WBEM サーバーが接続したあとは、WBEM サーバーは CIM クライアントとのそれ以降の操作におけるすべての承認検査について、認証されたユーザーまたは役割 ID を使用します。
WBEM は、次のものに基づく 2 種類の承認検査をサポートします。
アクセス制御リスト (ACL)。これは、特定のネームスペースについて WBEM サーバーによって維持される
RBAC 承認。これは、Solaris オペレーティング環境の一部として構成される
WBEM がどの承認検査機構を使用するかは、MOF クラスプロバイダがどのように実装されているかに応じて決まります。特定の MOF クラス操作について WBEM がどの承認検査機構を使用するかは、次のものに応じて決まります。
WBEM が実行する操作
MOF クラスの実装方法
Solaris_Acl1.0.mof で定義されているクラスは、WBEM の ACL ベースのセキュリティを実装します。WBEM の ACL ベースのセキュリティは、Solaris WBEM Services に対してデフォルト承認スキーマを提供し、また、特定の状況下では、CIM 操作の特定のセットに適用されます。ACL ベースのセキュリティは、Solaris WBEM Services によって提供される固有の機能です。
WBEM サーバー上の特定のネームスペースについて ACL を確立するには、Sun WBEM User Manager (wbemadmin) を使用します。Sun WBEM User Manager では、ネームスペースについての ACL にユーザー名または役割名を追加したり、各ユーザーに「読み取り」または「書き込み」アクセス権を割り当てたりできます。Sun WBEM User Manager については、「Sun WBEM User Manager を使ってアクセス制御を設定する」 および wbemadmin(1M) のマニュアルページを参照してください。
書き込みアクセス権のあるユーザーは、クラスのメタデータの変更、そのネームスペースにある MOF クラスのインスタンスの変更、およびインスタンスに対する呼び出しメソッドの発行が可能です。ローカル WBEM サーバーの root ユーザー ID には、いつでも、サーバー上のネームスペースすべてに対する書き込みアクセス権が許可されます。明示的な ACL 項目のない、すべての認証されたユーザーには、デフォルトで読み取りアクセス権が許可されます。
MOF クラスのメタデータのアクセスを含む操作 (たとえば、getClass) は、WBEM の ACL を使用します。これらの操作には、認証されたユーザーに、MOF クラスを含むネームスペースについての ACL によって許可されたアクセス権の検査が含まれます。ACL 項目に RBAC の役割を設定することもできますが、ACL 項目はいつもユーザー ID に対して検査され、役割 ID に対しては検査されません。つまり、ACL に役割名を設定することはできますが、CIM Object Manager は実行時にその役割名を検査しないということです。
MOF クラスのインスタンスが関係する操作には、WBEM ACL か RBAC 承認のいずれかの検査が含まれる可能性があります。
また、ユーザー、または役割 ID にアクセス権を許可して、プロバイダが RBAC 承認を使用している MOF クラスのインスタンスをそのユーザーがアクセスおよび変更できるようにすることもできます。これらのアクセス権を許可するには、Solaris Management Console のユーザーツールに含まれる権利ツールを使用します。ユーザーへのアクセス権の許可については、『Solaris のシステム管理 (セキュリティサービス)』の「権利プロファイルの作成または変更」を参照してください。
MOF クラスのインスタンスが WBEM の永続的なデータストアに格納されている場合、CIM Object Manager は、その MOF クラスを含むネームスペースについての WBEM ACL を検査します。MOF クラスプロバイダの実装がプロバイダのデータストアにアクセスする場合、または Solaris オペレーティング環境のシステムデータにアクセスする場合は、MOF クラスプロバイダの実装は、ほぼ必ず RBAC 承認検査を使用します。
一般に、MOF クラス定義にプロバイダ修飾子が含まれている場合、プロバイダの実装は通常、RBAC 承認検査を行います。MOF クラス定義にプロバイダ修飾子が含まれていない場合、CIM Object Manager は、次のことを行います。
MOF クラスのインスタンスを WBEM の永続的なデータストアに格納する
MOF クラスのネームスペースへのアクセスを制御する ACL を検査して、アクセスが許可されていることを確認する