この章では、システム管理作業を行うための Solaris 管理ツールの概要について説明します。この章は、Solaris Management Console (コンソール) の起動、コンソールで使用する役割によるアクセス制御 (RBAC) の設定、ネームサービス環境での Solaris 管理ツールの操作から構成されています。
Solaris Management Console によるシステム管理作業の実行手順について、以下を参照してください。
Solaris Management Console 問題の障害追跡については、Solaris Management Console の障害追跡を参照してください。
この節では、Solaris Management Console について説明します。
Solaris Management Console は、「ツールボックス」というコレクションに格納されている GUI ベースの管理ツール用のコンテナです。このコンソールには、多数の基本管理ツールが入っているデフォルトのツールボックスがあります。基本管理ツールには、ユーザー、プロジェクト、cron ジョブを管理するためのツール、ファイルシステムをマウント/共有するためのツール、ディスクやシリアルポートを管理するためのツールなどがあります。 それぞれの Solaris 管理ツールについては、表 2–1 を参照してください。
いつでも既存のツールボックスにツールを追加したり、新しいツールボックスを作成することができます。
Solaris Management Console には、主に次の 3 つの構成要素があります。
Solaris Management Console クライアント
「コンソール」と呼ばれるビジュアルインタフェースで、管理作業を行うための GUI ツールが含まれています。
Solaris Management Console サーバー
コンソールと同じマシン上またはリモートマシン上にあり、コンソールによる管理を可能にする「バックエンド」機能を提供します。
Solaris Management Console ツールボックスエディタ
コンソールによく似たアプリケーションで、ツールボックスを追加または変更したり、ツールボックスにツールを追加したり、ツールボックスの適用範囲を広げたりする場合に使用します。たとえば、ネームサービスのドメインを管理するためのツールボックスを追加する場合に使用します。
コンソールを起動すると、デフォルトのツールボックスが表示されます。
次の表に、Solaris Management Console のデフォルトのツールボックスに含まれているツールと、各ツールの説明の参照先を示します。
表 2-1 Solaris Management Console ツール群
カテゴリ |
ツール |
説明 |
参照先 |
---|---|---|---|
システム状態 |
システム情報 |
日付、時間、時間帯などのシステム情報を監視および管理する | 『Solaris のシステム管理 (上級編)』の「システム情報の表示と変更 (手順)」 |
|
ログビューア |
Solaris Management Console ツールのログとシステムログを監視および管理する |
『Solaris のシステム管理 (上級編)』の「ソフトウェアの問題解決 (概要)」 |
|
プロセス |
システムプロセスを監視および管理する |
『Solaris のシステム管理 (上級編)』の「プロセスとシステムのパフォーマンス」 |
|
パフォーマンス |
パフォーマンスを監視する |
『Solaris のシステム管理 (上級編)』の「システムパフォーマンスの管理 (概要)」 |
システム構成 |
ユーザー |
ユーザー、権利、役割、グループ、メーリングリストを管理する |
ユーザーアカウントとグループとはと『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (概要)」 |
|
プロジェクト |
/etc/project データベースのエントリを作成および管理する |
『Solaris のシステム管理 (資源管理とネットワークサービス)』の「プロジェクトとタスク」 |
|
コンピュータとネットワーク |
コンピュータとネットワークの情報を作成および監視する |
Solaris Management Console のオンラインヘルプ |
|
パッチ |
パッチを管理する | |
サービス |
スケジュールされたジョブ |
スケジュールされる cron ジョブを作成および管理する |
『Solaris のシステム管理 (上級編)』の「システムタスクを自動的に実行する方法」 |
記憶装置 |
マウントと共有 |
ファイルシステムをマウントおよび共有する | |
|
ディスク |
ディスクパーティションを作成および管理する | |
|
拡張記憶装置 |
ボリューム、ホットスペアの集合、状態データベースの複製、ディスクセットを作成および管理する | |
デバイスとハードウェア |
シリアルポート |
端末とモデムを設定する |
『Solaris のシステム管理 (上級編)』の「端末とモデムの管理 (概要)」 |
コンテキストヘルプは、ツールの起動後に使用できるようになります。コンテキストヘルプよりも詳細なオンライン情報については、コンソールの「Help」メニューから利用できる拡張ヘルプトピックを参照してください。
このコンソールには、管理者にさまざまなメリットをもたらすツールセットが用意されています。コンソールは、次の処理を実行します。
あらゆる経験レベルをサポートする
ダイアログボックス、ウィザード、コンテキストヘルプなどのグラフィカルインタフェースを使用すれば、経験の浅い管理者でも作業を完了することができます。また、経験を積んだ管理者であれば、何十または何百にも及ぶシステム上に分散している何百もの構成パラメータを管理する場合に、vi よりもこのコンソールを使用した方が便利で安全性が高いことに気がつきます。
