![]() ![]() ![]() ![]() |
ALDSP 3.0 は 2 つのタイプのセキュリティを提供します。
この章では、異なったユーザのために ALDSP Administration Console を通してどうランタイム セキュリティおよびアクセス コントロールを構成して、管理することができるかを説明します。 内容は以下のとおりです。
ALDSP セキュリティ機能との操作ために、最初に、ALDSP Administration Console をアクセスするユーザを、定義して、作成しなければなりません。 ユーザを作成の情報については、WebLogic Server Administration Console オンライン ヘルプのユーザの作成 を参照してください。
ALDSP アーティファクトを保護するには、ランタイム セキュリティ ポリシーを作成することができます。ALDSP アーティファクトまたはリソースは、データスペース、サービス、オペレーション、ライブラリ プロシージャおよびデータ要素を含めています。
ランタイム セキュリティ ポリシーの詳細については、「ランタイム セキュリティ ポリシーについて」を参照してください。
ALDSP 対応 WebLogic Server ドメインにてユーザを作成した後、管理アクセス制御ポリシーを適用してこれらのユーザの管理アクセスを制御することができます。ALDSP Administration Console におけるアクセス制御は、ユーザ資格に基づいています。特定のドメインのスーパーユーザとあるドメイン ユーザによってユーザに資格が割り当てられます。ALDSP ドメインを作成し、ユーザ名およびパスワードを指定すると、ドメイン ユーザが作成されます。
管理アクセス制御に関する詳細については、「管理アクセス制御ポリシーの操作」を参照してください。
ランタイム セキュリティ機能は、データスペース、データ サービス、オペレーションおよびデータ要素などのリソースへのアクセスをコンフィグレーションすることを可能にします。保護されたリソースの場合、要求側クライアントはそのリソースに適用可能なセキュリティ ポリシーの条件 (リソースへのアクセスが、型付きの Mediator API、アド ホック クエリ、または任意のアクセス インタフェースのどれを介して行われるのか) に合致している必要があります。ALDSP は、デプロイ対象のアーティファクトを、セキュリティ ポリシー制御を通じて保護され得るリソースとして公開します。
たとえば、ALDSP データスペース全体へのアクセスを制御することも、Customer_Order.ds におけるクレジット カード番号要素のみへのアクセスを制御することも可能です。
ALDSP インスタンスは保護されているリソースに対する要求を受け取ると、そのリソースの識別子を WebLogic に渡します。すると、WebLogic Server はリソース識別子、ユーザ名などのコンテキスト情報を、XACMLAuthorizer などの認可プロバイダに渡します。プロバイダは、リソースに適用されるポリシーを評価します。評価の結果、リソースへのアクセスが許可またはブロックされます。
ユーザが要素レベルのポリシー条件を満たしていない場合、その要素は結果オブジェクトからは編集されて表示されません。
注意 : | デフォルトでは、WebLogic Server セキュリティは XACML 認可プロバイダを使用します。その他の認証機能では、ポリシー評価を実施するために必要な任意の外部リソースを使用できます。 |
保護可能なリソースとは、ランタイム セキュリティ ポリシーを適用可能なデータ サービス、オペレショーンまたは要素などの ALDSP アーティファクトです。ランタイム セキュリティで保護可能なリソースには、次のものがあります。
個々のリソースの保護が完了すると、データスペースに対するセキュリティを有効化または無効化できます。セキュリティ ポリシーは、継承されます。つまり、データスペース レベルで有効化されたそのセキュリティは、データスペース内のすべてのデータ サービス、オペレーションおよび関数に対して適用されます。しかし、ある特定のリソースに、複数のポリシーが適用されている場合は、より特定的なポリシーが優先されます。たとえば、要素に対するポリシーが、データ サービスに対するポリシーに取って代わります。
図 5-2 では、ALDSP データスペースの保護可能なリソースを示します。
