概要

CIM Object Manager は、CIM Object Manager が動作しているマシンでのユーザーのログイン情報を検証します。検証されたユーザーには、Common Information Model (CIM) スキーマ全体に対する制御アクセス権が与えられます。CIM Object Manager は、個々のクラスやインスタンスのようなシステムリソースに対するセキュリティは提供しません。しかし、CIM Object Manager を使用すると、ネームスペースへのアクセス権を全体的に制御でき、個々のユーザーベースでもアクセス権を制御できます。

セキュリティ関連の情報はすべて、root¥Security ネームスペースに入った、セキュリティクラスのインスタンスによって表されます。これらの情報は、永続的にこのネームスペースに置く必要があります。

次のセキュリティ機能は、WBEM 対応のシステム上の CIM オブジェクトへのアクセス権を制限します。

• 認証 - コンピュータシステム内のエンティティ (ユーザー、デバイスなど) の識別情報を検証するプロセス。認証は、システム内のリソースへのアクセスを許可する場合の必須条件となることが多い

• 承認 - ユーザー、プログラム、またはプロセスにアクセス権を与えること

• 再実行保護 - クライアントは、CIM Object Manager に送られた別のクライアントの最後のメッセージをコピーできない。CIM Object Manager は、クライアント鍵を使用し、後続のクライアントサーバーセッションすべての通信を同じクライアントと行うことを保証します。

  CIM Object Manager は、ディジタル形式で署名された秘密セッション鍵を検証することにより、サーバーに対するクライアントのメッセージを別のクライアントが取得、送信することを防ぐ。CIM Object Manager は、有効な秘密セッション鍵のないクライアントからは同一のバイトストリームでも受け付けない

• ディジタル署名 - CIM Object Manager は、Java ディジタル署名クラスを使用してサーバーに対するクライアントの応答にディジタル形式で署名を行うが、クライアントに対するサーバーの応答にはディジタル署名を行わない

認証

ユーザーがログインしユーザー名とパスワードを入力する場合、クライアントはそのパスワードを暗号化し、暗号化されたパスワードを CIM Object Manager に送ります。ユーザーが認証されると、CIM Object Manager はクライアントセッションを設定します。その後のオペレーションはすべて、セキュリティが保護されたそのクライアントセッションで行われます。

承認

CIM Object Manager は、次の 2 つのユーザーアカウントを作成します。

• admin - CIM Object Manager Repository 内の LDAP スキーマにアクセスするために使用される管理アカウント。admin アカウントの作成とそのパスワードの設定は、インストール時に行われる

• guest - ログイン時にユーザー名が指定されない場合に使用されるデフォルトのアカウント

ユーザーの識別情報が CIM Object Manager によって認証されると、その識別情報を使用して、アプリケーションまたはそのタスクの実行をそのユーザーに許可すべきかどうかを検証できます。CIM Object Manager は資格ベースの承認をサポートしているため、管理者は読み取り権と書き込み権を特定のユーザーに割り当てることができます。これらの承認は、既存の Solaris ユーザーアカウントに追加されます。

root アカウントに正常にログインできるかどうかは、ネームサービス (DNS、NIS、NIS+ など) がシステムでどのように設定されているかによって決まるため、スーパーユーザーとしてログインすることはお勧めできません。