システムへのユーザーアクセスを管理する
デフォルトではどのユーザーもこのコンソールにアクセスできますが、初期設定を変更できるのはスーパーユーザーに限られます。『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (概要)」に説明されているように、特定のシステム変更を許可されているユーザー (通常は管理者) に割り当てられる「役割」という特殊なユーザーアカウントを作成できます。
RBAC の主なメリットは、ジョブの実行に必要な作業だけに役割を制限できることです。Solaris 管理ツールを使用する場合に、RBAC は必須ではありません。何も変更せずスーパーユーザーとしてすべてのツールを実行できます。
コマンド行インタフェースを提供する
管理者は、必要に応じてコマンド行インタフェース (CLI) から Solaris 管理ツールを操作することができます。コマンドの中には、特に GUI ツールのユーザーを管理するコマンドなどの機能をまねて作られたものもあります。表 1–6 に、これらの新しいコマンドの名前と簡単な説明が記載されています。各コマンドのマニュアルページもあります。
専用のコマンドを持たない Solaris 管理ツール (マウントツールや共有ツールなど) では、標準の UNIX コマンドを使用します。
RBAC の機能、メリット、ユーザーサイトでのそれらのメリットの活かし方についての詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (概要)」を参照してください。
RBAC を Solaris 管理ツールと組み合わせて使用する方法についての詳細は、Solaris 管理ツールを RBAC と組み合わせて使用する (作業マップ)を参照してください。
次の図は、ユーザーツールが開いた状態でのコンソールです。
コンソールの主要部分は、次の 3 つの区画で構成されます。
ナビゲーション区画 (左側) – ツール (ツールセット)、フォルダ、他のツールボックスへのアクセス用。ナビゲーション区画内にあるアイコンは、ノードと呼ばれ、それらがフォルダやツールボックスである場合は拡張可能です。
表示区画 (右側) – ナビゲーション区画で選択したノードに関する情報の表示用。選択したフォルダの内容、従属ツール、選択したツールに関連付けられたデータを表示します。
情報区画 (下側 ) – コンテキストヘルプまたはコンソールイベントの表示用。
コンソールウィンドウのレイアウトは、非常に柔軟に設定することができます。次の機能を使用して、コンソールウィンドウのレイアウトを変更できます。
「表示 (View)」メニュー – 「表示 (View)」メニューの「表示 (Show)」オプションを使用すると、オプションのバーと区画を表示または非表示にすることができます。「表示 (View)」メニューの他のオプションは、表示区画内にあるノードの表示を制御します。
「コンソール (Console)」メニュー – 「設定の変更 (Preferences)」オプションを使用すると、次の設定ができます。初期ツールボックス、区画の向き、選択肢のクリックまたはダブルクリック、ツールバーのテキストまたはアイコン 、フォント、デフォルトのツールロード、認証プロンプト、拡張ログイン。
「コンテキストヘルプ (Context Help)」と「コンソールイベント (Console Events)」のトグル – 情報区画の一番下にあるアイコンを使用すると、コンテキストヘルプとコンソールイベントの表示を切り替えることができます。
コンソールやそのツールの使用方法に関するマニュアルは、主にオンラインヘルプシステムから利用できます。オンラインヘルプは、コンテキストヘルプと拡張ヘルプトピックの 2 つの形式で利用できます。
コンテキストヘルプは、コンソールツールの使用状況に対応しています。
タブ、入力フィールド、ラジオボタンなどでカーソルをクリックすると、該当するヘルプが情報区画に表示されます。情報区画を閉じたり、開き直したりするには、ダイアログボックスやウィザードの疑問符ボタンをクリックします。
拡張ヘルプトピックは、「ヘルプ (Help)」メニューから使用可能であり、一部のコンテキストヘルプから相互参照リンクのクリックにより使用することもできます。
これらのトピックは個別のビューアに表示され、コンテキストヘルプよりも詳細な情報が含まれています。具体的には、各ツールの概要、各ツールの機能説明、特定のツールで使用されるファイル、障害追跡などです。
各ツールの概要については、表 2–1 を参照してください。
Solaris Management Console を使用する理由に説明されているように、Solaris 管理ツールを使用する主な利点は、役割によるアクセス制御 (RBAC) を使用できることです。RBAC を使用すると、管理者はジョブの実行に必要なツールとコマンドだけを使用できます。
組織のセキュリティ要件に応じて、さまざまなレベルの RBAC を使用できます。
RBAC の方法 |
説明 |
参照先 |
---|---|---|
RBAC を使用しない |
すべての作業をスーパーユーザーとして実行できる。ユーザーとしてログインできる。Solaris 管理ツールを選択するときは、ユーザーとして root に入力し、root のパスワードを入力する。 | |
ルートを役割とする |
匿名のルートログインを削除し、ユーザーが root としてログインできないようにする。この方法では、ユーザーが root の役割を持つ前にユーザー自身としてログインする必要がある。 この方法は他の役割を使用しているかどうかに関係なく適用できるので注意が必要。 |
『Solaris のシステム管理 (セキュリティサービス)』の「root を役割にする」 |
単一の役割のみ |
プライマリ管理者の役割を使用する。これは、root アクセスだけを持つ場合とほぼ同じ。 | |
