アクセス制御ファイルには、権限を定義する一連のエントリが含まれます。各エントリは、次のいずれかのタグで始まります。
-
d: - デフォルト
-
u: - ユーザー
-
g: - グループ
タグのあとにはコロン (:) を付けます。デフォルトタグでは、そのあとに true、false のいずれかを指定します。
エンドユーザータグ、グループタグでは、そのあとにエンドユーザー名、グループ名をそれぞれ指定します。
複数のエンドユーザーまたはグループを指定するには、それらの各エンドユーザー (u)、各グループ (g) をそれぞれ別々の行に記述します。
d: タグで始まるエントリは、アクセス制御ファイルの最後のエントリでなければなりません。d: タグで始まるエントリのあとに存在するエントリは、すべてサーバーによって無視されます。d: タグが true の場合、ファイル内のほかのすべてのエントリは冗長であり無視されます。アクセス制御ファイル内で d: タグを true に設定した場合、特定のエンドユーザーがその権限を持つことを選択的に拒否することはできません。デフォルトエントリに false が設定された場合、ファイル内に指定されたエンドユーザーとグループのみが、その特定の権限を持つことになります。
新規インストール時の、ACL ファイル内の d: タグ (デフォルトタグ) エントリを、次に示します。
-
sysAdmin.acl - d:false が含まれる
-
sysTopicsAdd.acl - d:true が含まれる
-
sysRoomsAdd.acl - d:true が含まれる
-
sysSaveUserSettings.acl - d:true が含まれる
-
sysSendAlerts.acl - d:true が含まれる
-
sysWatch.acl - d:true が含まれる
注意 – すべてのアクセス制御ファイルの形式、さらにはその存在自体が、今後の製品リリースで変更される可能性があります。
注 –
sysSendAlerts を無効にすると調査も無効になります。
例 17–1 sysTopicsAdd.acl ファイル
次の例では、sysTopicsAdd.acl ファイルの d: タグエントリは false です。したがって、ニュースチャネルを追加および削除する権限は、d: エントリよりも前に記述されたエンドユーザーとグループ、すなわち、user1、user2、および sales グループに対して付与されます。
# Example sysTopicsAdd.acl file u:user1 u:user2 g:cn=sales,ou=groups,o=siroe d:False |
Sun Java System Access Manager によるポリシーの管理
Sun Java System Access Manager の Instant Messaging サービスと Presence サービスでは、エンドユーザーおよび管理者の権限を制御するための別の方法が用意されています。各サービスには 3 種類の属性があります。動的属性、ユーザー属性、およびポリシー属性です。ポリシー属性は、権限を設定するための属性です。
Sun Java System Access Manager 内に作成された特定のポリシーに、ほかのユーザーから調査メッセージを受信する権限などや、Instant Messaging のさまざまな機能に対する権限、そして管理者およびエンドユーザーに許可または拒否する規則を追加する際に、ポリシー属性はそれらの規則の一部となります。
Instant Messaging サーバーを Sun Java System Access Manager とともにインストールすると、サンプルのポリシーとロールがいくつか作成されます。ポリシーとロールの詳細は、『Sun Java System Access Manager Getting Started Guide』および『Sun Java System Access Manager 管理ガイド』を参照してください。
サイトでの必要性に合わせて、新しいポリシーを作成し、それらのポリシーをロール、グループ、組織、またはエンドユーザーに割り当てることができます。
Instant Messaging サービスまたは Presence サービスがエンドユーザーに割り当てられると、それらのエンドユーザーは、関連する動的属性とユーザー属性を取得します。動的属性は、Sun Java System Access Manager の設定済みのロールまたは組織に割り当てることができます。
特定のロールをエンドユーザーに割り当てたり、組織内でエンドユーザーを作成したりすると、関連する動的属性がそのエンドユーザーの特性の一部となります。ユーザー属性は各エンドユーザーに直接割り当てます。ユーザー属性は、ロールまたは組織から継承されず、通常はエンドユーザーごとに異なります。エンドユーザーはログイン時に、該当するすべての属性を取得します。なお、取得される属性は、そのユーザーに割り当てられているロールの種類やポリシーの適用方法に応じて異なります。
動的、ユーザー、ポリシーの各属性がエンドユーザーに関連付けられるのは、Presence サービスと Instant Messaging サービスがそれらのエンドユーザーに割り当てられたあとです。
Instant Messaging サービス属性
表 17–3 は、各サービスのポリシー属性、動的属性、およびユーザー属性の一覧です。
表 17–3 Instant Messaging 用の Access Manager 属性|