データスペース レベルで、ポリシーを作成して匿名アクセスを有効することができます。このポリシーを適用すると、デフォルトではすべてのユーザ (認証されていないユーザも) がリソースにアクセスすることができます。データスペース レベルでランタイム ポリシーを作成するに関する情報については、「データスペース レベル セキュリティのコンフィグレーション」を参照してください。
匿名アクセス オプションは、WebLogic 認可プロバイダをのみ処理します。ALDSP セキュリティポリシーは、WebLogic 認可プロバイダをのみ処理ことを目的としています。別の認可プロバイダを使用する場合は、その別のプロバイダの機能を使用してポリシーを作成する必要があります。詳細については、Administration Console オンライン ヘルプの「WebLogic 認可プロバイダ : プロバイダ固有」を参照してください。
ALDSP Administration Console 上のセキュリティ コンフィグレーション タブは、コンフィグレーションが可能なランタイム セキュリティ ポリシーを提供します。ALDSP Administration Console でランタイム セキュリティを設定するには、次のタスクが必要です。
ALDSP はリソースのためにランタイム セキュリティ ポリシーを直接サポートします。WebLogic Platform では、暗号ベースで転送レベルのセキュリティなど、ユーザによる実装に適用可能な拡張セキュリティ機能もサポートしています。ランタイム セキュリティ コンフィグレーションのため、ALDSP は、ALDSP Administration Console の述部 と呼ばれる次のポリシーを提供します。
ALDSP Administration Console のセキュリティ ポリシーは、WebLogic Server セキュリティによって使用された条件と同様です。WebLogic Server セキュリティ ポリシーおよび条件の詳細については、WebLogic Server マニュアルの「ロールおよびポリシーによる WebLogic リソースの保護」を参照してください。
ランタイム セキュリティ ポリシーを作成の追加に、Web サービスおよび Java 関数などの外部のデータ ソースのセキュリティ コンフィグレーションをマップするためにサービス アカウントを作成することができます。 この機能は、外部のデータ ソースの資格の安全な保管を確認し、ランタイム ID マッピングを可能にします。
ランタイム ポリシーの作成および適用を開始するまえに、図 5-3 に示すように [一般] タブの [アクセス制御を有効化] チェックボックスが選択されていることを確認します。その結果、セキュリティ ポリシー コンフィグレーションをアクティブ化します。アクセス制御が選択されていない場合は、データスペースに対してセキュリティが有効化されていません。[一般] タブは、データスペースでのみ使用可能です。
データスペース、データ サービスおよびオペレーションに対してランタイム セキュリティ ポリシーを作成し、適用するための手順は同じです。ただし、ナビゲーション ペインから ALDSP リソースを選択していることを確認する必要があります。ランタイム セキュリティ ポリシーを作成し、適用するには以下の手順に従います。
注意 : | ユーザ述語を選択した場合、特定のユーザに対してデータスペースへのアクセスを許可していることを意味します。このユーザが、WebLogic Server によって認証されていることを確認してください。 |
データスペース全体にアクセスする資格が割り当てられているユーザにア対してアクセスを確認するランタイム ポリシーをコンフィグレーションすることができます。データスペース レベルで、セキュリティ コンフィグレーション タブは次のタブを提供します。
注意 : | アクセス ポリシーが時間に依存しているか、または変更されており、かつメタデータ アクセス制御オプションが有効化されていると、リストされたテーブルおよびプロシージャにアクセスできない場合があります。 |
詳細については、「アクセス制御リソースのエクスポート」を参照してください。
サードパーティ認可プロバイダが使用されると、このタブは、次のようなメッセージを表示します。
"AquaLogic Data Service Platform ドメインに対するポリシーはコンフィグレーションされた外部ポリシー プロバイダにおいて定義される必要があります。"
セキュリティ ポリシーの作成および適用の詳細については、「ランタイム セキュリティ ポリシーの作成および適用」を参照してください。