推奨される役割 |
簡単に設定できる 3 つの役割、プライマリ管理者、システム管理者、オペレータを使用する。 これらの役割は、さまざまな責任レベルの管理者がいて、それぞれのジョブ機能が推奨される役割にほぼ合っている組織に適している。 |
『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (概要)」 |
カスタムの役割 |
組織のセキュリティの必要性に応じて、独自の役割を追加できる。 |
『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の計画」 |
ほとんどの管理作業 (ユーザー、ファイルシステム、プリンタの追加など) では、まずルート (UID=0) としてログインするか、役割を引き受ける (RBAC を使用している場合) 必要があります。root アカウント (「スーパーユーザーアカウント」ともいう) は、システムを変更したり、緊急時にユーザーファイルの保護を無効にしたりする場合に使用します。
システムの変更がむやみに行われないように、スーパーユーザーアカウントと役割は、管理作業を実行するためだけに使用してください。スーパーユーザーアカウントに関連するセキュリティ問題は、小さな作業を行うときにでもユーザーがシステムへの完全なアクセス権を持ってしまうことにあります。
RBAC が実装されていない環境では、スーパーユーザーとしてシステムにログインすることも、su コマンドを使ってスーパーユーザーアカウントに変更することもできます。RBAC が実装されている場合は、コンソールを介して役割を引き受けることも、su を使用して役割を指定することもできます。
コンソールを使用して管理作業を行う場合は、次のいずれかを実行できます。
ユーザーとしてコンソールにログインし、root ユーザー名とパスワードを入力する
ユーザーとしてコンソールにログインし、役割を引き受ける
RBAC の大きなメリットは、特定の機能しか使用できないように役割を作成できることです。RBAC を使用している場合は、スーパーユーザーになるのではなく役割を引き受けることで、制限付きのアプリケーションを実行できます。
プライマリ管理者の役割の作成手順については、最初の役割 (プライマリ管理者) を作成する方法を参照してください。役割を使用できるように RBAC を設定する方法については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
スーパーユーザーになるか役割を引き受ける場合は、次のいずれかの方法を使用します。各方法では、スーパーユーザーのパスワードまたは役割のパスワードを知っている必要があります。
スーパーユーザーになる場合は、次のいずれかの方法を選択します。
ユーザーとしてログインし、Solaris Management Console を起動し、Solaris 管理ツールを選択して root としてログインする方法
この方法では、コンソールから任意の管理作業を実行できます。
Solaris Management Console の起動方法については、ネームサービス環境で Solaris Management Console を起動する方法を参照してください。
システムコンソールでスーパーユーザーとしてログインする方法
hostname console: root Password: root-password # |
ポンド記号 (#) は、Bourne シェルにおける、スーパーユーザーアカウント用のプロンプトです。
この方法では、すべてのシステムコマンドとツールに完全にアクセスできます。
ユーザーとしてログインし、コマンド行で su コマンドを実行してスーパーユーザーアカウントに変更する方法
% su Password: root-password # |
この方法では、すべてのシステムコマンドとツールに完全にアクセスできます。
スーパーユーザーとしてリモートでログインする方法。この方法は、デフォルトでは使用できません。システムコンソールのスーパーユーザーとしてリモートログインするには、/etc/default/login ファイルを変更する必要があります。このファイルの変更方法については、『Solaris のシステム管理 (セキュリティサービス)』の「マシンのセキュリティの適用 (手順)」を参照してください。
この方法では、すべてのシステムコマンドとツールに完全にアクセスできます。
役割を引き受ける場合は、次のどちらかの方法を選択します。
ユーザーとしてログインし、コマンド行でsu コマンドを実行して役割に変更する方法
% su role Password: role-password $ |
この方法では、設定した役割がアクセスできるすべてのコマンドとツールを使用できます。
ユーザーとしてログインし、Solaris Management Console を起動し、Solaris 管理ツールを選択して、役割を引き受ける方法
Solaris Management Console の起動方法については、スーパーユーザーまたは役割としてコンソールを起動する方法を参照してください。
この方法では、引き受けた役割がアクセスできる Solaris 管理ツールを使用できます。
この作業マップでは、スーパーユーザーアカウントを使用するのではなく、役割によるアクセス制御 (RBAC) のセキュリティ機能を使用して管理作業を実行する場合に行うべき作業について説明します。
この節の内容は、コンソールを RBAC と組み合わせて使用する方法について書かれています。最初にコンソールを使って RBAC を設定する方法について説明するため、RBAC の概要や作業にも触れています。
RBAC の詳細や、RBAC を他のアプリケーションと組み合わせて使用する方法については、『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (概要)」を参照してください。