サービス |
ポリシー属性 |
動的属性 |
ユーザー属性 |
|---|---|---|---|
|
sunIM |
sunIMAllowChat sunIMAllowChatInvite sunIMAllowForumAccess sunIMAllowForumManage sunIMAllowForumModerate sunIMAllowAlertsAccess sunIMAllowAlertsSend sunIMAllowNewsAccess sunIMAllowNewsManage sunIMAllowFileTransfer sunIMAllowContactListManage sunIMAllowUserSettings sunIMAllowPollingAccess sunIMAllowPollingSend |
sunIMProperties sunIMRoster sunIMConferenceRoster sunIMNewsRoster sunIMPrivateSettings |
sunIMUserProperties sunIMUserRoster sunIMUserConferenceRoster sunIMUserNewsRoster sunIMUserPrivateSettings |
|
sunPresence |
sunPresenceAllowAccess sunPresenceAllowPublish sunPresenceAllowManage |
sunPresenceDevices sunPresencePrivacy |
sunPresenceEntityDevices sunPresenceUserPrivacy |
Sun Java System Access Manager 管理コンソールでは、上表の各属性に対応するラベルが表示されます。表 17–4 は、ポリシー属性の一覧とその説明、表 17–5 は、動的属性およびユーザー属性の一覧とその説明です。
表 17–4 Instant Messaging 用の Access Manager ポリシー属性|
ポリシー属性 |
管理コンソールのラベル |
属性の説明 |
|---|---|---|
|
sunIMAllowChat |
Ability to Chat |
エンドユーザーは、チャットルームへの参加依頼を受信できるほか、通常のチャット機能にアクセスできます |
|
sunIMAllowChatInvite |
Ability to Invite others to Chat |
エンドユーザーは、チャットへの参加依頼をほかのユーザーに送信できます |
|
sunIMAllowForumAccess |
Ability to Join Conference Rooms |
Instant Messenger に「会議室」タブが表示され、エンドユーザーは会議室に参加できるようになります |
|
sunIMAllowForumManage |
Ability to Manage Conference Rooms |
エンドユーザーは、会議室の作成、削除、および管理を行えます |
|
sunIMAllowForumModerate |
Ability to Moderate Conference Rooms |
エンドユーザーは会議のモデレータになれます |
|
sunIMAllowAlertsAccess |
Ability to Receive Alerts |
エンドユーザーは、ほかのユーザーからのアラートを受信できます |
|
sunIMAllowAlertsSend |
Ability to Send Alerts |
エンドユーザーは、ほかのユーザーにアラートを送信できます |
|
sunIMAllowNewsAccess |
Ability to Read News |
Instant Messenger に「ニュース」ボタンが表示され、エンドユーザーはこのボタンを使うと、ニュースメッセージを送受信するためにニュースチャネルを一覧表示できます |
|
sunIMAllowNewsManage |
Ability to Manage News Channels |
エンドユーザーはニュースチャネルを管理できます (ニュースチャネルの作成、削除、権限割り当てを行える) |
|
sunIMAllowFileTransfer |
Ability to Exchange Files |
エンドユーザーは、アラート、チャット、ニュースの各メッセージに添付ファイルを追加できます |
|
sunIMAllowContactListManage |
Ability to Manage one’s Contact List |
エンドユーザーは自身の連絡先一覧を管理できます (ユーザーまたはグループの一覧への追加、一覧からの削除、一覧内のフォルダ名の変更を行える) |
|
sunIMAllowUserSettings |
Ability to Manage Messenger |
Instant Messenger に「設定」ボタンが表示され、エンドユーザーはこのボタンを使うと、自分の Instant Messenger 設定を変更できます |
|
sunIMAllowPollingAccess |
Ability to Receive Polls |
エンドユーザーは、ほかのユーザーから調査メッセージを受信し、それらの調査に回答できます |
|
sunIMAllowPollingSend |
Ability to Send Polls |