XQuery セキュリティ関数は、ALDSP リソースのデータ駆動型セキュリティを可能にします。データスペースレベルにおいて、条件が満たされた場合にのみデータ要素が返されることを確実にするために XQuery 関数の作成と管理ができます。ただし、これらの関数をデータ サービスに関連付けるために、データサービスで関数が適用される要素を指定します。
注意 : | 標準のセキュリティ ポリシーと、XQuery 関数が両方とも、所定のデータ要素に適用されている場合、アクセスが許可されるためには、2 つのポリシーの評価結果が双方とも true でなければなりません (結果には論理 and が適用されます)。 |
データ駆動型セキュリティ ポリシーを適用するには、次の手順に従います。
アプリケーション内のデータ要素に対して適用する 1 つまたは複数の XQuery 関数を作成できます。
セキュリティに対して XQuery 関数を作成するには、次の手順に従います。
declare namespace f1 = "ld:CUSTOMER_ORDER";
declare function f1:secureOrders($order as
element(f1:CUSTOMER_ORDER)) as xs:boolean {
if (fn-bea:is-access-allowed("LimitAccess",
"ld:CUSTOMER_ORDER.ds")) then
fn:true()
else if ($order/TotalOrderAmount lt
(fn-bea:get-property("total_order_amount", "1000000") cast as
xs:decimal))
then
fn:true()
else
fn:false()
};
関数は、BEA 拡張 XQuery 関数 is-access-allowed()
を使用します。この関数は、現在の要求コンテキストと関連付けられたユーザが、要素名およびリソース識別子によって示される、指定リソースにアクセスできるかどうかをテストします。
ALDSP では、セキュリティ目的で、さらに以下の便利な関数を用意しています。
注意 : | XQuery 関数の作成に関する詳細については、『XQuery および XQSE 開発者ガイド』を参照してください。 |
注意 : | セキュリティ XQuery 関数が有効化するには、データ要素に適用されている必要があります。詳細については、「セキュリティに対する XQuery 関数の適用」を参照してください。関数は、関数の修飾名によって要素に適用されます。関数に対して要求されるのは、ブール値を返すことと、名前がネームスペース URI によって修飾されることのみです。 |
セキュリティのための XQuery 関数を使用して、データ要素へのアクセスを制御できます。「セキュリティに対する XQuery 関数の作成」で説明されているようにセキュリティのための XQuery 関数を定義後、この関数を対応するデータ要素に適用して有効化する必要があります。さらに、セキュリティのための XQuery 関数とともに追加のセキュリティを提供するデータ要素を保護するにはポリシーを定義します。(詳細については、「データ要素レベル セキュリティのコンフィグレーション」を参照してください)。
データ要素のセキュリティ コンフィグレーションに任意の変更をするには、[ロックして編集] をクリックしてロックを取得する必要があります。セキュリティのための XQuery 関数をデータ要素に適用するには、
このオプションは、要素または属性に定数値を割り当てることを可能にします。しかし、これはプリミティブ タイプだけサポートしているので、複雑なタイプに対してデフォルト値を割り当てることをできません。
注意 : | このチェック ボックスを選択した場合、リソースに対してデフォルト値を指定する必要があります。 |
サービス アカウントは、外部データ ソースのユーザ資格を格納するためにオプションを提供します。ALDSP Administration Console 内のユーザの資格をコンフィグレーションしてローカル WebLogic ユーザおよびリモートの外部データ ソース ユーザ間のマッピングを提供します。
Web サービスおよび Java 関数のためにサービス アカウントをコンフィグレーションすることができます。JDBC ID マッピングに対して、ALDSP は WebLogic Server 9.2 組み込みサポートに応じます。
サービス アカウントは、以下のような複数の種類のマッピングを提供します。
注意 : | パス スルー サービス アカウントは、WebLogic Server にだけ適用し、信頼するドメイン設定が必要とします。 |