作業 |
説明 |
参照先 |
---|---|---|
1. コンソールを起動する |
ユーザーアカウントをすでに設定してある場合は、まずユーザーとしてコンソールを起動し、次に root としてコンソールにログインする。ユーザーアカウントを設定していない場合は、まずスーパーユーザーになり、次にコンソールを起動する | |
2. 自分のユーザーアカウントを追加する |
自分のユーザーアカウントが存在しない場合はそれを追加する |
Solaris Management Console のオンラインヘルプ |
3. プライマリ管理者の役割を作成する |
プライマリ管理者の役割を作成し、自分をこの役割に追加する | |
4. プライマリ管理者の役割を引き受ける |
プライマリ管理者の役割を作成後、その役割を引き受ける | |
5. (省略可能) root を役割にする |
root を役割にし、他のユーザーが su コマンドを使用して root になれないようにルートの役割に自分を追加する |
『Solaris のシステム管理 (セキュリティサービス)』の「root を役割にする」 |
6. (省略可能) 他の管理役割を作成する |
他の管理役割を作成し、各役割に適切な権利を付与する。次に、各役割に該当するユーザーを追加する |
『Solaris のシステム管理 (セキュリティサービス)』の「管理役割ツールを使用して役割を作成する方法」 |
次の節では、Solaris Management Console と RBAC のセキュリティ機能の使い方に関する概要とその手順について説明します。
管理者としてコンソールに最初にログインした場合は、まずユーザー (自分自身) としてコンソールを起動し、次にスーパーユーザーとしてログインします。この方法では、コンソールのすべてのツールに完全にアクセスできます。
ここで、RBAC を使用しているかどうかに応じて、一般的な手順を示します。
RBAC を使用しない – RBAC を使用しない場合は、スーパーユーザーとして作業を続けます。他のすべての管理者も、ジョブを実行するのに root アクセス権が必要になります。
RBAC を使用する – 次の手順を実行する必要があります。
ユーザーアカウントがない場合は、設定する
プライマリ管理者という役割を作成する
作成中の役割にプライマリ管理者の権利を割り当てる
この役割にユーザーアカウントを割り当てる
プライマリ管理者の役割の作成手順については、最初の役割 (プライマリ管理者) を作成する方法を参照してください。
役割を使用できるように RBAC を設定する方法については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
管理役割は、特殊なユーザーアカウントの 1 つです。この役割を引き受けたユーザーは、定義済みの管理作業を実行することができます。
プライマリ管理者の役割は、スーパーユーザーと同様に、すべての管理機能の実行が許可されています。
スーパーユーザー、またはプライマリ管理者の役割を引き受けたユーザーは、他の管理者が実行できる作業を定義することができます。「管理役割を追加 (Add Administrative Role)」ウィザードを使用すると、役割を作成し、その役割に権利を付与し、その役割を引き受けられるユーザーを指定できます。権利とは、特定のアプリケーションを使用するため、またはアプリケーション内にある特定の機能を実行するためのコマンド、つまり承認と他の権利 (その使用は管理者が付与または拒否できる) をまとめて名前を付けたものです。
プライマリ管理者の役割を作成するときは、次の情報の入力を求めるプロンプトが表示されます。
表 2-2 コンソールを使用して役割を追加するための項目の説明
項目 |
説明 |
---|---|
役割名 |
管理者が特定の役割にログインするために使用する名前を選択する |
役割の正式名称 |
(省略可能) この役割の名前をフルネームでわかりやすく入力する |
備考欄 |
この役割の詳細な説明 |
役割 ID 番号 |
この役割に割り当てられている ID 番号を選択する。この番号は、UID の ID セットと同じ |
役割シェル |
ユーザーが端末またはコンソールのウィンドウにログインするか、そのウィンドウで役割を引き受けるときに実行するシェルを選択する |
役割のメーリングリストを作成 |
項目をチェックすると、役割と同じ名前でメーリングリストを作成する。メーリングリストを使用すると、その役割に割り当てられているすべてのユーザーに電子メールを送信できる |
役割パスワードとパスワードを確認 |
役割のパスワードを設定および再入力する |
有効な権利と許可された権利 |
「有効な権利 (Available Rights)」のリストから権利を選択し、「許可された権利 (Granted Rights)」のリストに追加することにより、この役割に権利を割り当てる |
ホームディレクトリの選択 |
この役割の専有ファイルが格納されるホームディレクトリサーバーを選択する |
ユーザーの役割への割り当て |
特定のユーザーが特定の作業を行うための役割を持てるようにユーザーを役割に追加する |
役割によるアクセス制御の詳細と、役割を使用して安全な環境を作成する方法については、『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (概要) 」を参照してください。
この手順では、プライマリ管理者の役割を作成し、それをユーザーアカウントに割り当てる方法について説明します。ユーザーアカウントはすでに作成してあるものとします。
ユーザーとしてコンソールを起動します。
% /usr/sadm/bin/smc & |
コンソールの起動方法については、スーパーユーザーまたは役割としてコンソールを起動する方法を参照してください。
ユーザーアカウントを作成する必要がある場合は、コンソールのオンラインヘルプを参照してください。
