ユーザー、グループ、および役割の概要 (Sun Management Center 4.0 インストールと構成ガイド)

Sun Management Center 4.0 インストールと構成ガイド

ユーザー、グループ、および役割の概要

Sun Management Center のユーザーとユーザーグループをセットアップする前に、予想される管理作業の種類について理解する必要があります。これは、それらの作業を適切なユーザークラスに割り当てるためです。ユーザーグループと役割を念入りに計画することで、構成を適切に管理するとともに、管理情報やシステムリソースのデータ整合性とセキュリティーを実現しやすくなります。

あらかじめマスターアクセスファイル /var/opt/SUNWsymon/cfg/esusers で明示的に識別されていないかぎり、どのユーザーも Sun Management Center にアクセスすることはできません。Sun Management Center に対するアクセス権を付与するには、ユーザー名を /var/opt/SUNWsymon/cfg/esusers に追加します。追加されたユーザーは、そのユーザー名とパスワードを使用して Sun Management Center にログインできます。

ユーザーがログインすると、Sun Management Center は PAM に基づく認証を使用してユーザーを認証します。すなわち、次に示す機能上の役割に応じてアクセスを制御し、ユーザー権限を決定します。

Domain Administrators (ドメイン管理者) – この役割は、最高レベルの役割です。サーバーコンテキスト内に最上位のドメインを作成したり、それらのドメイン内のほかの Sun Management Center ユーザーに権限を割り当てたりすることをメンバーに許可します。ドメイン管理者は、特定のドメインを作成し、続いてそれらのドメインにユーザー権限を割り当てることによって特定のトポロジ環境のためのカスタマイズ構成を確立できます。esdomadm UNIX ユーザーグループのメンバーである場合、そのユーザーはドメイン管理者とみなされます。
Administrator (管理者) – この役割は、トポロジシステムの領域を超えるあらゆるオペレーションに対する管理用の役割です。管理者は、モジュールの読み込み、管理対象オブジェクトやデータプロパティーの構成といった特権的な作業を実行できます。管理者は、エージェントレベルとモジュールレベルでアクセス制御を指定することもできます。このような制御が可能なことから、この役割はエンタイトルメント (権限付与) ポリシーを確立し維持する手段となります。esadm UNIX ユーザーグループのメンバーである場合、そのユーザーは管理者とみなされます。
Operators (オペレータ) –この役割を持つシステムユーザーは、独自のドメインとトポロジコンテナを構成することができます。また、データ収集やアラームに関連して管理対象オブジェクトの設定を行なったり、管理情報を確認したりもできます。オペレータは管理モジュールの有効化および無効化も行えますが、デフォルトではモジュールの読み込みとアクセス制御権の変更は行えません。このようなことから、オペレータは、製品を効率良く使用したり処理を微調整したりすることはできても、主要な構成やアーキテクチャー上の変更はできないユーザークラスだと言えます。esops UNIX ユーザーグループのメンバーである場合、そのユーザーはオペレータとみなされます。
General user (一般ユーザー) – この役割は、前述の 3 つのグループに明示的に属していないユーザーのためのものです。一般ユーザーは広範な権限が与えられることがなく、デフォルトでは管理情報の表示と、アラームの確認応答ができるだけです。一般ユーザーの役割は、問題の特定、修復、および引き継ぎを主要目標とする第一線のサポートに適しています。

大規模組織では、Sun Management Center セキュリティーの役割が既存のシステム管理機能やサポート機能に直接割り当てられます。中小の組織では、企業職分と製品の役割の区分がさほど明瞭ではないためにプロセスが入り組んだものとなることがあります。場合によっては、1 人のユーザーにすべての論理の役割を割り当てるという方法が認められることもあります。

注 –

権限の指定は柔軟に行え、Sun Management Center の 4 つのセキュリティーの役割に限定する必要はありません。

Sun Management Center 権限は、ドメイン、トポロジコンテナ、エージェント、およびモジュールの各レベルで明示的に指定できます。権限指定では、任意の UNIX ユーザーまたは UNIX グループを基準とし、前述のグループを慣例的に使用するだけに留めることができます。つまり、機能の役割を割り当てる際に Sun Management Center 権限グループに対して既存のアカウント構成を使用できます。権限を割り当てる場合に明示的なユーザーを指定することはお勧めできませんが、UNIX グループがすでに確立されている環境では UNIX グループを使用すると便利な場合があります。

セキュリティーの役割、グループ、およびユーザーの詳細は、「ユーザーのセットアップ」および Chapter 18, 「Sun Management Center Security,」 in 『Sun Management Center 3.6.1 User’s Guide』を参照してください。