注意 : | 一度サービス アカウントを作成し、タイプも定義すればそれを変更することができません。サービス アカウント タイプを変更したい時、そのアカウントを削除し、新しいアカウントを作成します。 |
注意 : | 選択されたリソース型によって、[次へ] を有効にします。 |
このページでは、認可されたリモート ユーザ (外部データ ソース) を定義して認証される外部データ ソース ユーザとして追加できます。
認可とは、ユーザとリソースの対話を制限して、整合性、機密性、および可用性を確保するプロセスです。WebLogic では、データスペース、データ サービスおよびオペレーションのようなデプロイされた ALDSP アーティファクトを識別するためリソース識別子を使用します。この識別子は、要求されたリソースについてコンフィグレーションされる任意のセキュリティ ポリシーに、クライアント要求を関連付けるのに使用されます。
リソース識別子は、デフォルトの WebLogic 認可プロバイダおよび ALDSP Administration Console を使用してポリシーをコンフィグレーションしている場合には、自動的に管理されます。特に、ALDSP データスペース、データ サービスおよびデータ サービス オプレーションについては、リソース識別子がすでに存在しています。加えて、保護する要素をコンソールで選択すると、その要素の識別子が生成されます。
ただし、カスタム認可機能を使用している場合は、ユーザがデプロイメントのリソース識別子を知っていて、その別の認可モジュールが予期する形式で、リソースのためのポリシーをコンフィグレーションする必要があります。つまり、保護する要素リソースを識別する必要があるということです。
注意 : | WebLogic セキュリティ ドキュメントで、WebLogic Server に対して別のセキュリティ認証機能を接続する方法の詳細を説明しています。詳細については、『Administration Console オンライン ヘルプ』の「WebLogic 認可プロバイダ」を参照してください。 |
ALDSP Administration Console からアクセス制御リソースをエクスポートすることで、リソース識別子のリストを参照できます。
<ld type="admin"><app>DOMAIN</app></ld>
<ld type="admin"><app>ADMIN</app></ld>
<ld type="admin"><app>MONITOR</app></ld>
<ld type="admin"><app>BROWSER</app></ld>
<ld type="admin"><app>ADMIN</app><ds>DSP_TEST</ds></ld>
<ld type="admin"><app>MONITOR</app><ds>DSP_TEST</ds></ld>
<ld type="admin"><app>BROWSER</app><ds>DSP_TEST</ds></ld>
<ld type="app"><app>DSP_TEST</app></ld>
<ld type="service"><app>DSP_TEST</app><ds>ld:CREDIT_CARD.ds</ds></ld>
<ld type="function"><app>DSP_TEST</app><ds>ld:CREDIT_CARD.ds</ds><res>{ld:CREDIT_CARD}CREDIT_CARD:0</res></ld>
<ld type="function"><app>DSP_TEST</app><ds>ld:CREDIT_CARD.ds</ds><res>{ld:CREDIT_CARD}createCREDIT_CARD:1</res></ld>
<ld type="function"><app>DSP_TEST</app><ds>ld:CREDIT_CARD.ds</ds><res>{ld:CREDIT_CARD}deleteCREDIT_CARD:1</res></ld>
<ld type="function"><app>DSP_TEST</app><ds>ld:CREDIT_CARD.ds</ds><res>{ld:CREDIT_CARD}updateCREDIT_CARD:1</res></ld>
<ld type="service"><app>DSP_TEST</app><ds>ld:CUSTOMER.ds</ds></ld>
リソース識別子のフォーマットを、図 5-12 に示します。
型は管理、サービスまたは関数のいずれかです。リソースは、次のうちのどれかです。
これらは、ALDSP Administration Console の [セキュリティ保護された要素] タブで要素を選択すると、生成されます。