ナビゲーション区画で「このコンピュータ (This Computer)」アイコンをクリックします。
「System Configuration」▻「ユーザー (Users)」▻「管理役割 (Administrative Roles)」の順にクリックします。
「アクション (Action)」▻「管理役割を追加 (Add Administrative Role)」の順にクリックします。
「管理役割を追加 (Add Administrative Role)」ウィザードが開きます。
次の手順に従って、「管理役割を追加 (Add Administrative Role)」ウィザードでプライマリ管理者の役割を作成します。
役割名、役割の正式名称、備考欄、役割 ID、役割シェル、役割のメーリングリストを作成するかどうかを設定する。「次へ (Next)」をクリックする。
役割のパスワードを設定し、入力する。「次へ (Next)」をクリックする。
「有効な権利 (Available Rights)」欄からプライマリ管理者の権利を選択後、「追加 (Add)」をクリックし、「許可された権利 (Granted Rights)」欄に追加する。「次へ (Next)」をクリックする。
役割のホームディレクトリを選択する。「次へ (Next)」をクリックする。
この役割を引き受けることができるユーザーのリストに自分を割り当てる。「次へ (Next)」をクリックする。
必要に応じて、表 2–2 で役割の各項目の説明を参照してください。
「完了 (Finish)」をクリックする。
プライマリ管理者の役割を作成し終わったら、まずユーザー (自分自身) としてコンソールにログインし、次にプライマリ管理者の役割を引き受けます。
役割を引き受けるときは、その役割の権利を含むすべての属性を引き受けます。同時に、自分自身のユーザープロパティはすべて放棄します。
コンソールを起動します。
% /usr/sadm/bin/smc & |
コンソールの起動方法については、スーパーユーザーまたは役割としてコンソールを起動する方法を参照してください。
ユーザー名とパスワードを使ってログインします。
引き受けることができる役割のリストが表示されます。
プライマリ管理者の役割にログインし、役割のパスワードを入力します。
次の手順では、コンソールを起動し、Solaris 管理ツールにアクセスする方法について説明します。
自分自身のユーザーアカウントを使ってユーザーとしてコンソールを起動する場合は、Solaris 管理ツールへのアクセスが制限されます。十分なアクセス権を得るために、まずユーザー (自分自身) としてログインし、次に引き受けることができる役割のいずれかでログインできます。プライマリ管理者の役割を引き受けることができる場合は、スーパーユーザーの場合と同様に、すべての Solaris 管理ツールにアクセスできます。
次のいずれかの方法でコンソールを起動します。
コマンド行から、次のように入力する
% /usr/sadm/bin/smc & |
コンソールが初めて起動するときは 1 - 2 分かかります。
CDE フロントパネルの「Tools」メニューから起動する
CDE のアプリケーションマネージャまたはファイルマネージャの「Solaris Management Console」アイコンをダブルクリックして起動する
「Solaris Management Console」ウィンドウが表示されます。
Solaris Management Console のスタートアップメッセージを表示する場合は、自分のウィンドウ環境でコンソールを開いてください。Solaris Management Console を起動する前に、Solaris Management Console サーバーを手動で起動しないでください。このサーバーは、Solaris Management Console を起動すると、自動的に起動します。コンソール問題の障害追跡については、Solaris Management Console の障害追跡を参照してください。
ナビゲーション区画の「管理ツール (Management Tools)」アイコンの下にある「このコンピュータ (This Computer)」アイコンをダブルクリックします。
カテゴリのリストが表示されます。
(省略可能) 適切なツールボックスを選択します。
デフォルト以外のツールボックスを使用する場合は、ナビゲーション区画から該当するツールボックスを選択します。あるいは、コンソールメニューから「ツールボックスを開く (Open Toolbox)」を選択し、任意のツールボックスをロードします。
各種ツールボックスの使用方法については、特定環境用のツールボックスを作成する方法を参照してください。
カテゴリのアイコンをダブルクリックして、特定のツールにアクセスします。
特定の作業の実行方法を確認する場合は、オンラインヘルプを使用します。
ツールのアイコンをダブルクリックします。
「ログイン (Log-In)」ポップアップウィンドウが表示されます。
スーパーユーザーまたは役割のどちらでこのツールを使用するかを決めます。
スーパーユーザーとしてログインし、スーパーユーザーとして作業する場合は、手順 8 に進む。
ユーザー (自分自身) としてログインし、プライマリ管理者の役割を引き受ける場合は、手順 9 と 10 に進む。
スーパーユーザーとしてログインしている場合は、root のパスワードを入力します。
ユーザー (自分自身) としてログインしている場合は、バックスペースキーを使って root のユーザー名を削除します。次に、適切なユーザー ID とユーザーパスワードを入力します。
ユーザーが引き受けることができる役割のリストが表示されます。
プライマリ管理者の役割、またはそれと同等の役割を選択し、役割のパスワードを入力します。
プライマリ管理者の役割の作成手順については、最初の役割 (プライマリ管理者) を作成する方法を参照してください。
ツールのメインメニューが表示されます。
