次の表は、ロールの管理に使用するすべての作業およびコマンドをまとめています。
表 2–2 ロール管理の早見表
作業 |
コマンド構文 |
---|---|
create role role privilege privilege |
|
delete role role |
|
add role role privilege privilege |
|
remove role role privilege privilege |
|
show role all |
|
show role role |
|
show user all |
|
show privilege all |
これらのコマンドについては、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』を参照してください。
表 2–3 に、N1 System Manager が自動的に提供するシステムのデフォルトロールを示します。これらシステムのデフォルトロールは、変更できません。
表 2–3 システムのデフォルトロール
ロール |
権限 |
説明 |
---|---|---|
Admin |
SecurityAdmin 権限を除くすべての権限。 |
このロールは、SecurityAdmin が提供するロール管理に必要なもの以外の、N1 System Manager で使用できるすべての権限を持ちます。 |
ReadOnly |
SecurityAdmin 権限を除くすべての読み取り専用 (*Read) 権限 |
このロールのユーザーは、N1 System Manager に関するステータス (読み取り専用) 情報のみ見ることができます。 |
SecurityAdmin |
RoleRead、RoleWrite、UserRead、UserWrite、PrivilegeRead |
このロールは、ロールの作成や、ロールへの権限の追加、ユーザーへのロールの追加などの、ロールの管理に必要な権限のみ持ちます。 |
次の表は、N1 System Manager が自動的に提供する制限モードのロールをまとめています。システムのデフォルトロールとは異なり、制限モードのロールは変更できるため、組織やビジネスのニーズに応じて、各ユーザー用にカスタマイズしたロールを作成できます。詳細は、「制限モードの機能」を参照してください。
表 2–4 制限モードのロール
ロール |
権限 |
説明 |
---|---|---|
ProvAdmin |
RoleRead、RoleWrite、UserRead、UserWrite、PrivilegeRead |
プロビジョニングネットワークだけにアクセスできるように N1 System Manager が設定されている場合に使用します。詳細は、「制限モードの機能」を参照してください。 |
MgmtAdmin |
RoleRead、RoleWrite、UserRead、UserWrite、PrivilegeRead |
管理ネットワークだけにアクセスできるように N1 System Manager が設定されている場合に使用します。詳細は、「制限モードの機能」を参照してください。 |
N1 System Manager が制限モードで動作するように設定されている場合は、セキュリティー管理者が制限モードのロールをユーザーに割り当てる必要があります。動作の制限モードについては、「制限モードの機能」を参照してください。
Sun N1 System Manager ソフトウェアをインストールすると、管理サーバーのスーパーユーザー (root) アカウントにシステムのデフォルトロール Admin、ReadOnly、および SecurityAdmin が自動的に追加され、Admin ロールがアカウントのデフォルトロールになります。
システムのデフォルトロール SecurityAdmin を持つユーザー (セキュリティー管理者) は、必要に応じて組織内に新しいカスタムロールを作成し、これらのロールに権限を追加できます。セキュリティー管理者は、ユーザーにロールを追加することもできます。
たとえば、特定のユーザーが管理対象サーバーの OS アップデートの管理だけを行うことができるように制限できます。この場合セキュリティー管理者は、OSUpdateAdmin という新しいロールを作成し、そのロールに次の権限を追加することができます。GroupRead、JobRead、LogRead、ServerDeployUpdate、ServerRead、 UpdateRead、UpdateWrite。このあと、セキュリティー管理者は作成したロールをそのユーザーに追加することになります。ユーザーに追加されたロールが OSUpdateAdmin のみの場合、そのユーザーは、OS アップデートの管理機能以外の、N1 System Manager のいかなる部分にもアクセスできません。
プロビジョニングネットワークだけにアクセスできるように N1 System Manager が設定されている場合は、管理者は、root 以外のユーザーに制限モードのロール ProvAdmin だけを割り当てることができます。このロールの権限については、表 2–4 を参照してください。
管理ネットワークだけにアクセスできるように N1 System Manager が設定されている場合は、管理者は、root 以外のユーザーに制限モードのロール MgmtAdmin だけを割り当てることができます。このロールの権限については、表 2–4 を参照してください。
制限モードでの N1 System Manager の動作については、「制限モードの機能」を参照してください。
SecurityAdmin ロールのみを持つ root 以外のユーザーが、 SecurityAdmin ロールに新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加したりして、自身の権限セットを拡張することはできません。詳細は、「セキュリティー管理者の規則」を参照してください。
次の表は、ロールに追加可能な定義済み権限の一覧です。show privilege コマンドを使用すると、簡易形式でこの表を参照することができます。
表 2–5 N1 System Manager の add、connect、および create の各コマンドの権限
コマンド |
必要な権限 |
---|---|
add group |
GroupRead |
add osprofile |