Instant Messenger に「調査」ボタンが表示され、エンドユーザーはこのボタンを使うと、調査メッセージをほかのユーザーに送信し、その回答を受信できます |
|
sunPresenceAllowAccess |
Ability to Access other’s Presence |
エンドユーザーは、ほかのユーザーの Presence ステータスを監視できます。連絡先一覧には、連絡先が表示されるだけでなく、それらの連絡先の Presence ステータスの変更が反映されます (ステータスアイコンが変化する) |
|
sunPresenceAllowPublish |
Ability to Publish Presence |
エンドユーザーは、他人が監視する自分のステータス (オンライン、オフライン、取り込み中など) をクリックして選択できます |
|
sunPresenceAllowManage |
Ability to Manage Presence Access |
Instant Messenger の設定に「アクセス権」タブが表示され、エンドユーザーは、自身のデフォルトの Presence アクセス、Presence 許可リスト、Presence 拒否リストを設定できます |
属性の直接変更
エンドユーザーは、Sun Java System Access Manager の管理コンソールにログインし、Instant Messaging サービスと Presence サービスの各属性値を参照できます。属性が変更可能として定義されていた場合、エンドユーザーはそれらの属性を変更できます。デフォルトでは、Instant Messaging サービス内の属性はすべて変更不可能になっており、エンドユーザーにそれらの変更を許可することも、あまりお勧めできません。とはいえ、システム管理の観点から、属性を直接変更したほうが便利なこともあります。
たとえば、「登録している会議室」など、いくつかのシステム属性ではロールの影響は存在しないため、システム管理者は、それらの属性の値を変更する際に、ほかのエンドユーザー (の会議名簿など) からそれらの属性をコピーしたり、それらの属性を直接変更したりします。これらの属性の一覧を、表 17–5 に示します。
ユーザー属性は、エンドユーザーが Sun Java System Access Manager の管理コンソールを使って設定できます。動的属性は、管理者によって設定されます。動的属性に設定された値は、対応するユーザー属性の値を上書きするか、その値とマージされます。
対応する動的属性とユーザー属性の性質により、競合もしくは補完し合う情報がどのように解決されるかが決まります。たとえば、「登録している会議室」の 2 つのソース (動的属性およびユーザー属性) は互いに補完し合う関係にあるため、両者の情報はマージされます。いずれの属性も他方を上書きしません。
表 17–5 Instant Messaging 用の Access Manager ユーザー属性と動的属性|
管理コンソールのラベル |
ユーザー属性 |
動的属性 |
属性の説明 |
競合の解決 |
|---|---|---|---|---|
|
Messenger Settings |
sunIMUserProperties |
sunIMProperties |
Instant Messenger のすべてのプロパティーが含まれます。ファイルを使用したユーザープロパティー機構での user.properties ファイルに対応しています |
マージ: あるプロパティーの値がユーザー属性と動的属性の両方に存在していた場合、動的属性の値が使用されます。 |
|
Subscriptions |
sunIMUserRoster |
sunIMRoster |
登録情報が含まれます (ユーザーの連絡先名簿) |
マージ: Jabber 識別子がユーザー属性と動的属性の両方に存在していた場合、ニックネームがユーザー属性から取得され、グループはユーザー属性と動的属性の両方のグループを結合したものとなり、登録値はユーザー属性と動的属性の値のうち最も大きい値が採用されます。 |
|
Conference Subscriptions |
sunIMUserConferenceRoster |
sunIMConferenceRoster |
会議室の登録情報が含まれます |
マージ: 動的属性とユーザー属性の登録情報がマージされ、重複は削除されます。 |
|
News Channel Subscriptions |
sunIMUserNewsRoster |
sunIMNewsRoster |
ニュースチャネルの登録情報が含まれます |
マージ: 動的属性とユーザー属性の登録情報がマージされ、重複は削除されます。 |
|
Presence Agents |
sunPresenceEntityDevices |
sunPresenceDevices |
このリリースでは未使用です (将来使用予定) |
動的属性の情報が使用されます。 |
|
Privacy |
sunPresenceUserPrivacy |
sunPresencePrivacy |
Instant Messenger におけるプライバシー設定に対応しています |
マージ: 競合が発生した場合は動的値が使用されます。 |
|
Instant Messenger Preferences |
sunIMUserPrivateSettings |
sunIMPrivateSettings |
Messenger 設定に保存されていない非公開の設定が保存されます |