デフォルトでは、Solaris 管理ツールはローカル環境で動作するように設定されます。たとえば、マウントと共有ツールを使用すると、特定のシステム上でディレクトリをマウントおよび共有できますが、NIS や NIS+ 環境ではできません。ただし、ネームサービス環境では、ユーザーツールやコンピュータとネットワークツールを使って情報を管理できます。
ネームサービス環境でコンソールのツールを使用する場合は、まずネームサービスのツールボックスを作成し、次にそのツールボックスにツールを追加する必要があります。
作業 |
説明 |
参照先 |
---|---|---|
1. 前提条件を確認する |
ネームサービス環境でコンソールを使用する前に、前提条件が満たされていることを確認する | |
2. ネームサービス用のツールボックスを作成する |
「New Toolbox」ウィザードを使用して、ネームサービスツール用のツールボックスを作成する | |
3. ネームサービスツールボックスにツールを追加する |
作成したネームサービスツールボックスにユーザーツール、または他のネームサービスツールを追加する | |
4. 直前に作成したツールボックスを選択する |
直前に作成したツールボックスを選択して、ネームサービス情報を管理する |
Solaris Management Console で使用する RBAC セキュリティファイルは、Solaris 9 へのアップグレードまたはそのインストール時に作成されます。Solaris Management Console のパッケージをインストールしない場合、RBAC を使用するのに必要なデータがない状態で RBAC セキュリティファイルがインストールされます。Solaris Management Console のパッケージについては、Solaris Management Console の障害追跡を参照してください。
Solaris 9 の RBAC セキュリティファイルは、ネームサービス環境で Solaris Management Console のツールを使用できるように、作成したネームサービスに組み込まれます。
ローカルサーバー上のセキュリティファイルは、標準アップグレードの一環として、ypmake コマンド、nispopulate コマンド、または同様の LDAP コマンドによってネームサービス環境に作成されます。サポートされているネームサービスは次のとおりです。
NIS
NIS+
LDAP
files
NIS+ 環境では projects データベースはサポートされていません。
RBAC セキュリティファイルは、Solaris 9 へのアップグレードまたはそのインストール時に作成されます。
次の表で、Solaris 9 でインストールされる定義済みのセキュリティファイルとその簡単な説明を示します。
表 2-3 RBAC セキュリティファイル
ローカルファイル名 |
テーブルまたはマップ名 |
説明 |
---|---|---|
/etc/user_attr |
user_attr |
ユーザーと役割を承認と権利プロファイルに関連付ける |
/etc/security/auth_attr |
auth_attr |
承認とその属性を定義し、関連付けられたヘルプファイルを識別する |
/etc/security/prof_attr |
prof_attr |
権利プロファイルを定義し、権利プロファイルによって割り当てられた承認のリストを表示し、関連付けられたヘルプファイルを識別する |
/etc/security/exec_attr |
exec_attr |
権利プロファイルに割り当てられている特権付きの操作を定義する |
アップグレードに失敗した場合は、次のときに smattrpop コマンドで RBAC セキュリティファイルを作成してください。
権利プロファイルを作成または変更するとき
usr_attr ファイルをカスタマイズして、ユーザーと役割を追加する必要があるとき
詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (概要)」を参照してください。
次の表に、ネームサービス環境で Solaris Management Console を使用する前にやっておくべき操作を示します。
前提条件 |
参照先 |
---|---|
Solaris 9 をインストールする | |
ネームサービス環境を設定する | |
管理範囲を選択する | |
ネームサービスデータにアクセスできるように /etc/nsswitch.conf ファイルが構成されていることを確認する |
Solaris Management Console では、選択した管理ツールで使用するネームサービス環境を指すときに「管理範囲 (management scope)」という用語を使用します。ユーザーおよびコンピュータとネットワークツールの管理範囲は、LDAP、NIS、NIS+、files の中から選択します。
コンソールセッション時に選択する管理範囲は、/etc/nsswitch.conf ファイルで識別される一次ネームサービスと一致している必要があります。
各システムの /etc/nsswitch.conf ファイルは、そのシステムのネームサービスルックアップ (ここからデータが読み取られる) のポリシーを示します。
コンソールからアクセスされるネームサービス (コンソールのツールボックスエディタで指定する) が /etc/nsswitch.conf ファイルの検索パスに含まれていることを確認する必要があります。指定のネームサービスがその検索パスにない場合、ツールが予測のつかない動作をしてエラーまたは警告が発生する可能性があります。
ネームサービス環境で Solaris 管理ツールを使用するときは、1 回の操作で多数のユーザーに影響を及ぼす可能性があります。たとえば、NIS ネームサービスのユーザーを削除すると、そのユーザーは NIS を使用しているすべてのシステムで削除されます。