OSProfileWrite OSProfileRead UpdateRead |
add role |
RoleWrite |
add server |
ServerRead ServerExecute JobRead |
connect server |
ServerConsole ServerRead UpdateRead |
create firmware |
FirmwareWrite |
create group |
GroupRead GroupWrite |
create notification |
NotificationRuleWrite |
create os |
OSWrite JobRead UpdateRead UpdateWrite |
create osprofile |
OSProfileWrite OSProfileRead UpdateRead |
create role |
RoleWrite |
create update |
UpdateRead UpdateWrite |
create user |
UserWrite |
表 2–6 N1 System Manager の delete、discover、および load の各コマンドの権限
コマンド |
必要な権限 |
---|---|
delete firmware |
FirmwareRead FirmwareWrite |
delete group |
GroupRead GroupWrite |
delete job |
JobWrite JobRead |
delete notification |
NotificationRuleWrite |
delete os |
OSWrite |
delete osprofile |
OSProfileWrite |
delete role |
RoleWrite |
delete server |
ServerWrite JobRead |
delete update |
UpdateRead UpdateWrite |
discover |
Discover JobRead |
load group |
GroupRead FirmwareRead FirmwareWrite ServerDeployFirmware ServerDeployOS ServerDeployUpdate UpdateRead JobRead |
unload group |
GroupRead ServerDeployUpdate UpdateRead JobRead |
load server |
FirmwareRead FirmwareWrite ServerDeployFirmware ServerDeployOS ServerDeployUpdate JobRead |
unload server |
ServerDeployUpdate UpdateRead JobRead |
表 2–7 N1 System Manager の remove、set、および reset の各コマンドの権限
コマンド |
必要な権限 |
---|---|
remove group |
GroupWrite |
remove osprofile |
OSProfileWrite |
remove role |
RoleWrite |
set firmware |
FirmwareRead FirmwareWrite |
set group |
GroupRead GroupWrite |
set group group refresh |
ServerWrite JobRead |
set notification |
NotificationRuleRead NotificationRuleTest NotificationRuleWrite |
set os |
OSWrite |
set osprofile |
OSProfileWrite OSProfileRead UpdateRead |
set role |
RoleWrite |
set server |
ServerExecute ServerRead UpdateRead JobRead |
set server server refresh |
ServerWrite JobRead |
reset server |
ServerWrite JobRead |
reset group |
ServerWrite JobRead |
表 2–8 N1 System Manager の show、start、および stop の各コマンドの権限
コマンド |
必要な権限 |
---|---|
show firmware |
FirmwareRead |
show group |
GroupRead |
show job |
JobRead |
show log |
LogRead |
show notification |
NotificationRuleRead |
show privilege |
None |
show role |
RoleRead |
show os |
OSRead |
show osprofile |
OSProfileRead UpdateRead |
show server |
ServerRead |
show update |
UpdateRead |
show user |
UserRead |
start group |
ServerWrite JobRead |
start notification |
NotificationRuleWrite |
start server |
ServerWrite JobRead |
stop group |
ServerWrite JobRead |
stop job |
JobWrite JobRead |
stop server |
ServerWrite JobRead |
これらのコマンドについては、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』を参照してください。
N1 System Manager のセキュリティー管理者の重要な規則を次に示します。
セキュリティー管理者権限を root 以外の N1 System Manager のユーザーに付与するには、ユーザーに SecurityAdmin ロールだけを追加し、セキュリティー管理者権限のみを持つように設定すると安全です。そうしたユーザーが、SecurityAdmin ロールに新しい権限を追加したり、自分のユーザーアカウントに新しいロールを追加したりして、自身の権限セットを拡張することはできません。