マージ: |
定義済みの Instant Messaging ポリシーと Presence ポリシー
表 17–6 は、Instant Messaging サービスコンポーネントのインストール時に Sun Java System Access Manager 内に作成される、7 つのサンプルポリシーと 7 つのサンプルロール、およびその説明を一覧にまとめたものです。各エンドユーザーには、付与すべきアクセス権限に応じたロールを追加できます。
典型的なサイトでは、ロール「IM Regular User」 (デフォルトの Instant Messaging アクセス権と Presence アクセス権を取得するロール) を、Instant Messaging ポリシー管理の責務を負わない、Instant Messenger を単に使用するだけのエンドユーザーに割り当てます。また、その同じサイトで、ロール「IM Administrator 」 (Instant Messaging サービスと Presence サービスの管理権限が関連付けられたロール) を、Instant Messaging ポリシー管理に対して完全な責務を負う特定のエンドユーザーに割り当てます。表 17–7 は、ポリシー属性のデフォルトの権限割り当て一覧です。規則内でアクションが選択されている場合のみ、そのアクションに対応する「許可」や「許可しない」の属性値は意味を持ちます。
表 17–6 Sun Java System Access Manager のデフォルトのポリシーとロール|
ポリシー |
このポリシーが適用されるロール |
このポリシーが適用されるサービス |
ポリシーの説明 |
|---|---|---|---|
|
Default Instant Messaging and presence access |
IM Regular User |
sunIM、sunPresence |
一般的な Instant Messaging エンドユーザーがデフォルトで備えるべきアクセス権です。 |
|
Ability to administer Instant Messaging and Presence Service |
IM Administrator |
sunIM、sunPresence |
Instant Messaging 管理者が備えるアクセス権です。Instant Messaging のすべての機能にアクセスできます。 |
|
Ability to manage Instant Messaging news channels |
IM News Administrator |
sunIM |
エンドユーザーは、ニュースチャネルの管理 (作成や削除など) を行えます。 |
|
Ability to manage Instant Messaging conference rooms |
IM Conference Rooms Administrator |
sunIM |
エンドユーザーは、会議室の管理 (作成や削除など) を行えます。 |
|
Ability to change own Instant Messaging user settings |
IM Allow User Settings Role |
sunIM |
エンドユーザーは、Instant Messenger の「設定」ダイアログボックスで値を変更することによって設定を編集できます。 |
|
Ability to send Instant Messaging alerts |
IM Allow Send Alerts Role |
sunIM |
エンドユーザーは Instant Messenger でアラートを送信できます。 |
|
Ability to watch changes on other Instant Messaging end users |
IM Allow Watch Changes Role |
sunIM |
エンドユーザーは、ほかの Instant Messaging エンドユーザーの Presence ステータスにアクセスできます。 |
表 17–7 デフォルトのポリシー割り当て
|
ポリシー |
|||||||
|---|---|---|---|---|---|---|---|
|
属性 |
デフォルトのアクセス |
Instant Messaging と Presence サービスの管理 |
ニュースチャネルの管理 |
会議室の管理 |
自身のエンドユーザー設定の変更 |
アラートの送信 |
ほかのユーザーの変更の監視 |
|
sunIMAllowChat |
許可 |
許可 | |||||
|
sunIMAllowChatInvite |
許可 |
許可 | |||||
|
sunIMAllowForumAccess |
許可 |
許可 |
許可 | ||||
|
sunIMAllowForumManage |
許可しない |
許可 |
許可 | ||||
|
sunIMAllowForumModerate |
許可しない |
許可 |
許可 | ||||
|
sunIMAllowAlertsAccess |
許可 |
許可 |
許可 | ||||
|
sunIMAllowAlertsSend |
許可 |
許可 |
許可 | ||||
|
sunIMAllowNewsAccess |
許可 |
許可 |
許可 | ||||
|
sunIMAllowNewsManage |
許可しない |
許可 |
許可 | ||||
|
sunIMAllowFileTransfer |