ネットワーク内のさまざまなシステムで /etc/nsswitch.conf 構成が異なっていると、予期しない結果が生じる可能性があります。これを回避するために、Solaris 管理ツールで管理するすべてのシステムには、一貫したネームサービス構成を設定する必要があります。
Solaris オペレーティング環境を管理するためのアプリケーションは「ツール」と呼ばれ、それらのツールは「ツールボックス」というコレクションに格納されます。ツールボックスは、ローカルサーバー (コンソールがある場所) にもリモートマシンにも配置できます。
ツールボックスエディタを使用すると、新しいツールボックスを追加する、既存のツールボックスにツールを追加する、またはツールボックスの適用範囲を変更することができます。たとえば、ドメインをローカルファイルからネームサービスに変更できます。
ツールボックスエディタは、通常のユーザーとして起動できます。ただし、変更を加えたり、変更内容をデフォルトのコンソールツールボックス (/var/sadm/smc/toolboxes) に保存する場合は、root としてツールボックスエディタを起動する必要があります。
ツールボックスエディタを起動します。
# /usr/sadm/bin/smc edit & |
「ツールボックス (Toolbox)」メニューから「開く (Open)」を選択します。
「ツールボックスを開く (Toolboxes)」ウィンドウで「このコンピュータ (This Computer)」アイコンを選択します。
「開く (Open)」を選択します。
「このコンピュータ (This Computer)」ツールボックスがウィンドウに開きます。
ナビゲーション区画で「このコンピュータ (This Computer)」アイコンを再度選択します。
「アクション (Action)」メニューから「フォルダを追加 (Add Folder)」を選択します。
「フォルダ (Folder)」ウィザードを使用して、ネームサービス環境用の新しいツールボックスを追加します。
名前 (Name) と説明 (Description) – 「名前 (Full Name)」ウィンドウに名前を入力する。「次へ (Next)」をクリックする。
たとえば、NIS 環境の場合は「NIS tools」と入力する。
「説明 (Description)」ウィンドウに説明を入力する。「次へ (Next)」をクリックする。
たとえば、「tools for NIS environment」と入力する。
アイコン (Icons) – デフォルト値を使用する。「次へ (Next)」をクリックする。
管理範囲 (Management Scope) –「上書き (Override)」を選択する。
「管理範囲 (Management Scope)」プルダウンメニューから該当するネームサービスを選択する。
必要に応じて、ネームサービスのマスター名を「サーバー(Server)」フィールドに追加する。
サーバーが管理しているドメインを「ドメイン (Domain)」フィールドに追加する。
「完了 (Finish)」をクリックする。
左側のナビゲーション区画に新しいツールボックスが表示されます。
新しいツールボックスのアイコンを選択します。
「ツールボックス (Toolbox)」メニューから「別名保存 (Save As)」を選択します。
「ローカルツールボックス (Local Toolbox)」ダイアログボックスの「フォルダ (Folder)」からフォルダを選択し、「ファイル名 (Filename)」にツールボックスのファイル名を入力します。 接尾辞 .tbx を使用します。
/var/sadm/smc/toolboxes/this_computer/toolbox-name.tbx |
「保存」をクリックします。
コンソールウィンドウのナビゲーション区画に新しいツールボックスが表示されます。
ネームサービスツールボックスを作成し終わったら、その中にネームサービスを入れることができます。詳細については、ツールボックスにツールを追加する方法を参照してください。
コンソールに添付されているデフォルトのツールの他に、コンソールから起動できるツールがいくつか開発されています。これらのツールが使用可能になったら、既存のツールボックスに追加できます。
また、ローカル管理またはネットワーク管理用に新しくツールボックスを作成し、その新しいツールボックスにツールを追加することもできます。
スーパーユーザーになるか、同等の役割を引き受けます。
必要に応じて、ツールボックスエディタを起動します。
# /usr/sadm/bin/smc edit & |
ツールボックスを選択します。
ネームサービス環境で作業する場合は、直前に作成したツールボックスをツールボックスエディタで選択します。
詳細については、特定環境用のツールボックスを作成する方法を参照してください。
「アクション (Action)」メニューから「ツールを追加 (Add Tool)」を選択します。
「ツールを追加 (Add Tool)」ウィザードを使用して新しいツールを追加します。
「サーバーの選択 (Server Selection)」 – ネームサービスのマスターを「サーバー (Server)」ウィンドウに追加する。 「次へ (Next)」をクリックする。
「ツールの選択 (Tools Selection)」 – 追加するツールを「ツール (Tools)」ウィンドウから選択する。 「次へ (Next)」をクリックする。
このツールボックスがネームサービス用のツールボックスである場合は、ネームサービス環境で作業するツールを選択します。たとえば、ユーザーツールを選択します。
「ツールクラス名 (Name) と説明 (Description) 」– デフォルト値を使用する。「次へ (Next)」をクリックする。
「アイコン (Icons) 」– カスタムアイコンを作成していない場合は、デフォルト値を使用する。「次へ (Next)」をクリックする。