セキュリティー管理者権限だけを持つ root ユーザーを設定してはいけません。
ユーザーが SecurityAdmin ロールとカスタムロールを持つ場合、そのユーザーがセキュリティー管理者権限のみ持つように設定してはいけません。これは、そうしたユーザーは、SecurityAdmin 権限を使用してカスタムロールに任意の権限を追加することが可能であり、このため、自身の権限セットを拡張することができるためです。
show privilege all コマンドを使用し、有効な権限の一覧を表示できます。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
1 つまたは複数の権限をつけた、新しいロールを作成します。
N1-ok> create role role [description description] privilege privilege[,privilege...] |
詳細は、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』の「create role」を参照してください。add role コマンドを使用し、あとでロールに権限を追加することもできます。
ロールが 1 人でもユーザーに追加されている場合、ロールを削除することはできません。使用中のロールを削除しようとすると、エラーになります。ロールを削除するには、権限を持つユーザーがすべてのユーザーからそのロールを削除し、そのあとでロールそのものを削除する必要があります。
show role all コマンドを使用すると、有効なすべてのロールを一覧表示できます。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ロールを削除します。
N1-ok> delete role role |
詳細は、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』の「delete role」を参照してください。
show privilege all コマンドを使用し、有効な権限の一覧を表示できます。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ロールに 1 つまたは複数の権限を追加します。
N1-ok> add role role privilege privilege[,privilege...] |
詳細は、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』の「add role」を参照してください。
1 つのロールに権限の大部分を追加する場合は、all オプションを使用してすべての権限を追加し、そのあとで remove role コマンドを使用して、不要な権限を削除します。
ロールに追加されているすべての権限を一覧表示するには、show role role コマンドを使用します。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ロールから 1 つまたは複数の権限を削除します。
N1-ok> remove role role privilege privilege [,privilege...] |
詳細は、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』の「remove role」を参照してください。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
使用可能なロールを一覧表示します。
N1-ok> show role all |
show role all コマンドを使用すると、有効なすべてのロールを一覧表示できます。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ロールに追加されている権限を一覧表示します。
N1-ok> show role role |
詳細は、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』の「show role」を参照してください。
次の例は、SecurityAdmin ロールに 5 つの権限が追加されていることを示しています。
N1-ok> show role SecurityAdmin 名前: SecurityAdmin 権限: UserWrite, RoleWrite, RoleRead, PrivilegeRead, UserRead |
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
すべてのユーザーの追加されている権限を一覧表示します。
N1-ok> show user all |
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
使用可能な権限を一覧表示します。
N1-ok> show privilege all |
この作業は、管理サーバーがプロビジョニングネットワークと管理ネットワークの両方にアクセスできる N1 System Manager の通常の構成を対象とします。
ユーザーは、割り当てられたデフォルトロールで自動的に N1 System Manager にログインします。ユーザーのデフォルトロールは、そのユーザーにデフォルトロールとして割り当てられたカスタムロールでもかまいません。必ずしもシステムのデフォルトロールにする必要はありません。システムのデフォルトロールは表 2–3 に示しています。
管理サーバーを再起動するか、N1 System Manager を再起動すると、root ユーザーのデフォルトロールが自動的に Admin に設定されます。root ユーザーのデフォルトロールに別のロールを設定することもできますが、その割り当ては永続的ではありません。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ユーザーに追加されているロールを表示します。
N1-ok> show user user |
このコマンドを実行するには、SecurityAdmin ロールの権限が必要です。詳細は、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』の「show user」を参照してください。