許可 |
許可 | |||||
|
sunIMAllowContactListManage |
許可 |
許可 | |||||
|
sunIMAllowUserSettings |
許可 |
許可 |
許可 | ||||
|
sunIMAllowPollingAccess |
許可 |
許可 | |||||
|
sunIMAllowPollingSend |
許可 |
許可 | |||||
|
sunPresenceAllowManage |
許可 |
許可 | |||||
|
sunPresenceAllowAccess |
許可 |
許可 |
許可 |
||||
|
sunPresenceAllowPublish |
許可 |
許可 | |||||
新しい Instant Messaging ポリシーの作成
サイトの特定の要求に応じて、新しいポリシーを作成できます。
新しいポリシーを作成する
-
Access Manager の管理コンソール (http://hostname :port/amconsole) にログインします。
たとえば、次のように入力します。
http://imserver.company22.example.com:80/amconsole
-
「アイデンティティー管理」タブを選択します。
-
ナビゲーション区画 (左下のフレーム) にある「表示」ドロップダウンリストから「ポリシー」を選択します。
-
「新規」をクリックします。
データ区画 (右下のフレーム) に「新規ポリシー」ページが表示されます。
-
「ポリシータイプ」で「標準」を選択します。
-
「名前」フィールドにポリシー名を入力します。
たとえば次のように入力します。
IMpolicy
-
「了解」をクリックします。
Sun Java System Access Manager 管理コンソールで、ナビゲーション区画のポリシー一覧に新しいポリシーの名前が表示され、新しいポリシーの「編集」ページが表示されます。
-
「編集」ページの「表示」ドロップダウンリストから「ルール」を選択します。
「編集」ページ内にルールを追加するためのパネルが表示されます。
-
「新規」をクリックします。
ルールを追加するためのページが表示されます。
-
適用するサービスを選択します。
Instant Messaging サービスまたは Presence サービスのどちらかを選択できます。
各サービスでは、エンドユーザーが特定のアクションを実行するのを許可または拒否できます。たとえば、「Ability to Chat」は Instant Messaging サービスに固有のアクションであり、「Ability to Access other's Presence」は Presence サービスに固有のアクションです。
-
「ルール名」フィールドに規則の説明を入力します。
たとえば、次のように入力します。
Rule 1
-
「リソース名」に適切な値を入力します。
次のどちらかを入力します。
Instant Messaging サービスの場合は IMResource
または
Presence サービスの場合は PresenceResource
-
「アクション」で適用するアクションを選択します。
-
「値」で各アクションの値を選択します。
許可または拒否のどちらかを選択できます。
-
「終了」をクリックします。
今作成したルールが、一覧に表示されます。
-
「保存」をクリックします。
作成したルールがそのポリシーのルールとして保存されます。
-
そのポリシーに適用するすべてのルールを作成し終えるまで、手順 9 〜 16 を繰り返します。
ロール、グループ、組織、ユーザーへのポリシーの割り当て
ロール、グループ、組織、またはユーザーにポリシーを割り当てることができます。これには、デフォルトのポリシーや、Instant Messaging のインストール後に作成されたポリシーが含まれます。
ポリシーを割り当てる
-
Access Manager の管理コンソール (http://hostname :port/amconsole) にログインします。
たとえば、次のように入力します。
http://imserver.company22.example.com:80/amconsole
-
「アイデンティティー管理」タブを選択します。
-
ナビゲーション区画 (左下のフレーム) にある「表示」ドロップダウンリストから「ポリシー」を選択します。
-
割り当てるポリシーの名前の横にある矢印をクリックします。
そのポリシーに対する「編集」ページが、データ区画 (右下のフレーム) に表示されます。
-
「編集」ページの「表示」ドロップダウンリストから「対象」を選択します。
-
「新規」をクリックします。
「対象を追加」ページが表示されます。このページには、利用可能な対象タイプが一覧表示されます。ポリシー設定で、利用可能なタイプを選択できます。
-
このポリシーに合う対象タイプを選択します。
たとえば、「組織」を選択します。
-
「次へ」をクリックします。
-
「名前」フィールドで、対象の名前を入力します。
-
(省略可能) 「排他的」チェックボックスをオンにします。
「排他的」チェックボックスは、デフォルトでオフになっています。これは、この対象のすべてのメンバーにポリシーが適用されることを意味しています。
「排他的」チェックボックスをオンにすると、この対象のメンバー以外のすべてのユーザーにポリシーが適用されます。
-
「利用可能」フィールドで、この対象に追加するエントリを検索します。
-
「終了」をクリックします。