「管理範囲 (Management Scope) 」– デフォルト値 「親から継承 (Inherit from Parent)」を使用する。「次へ (Next)」をクリックする。
「ツールの読み込み (Tool Loading)」 – デフォルト値「選択された時にツールを読み込む (Load tool when selected)」を使用する。「完了 (Finish)」をクリックする。
「ツールボックス (Toolbox)」メニューから「保存 (Save)」を選択して、更新したツールボックスを保存します。
「ローカルツールボックス (Local Toolbox)」ウィンドウが表示されます。
ネームサービスのツールボックスを作成し、そのツールボックスにツールを追加し終わったら、Solaris Management Console を起動し、作成したツールボックスを開いてネームサービス環境を管理できます。
次の前提条件を満たしていることを確認します。
Solaris 管理コンソールを起動します。
詳細については、スーパーユーザーまたは役割としてコンソールを起動する方法を参照してください。
ネームサービス用に作成したツールボックスを選択します。選択したツールボックスがナビゲーション区画に表示されます。
ネームサービス用のツールボックスの作成方法については、特定環境用のツールボックスを作成する方法を参照してください。
この節では、レガシーツールまたは別製品のツールをコンソールに追加する方法について説明します。これらのツールに認証を追加する場合は、『Solaris のシステム管理 (セキュリティサービス)』の「レガシーアプリケーションのセキュリティ保護」を参照してください。
レガシーツールとは、特に Solaris 管理ツールとして設計されたわけでないアプリケーションのことです。コンソールのツールボックスには、X アプリケーション、コマンド行インタフェース、HTML の 3 種類のレガシーツールアプリケーションを追加できます。ツールボックスに追加した各ツールは、Solaris Management Console から起動できます。
スーパーユーザーになるか、同等の役割を引き受けます。
必要に応じて、Solaris Management Console のツールボックスエディタを起動します。
# /usr/sadm/bin/smc edit & |
レガシーアプリケーションを追加したいツールボックスを開きます。
選択したツールボックスはツールボックスエディタで開きます。
レガシーアプリケーションを追加するツールボックス内のノードを選択します。
レガシーアプリケーションは、ツールボックスの最上位のノードにも別のフォルダにも追加できます。
「アクション (Action)」▻「従来のアプリケーションを追加 (Add Legacy Application)」の順にクリックします。
「従来のアプリケーションのウィザード (Legacy Application Wizard: General)」の最初のパネルが表示されます。
ウィザードの指示に従います。
エディタでツールボックスを保存します。
コンソールから起動できるツールパッケージを新たに追加する場合は、この手順に従います。
スーパーユーザーになるか、同等の役割を引き受けます。
新しいツールパッケージをインストールします。
# pkgadd ABCDtool |
コンソールを再起動して、コンソールに新しいツールを認識させます。
コンソールを起動して、新しいツールが表示されることを確認します。
詳細については、スーパーユーザーまたは役割としてコンソールを起動する方法を参照してください。
この障害追跡の手順を使用する前に、次のパッケージがインストールされていることを確認してください。
SUNWmc Solaris Management Console 2.1 (サーバー構成要素) SUNWmcc Solaris Management Console 2.1 (クライアント構成要素) SUNWmccom Solaris Management Console 2.1 (共通の構成要素) SUNWmcdev Solaris Management Console 2.1 (開発キット) SUNWmcex Solaris Management Console 2.1 (例) SUNWwbmc Solaris Management Console 2.1 (WBEM 構成要素) |
これらのパッケージには、基本的な Solaris Management Console 起動ツールが用意されています。Solaris Management Console とそのすべてのツールを使用するには、SUNWprog クラスタをインストールする必要があります。
Solaris Management Console を起動すると、クライアントとサーバーが自動的に起動します。
コンソールが表示可能で、ツールの実行に問題がある場合は、サーバーが実行していない可能性があります。あるいは、サーバーがエラー状態にあり、いったん停止してから再起動することによって解決できる可能性もあります。
スーパーユーザーになるか、同等の役割を引き受けます。
以下のコマンドでコンソールサーバーが稼動しているかどうかを調べます。
# /etc/init.d/init.wbem status |
コンソールサーバーが稼動している場合は、次のようなメッセージが表示されます。
SMC server version 2.1.0 running on port 898. |
コンソールサーバーが稼動していない場合は、以下のコマンドで起動します。
# /etc/init.d/init.wbem start |
すぐに、次のようなメッセージが表示されます。
SMC server is ready. |
サーバーが稼動しているのに問題が引き続き発生している場合は、いったんコンソールサーバーを停止してから、再起動します。