データ サービスには 1 つまたは複数の読み取り、作成、更新、削除、ナビゲーションおよびライブラリ操作を含む複数の操作があります。データ サービス レベルで適用されたセキュリティ ポリシーをデータ サービス操作およびデータ要素に適用します。データ サービス レベルで保護するデータ要素も選択します。
操作レベルのセキュリティ ポリシーによって制御できるものは次のとおりです。
注意 : | ユーザが直接アクセスするデータ サービス リソースに対してのポリシーをコンフィグレーションすることを確認します。他のデータ サービスによって使用されるデータ サービスに対するセキュリティ ポリシーは、呼び出し側のデータ サービスに継承されません。つまり、保護されたリソースを備えたデータ サービスが、他のデータ サービスを介してアクセスされた場合、呼び出し側に対してポリシー評価が行われることはありません。詳細については、「操作に対するセキュリティ ポリシーの作成およびコンフィグレーション」を参照してください。 |
注意 : | データ サービス操作は、セキュリティ コンフィグレーションを設定する名前とパラメータ数で識別されます。パラメータ数を変更した場合は、操作のセキュリティ設定を再コンフィグレーションする必要があります。 |
データ サービス レベルおよび操作レベルでセキュリティ ポリシーを作成する手順はデータスペースと同じです。詳細については、「ランタイム セキュリティ ポリシーの作成および適用」を参照。
データ サービス レベルで保護するデータ要素を選択できます。[セキュリティ保護された要素] タブを使用して、保護するデータ要素を選択できます。たとえば、セキュリティのための XQuery 関数を作成してデータ要素に関連付ける場合、[セキュリティ保護された要素] タブからデータ要素を選択してデータ要素レベルのセキュリティをコンフィグレーションできます。セキュリティの XQuery 関数については、「セキュリティの XQuery 関数の操作」を参照してください。
データ要素にセキュリティを適用するには、ナビゲーション ツリーから要素を選択します。[セキュリティ保護された要素] タブを使用して、保護された要素を選択できます。詳細については、「データ要素レベル セキュリティのコンフィグレーション」を参照してください。
この設定は、この操作にアクセスするたびにランタイム ポリシーに準拠していることを保証します。次の例を見てみましょう。
このシナリオでは、ユーザ 1 で fn1 にアクセスすると、ランタイム セキュリティ ポリシーのコンフィグレーションはユーザ 1 を fn2 にアクセスが許可されていないので、アクセスは拒否されます。
fn2 のために [常に保護される] チェック ボックスを選択しない場合、ユーザ 1 またはユーザ 2 どちらも使用すると、システムは fn2 の代わりに fn1 のみのセキュリティ ポリシーを確認するので、fn1 にアクセスできます。
要素レベルのセキュリティでは、データ サービス内の戻り値の型のデータ要素と、セキュリティ ポリシーを関連付けます。ポリシー条件が満たされていない場合、対応するデータは、結果に含まれません。
要素レベルのセキュリティ ポリシーはデータ サービスのすべての操作にわたって適用します。つまり、特定のデータ サービスに対して設定されたセキュリティ ポリシーは、継承されません。同じデータが、ソースから、またはポリシーがコンフィグレーションされているデータ サービスに含まれるものとして、別のデータ サービスを構成する場合、そのポリシーはそれらのデータ サービスのユーザに対しては適用されません。
要素レベルのセキュリティをコンフィグレーションする際は、まず要素を保護可能なリソースとして識別し、その後、リソースに対してポリシーを設定します。
注意 : | 要素レベルおよびデータ駆動型セキュリティのみを読み込みおよびナビゲート関数に適用します。 |
「ランタイム セキュリティ ポリシーの作成および適用」で説明された手順に従って、データ操作セキュリティ ポリシーがコンフィグレーションできます。
セキュリティのための XQuery 関数を対応するデータ要素に関連付けるため、[セキュリティ保護された要素] タブを選択して、「セキュリティに対する XQuery 関数の適用」で説明された手順に従ってください。