ユーザーのデフォルトロールを設定します。
N1-ok> set user user defaultrole defaultrole |
詳細は、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』の「set user」を参照してください。
N1 System Manager がプロビジョニングネットワークと管理ネットワークの両方にアクセスできる通常の構成で動作している場合は、すべてのユーザーのデフォルトロールとして Admin ロールを割り当てることができます。また、同じ権限を持つカスタムロールを作成することもできます。
N1 System Manager がプロビジョニングネットワークと管理ネットワークの両方にアクセスできる通常の構成で動作している場合は、ユーザー用に作成するカスタムロールには、N1 System Manager の全機能を使用する権限が必要です。
root ユーザーのデフォルトロールを、SecurityAdmin ロールに設定する例を次に示します。
N1-ok> show user root 名前: root デフォルトロール: Admin ロール: SecurityAdmin, ReadOnly, Admin N1-ok> set user root defaultrole SecurityAdmin |
この作業は、管理サーバーがプロビジョニングネットワークまたは管理ネットワークのどちらかだけにアクセスでき、両方にはアクセスできない、N1 System Manager の制限モード構成を対象とします。
ユーザーは、割り当てられたデフォルトロールで自動的に N1 System Manager にログインします。ユーザーのデフォルトロールは、そのユーザーにデフォルトロールとして割り当てられたカスタムロールでもかまいません。必ずしもシステムのデフォルトロールにする必要はありません。システムのデフォルトロールは表 2–3 に示しています。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ユーザーに追加されているロールを表示します。
N1-ok> show user user |
このコマンドを実行するには、SecurityAdmin ロールの権限が必要です。詳細は、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』の「show user」を参照してください。
ユーザーの制限モードのロールを設定します。
N1-ok> set user user defaultrole defaultrole |
詳細は、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』の「set user」を参照してください。
N1 System Manager が管理ネットワークだけにアクセスできる制限モードの場合は、次のコマンドを使用します。
N1-ok> set user user defaultrole MgmtAdmin |
N1 System Manager がプロビジョニングネットワークだけにアクセスできる制限モードの場合は、次のコマンドを使用します。
N1-ok> set user user defaultrole ProvAdmin |
これらのロールに関連付けられた権限の詳細については、表 2–4 を参照してください。
制限モードの ProvAdmin ロールと MgmtAdmin ロールは削除または変更できますが、システムの安定性を保つには、N1 System Manager が制限モードで動作するために必要な権限をカスタムロールに含めるようにする注意する必要があります。詳細は、「制限モードの機能」を参照してください。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ユーザーのデフォルトロールを表示します。
N1-ok> show user user |
詳細は、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』の「show user」を参照してください。
Admin デフォルトロールが設定された root ユーザーの例を次に示します。
N1-ok> show user root 名前: root デフォルトロール: Admin ロール: SecurityAdmin, ReadOnly, Admin |
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ユーザーに 1 つまたは複数のロールを追加します。
N1-ok> add user user role role[,role...] |
詳細は、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』の「add user」を参照してください。show role all コマンドを使用すると、有効なすべてのロールを一覧表示できます。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ユーザーから 1 つまたは複数のロールを削除します。
N1-ok> remove user user role role[,role...] |
詳細は、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』の「remove user」を参照してください。show user user コマンドで、ユーザーに割り当てられているすべてのロールを一覧表示できます。
N1 System Manager にログインします。
詳細は、「N1 System Manager のコマンド行にアクセスする」を参照してください。
ユーザーに追加されているロールを一覧表示します。
N1-ok> show user user |
詳細は、『Sun N1 System Manager 1.3 コマンド行リファレンスマニュアル』の「show user」を参照してください。
次の例は、root ユーザーに現在 SecurityAdmin、ReadOnly、および Admin の各ロールがあり、デフォルトロールが Admin であることを示しています。
N1-ok> show user root 名前: root デフォルトロール: Admin ロール: SecurityAdmin, ReadOnly, Admin |