今追加した対象が、一覧に表示されます。
-
「保存」をクリックします。
追加した対象がそのポリシーの対象として保存されます。
-
このポリシーに追加するすべての対象を作成し終えるまで、手順 6 〜 13 を繰り返します。
Access Manager による新しいサブ組織の作成
Sun Java System Access Manager のサブ組織作成機能を使用すると、組織的に独立した複数のユーザー群を Instant Messaging サーバー内に作成できます。各サブ組織は、個別の DNS ドメインにマッピングすることが可能です。サブ組織内のエンドユーザーは、ほかのサブ組織内のエンドユーザーから完全に隔離されます。ここでは、Instant Messaging の新しいサブ組織を作成するための最小限の手順を示します。
新しいサブ組織を作成する
-
Access Manager の管理コンソール (http://hostname :port/amconsole) にログインします。
たとえば、次のように入力します。
http://imserver.company22.example.com:80/amconsole
-
「アイデンティティー管理」タブを選択します。
-
新しい組織を作成します。
-
新しく作成されたサブ組織のサービスを登録します。
-
ナビゲーション区画で、新しいサブ組織の名前をクリックします。
たとえば、sub1.をクリックします。必ず、右側のプロパティー矢印ではなく名前をクリックしてください。
-
ナビゲーション区画の「表示」ドロップダウンリストから「サービス」を選択します。
-
「登録」をクリックします。
「サービスを登録」ページがデータ区画に表示されます。使用する Access Manager のバージョンによっては、この手順は不要です。
-
「認証」見出しの下にある次のサービスを選択します。
-
コア
-
LDAP
-
-
「Instant Messaging 設定」見出しの下にある次のサービスを選択します。
-
Instant Messaging サービス
-
Presence サービス
-
-
「了解」をクリックします。
このサブ組織用に新しく選択されたサービスが、ナビゲーション区画に表示されます。
-
-
新しく選択されたサービスのサービステンプレートを作成します。
-
ナビゲーション区画で、特定のサービスのプロパティー矢印をクリックします。まずは、「コア」サービスから始めます。
データ区画に「サービステンプレートの作成」ページが表示されます。使用する Access Manager のバージョンによっては、このページは表示されないので、その場合は次の手順 b は不要です。
-
データ区画で「作成」をクリックします。
選択したサービスのテンプレートオプションの一覧を表示するページが開きます。
テンプレートオプションを変更しない場合でも、個々のサービスごとに「作成」をクリックする必要があります。
-
以下の手順に従って、各サービスのサービステンプレートのオプションを変更します。
-
コア: 通常、オプションを変更する必要はありません。
-
LDAP: 新しいサブ組織のプレフィックスを「ユーザー検索の開始 DN」フィールドに追加します。
プレフィックス追加後の最終的な DN の形式は、次のようになります。
o=sub1,dc=company22,dc=example,dc=com
「root ユーザーバインドパスワード」、「root ユーザーバインドパスワード (確認)」の各フィールドに、LDAP パスワードを入力します。
-
Instant Messaging サービス: 通常、オプションを変更する必要はありません。
-
-
「保存」をクリックします。
-
すべてのサービスのサービステンプレートを作成し終わるまで、手順 a 〜 d を繰り返します。
-
新しいサブ組織内のエンドユーザーへのロール割り当て
サブ組織内に新しいエンドユーザーを作成し終わったら、次にそれらのエンドユーザーにロールを割り当てる必要があります。ロールは親組織から継承できます。
新しいサブ組織内のエンドユーザーにロールを割り当てる
-
Access Manager の管理コンソール (http://hostname :port/amconsole) にログインします。
たとえば、次のように入力します。
http://imserver.company22.example.com:80/amconsole
-
「アイデンティティー管理」タブを選択します。
-
ナビゲーション区画 (左下のフレーム) にある「表示」ドロップダウンリストから「ロール」を選択します。
-
割り当てるロールの右側にあるプロパティー矢印をクリックします。
そのロールに対するページが、データ区画 (右下のフレーム) に表示されます。
-
データ区画の「表示」ドロップダウンリストから「ユーザー」を選択します。
-
「追加」をクリックします。
「ユーザーを追加」ページが表示されます。
-
ユーザーを特定するための検索パターンを入力します。
たとえば、「UserId」フィールドにアスタリスク「*」を入力すると、すべてのユーザーが一覧表示されます。
-
「フィルタ」をクリックします。
「ユーザーを選択」ページが表示されます。
-
「ユーザーを選択」ページで、「パスを表示」チェックボックスをオンにします。
パスが表示されます。
-
このロールを割り当てるユーザーを選択します。
-
「終了」をクリックします。
- © 2010, Oracle Corporation and/or its affiliates