Eclipse IDE の [必要な基本認証] プロパティを使用して、ネイティブな Web サービスのためにセキュリティ ポリシーを設定できます。ネイティブな Web サービスにランタイム セキュリティ ポリシーを設定して、このプロパティを true に設定します。これによって、ネイティブな Web サービスにセキュリティ ポリシーが適用されます。[必要な基本認証] プロパティの詳細については、『データ サービス開発者ガイド』の「データ サービスの設計」における「データ サービスにセキュリティ リソースの追加」を参照してください。
ALDSP Administration Console のサービス エクスプローラでは、[必要な基本認証] プロパティが true または false に設定されているか確認できます。サービス エクスプローラにプロパティ用の情報の表示
図 5-17 に示すように、ユーザ定義のセキュリティ リソースが Eclipse IDE プロパティ エディタで作成されます。
セキュリティ リソース値の設定については、『データ サービス開発者ガイド』の「セキュリティ リソースの宣言」を参照してください。
セキュリティ リソースに値を割り当てた後で、ユーザ定義のセキュリティ リソースに対してランタイム セキュリティ ポリシーを作成できます。前の図では、セキュリティ リソースの値は ordertime です。データスペースをデプロイした後、ALDSP Administration Console にこのリソースが表示されます。図 5-18 では、[customerorder] データ サービスのナビゲーション ツリーに [ordertime] セキュリティ リソースを示します。
コンソールを使用して、[ordertime] セキュリティ リソースのランタイム セキュリティ ポリシーを作成できます。
管理ロールでは、ALDSP Administration Console にアクセスする資格が必要です。図 5-19 に示すように、管理アクセス制御カテゴリを使用して、これらの資格が割り当てられます。
コンソールのスーパーユーザになっているドメイン ユーザは、ユーザに資格を割り当てる。ドメイン資格に加えて、他の事前定義の資格 (管理、モニタおよび参照) は異なるカテゴリおよびリソースの情報へのアクセスが許可されます。資格の階層的な構造は以下のとおりです。
この階層は、ドメイン内のすべてのデータスペースや特定のデータスペースのためのドメイン資格によって、ドメイン権利が ALDSP Administration Console ですべてのタスクを実行することを示唆しています。しかし、他の資格ではドメイン資格を持っているユーザが実行できるすべてのタスクが実行できません。たとえば、ドメイン資格を持っている場合のみ、管理アクセス制御ポリシーが設定されます。同様に、管理資格は、参照資格またはモニタ資格よりも多くのタスクをデータスペースで実行できます。
注意 : | 資格はデータスペース レベルまたはすべてのデータスペースに対して割り当てられます。たとえば、ユーザ A は、DS1 に対する管理資格、DS2 に対するモニタ資格および DS3 に対する参照資格が割り当てられます。また、ユーザ A にドメイン内のすべてのデータスペースのため管理資格を割り当てることができます。詳細については、「資格の割り当て」を参照してください。 |
ALDSP ドメインを作成する場合、WebLogic Server でデフォルトのドメイン ユーザが作成されます。コンソールのために 1 つまたは複数のドメイン ユーザがあります。また、1 つのドメイン ユーザは他のドメイン ユーザを作成します。
注意 : |
デフォルトでは、図 5-19 に示すように、WebLogic Server Administrator ロールからマップした ALDSP Administration Console のドメインのために管理ロールを作成します。
表 5-1 では、各資格のユーザで実行されるすべてのタスクを示します。
|
|||
WebLogic Server 9.2 で作成されたユーザのために資格を作成して、WebLogic Server Administration Console を使用して管理できます。
ドメインにあるすべてのデータスペースのため、ユーザに資格を割り当てることができます。たとえば、データスペース DS1、DS2 および DS3 の管理資格をユーザに割り当てる場合、[管理資格] オプションを選択します。同様に、ナビゲーション ツリーから [モニタまたは参照] オプションを選択してすべてのデータスペースのユーザにモニタおよび参照資格を割り当てることができます。
注意 : | この場合は、データスペース DS1 のため管理資格を選択します。 |
注意 : | 述語のリストから他のオプションが選択できます。詳細については、「ランタイム セキュリティ ポリシーについて」を参照してください。 |
データスペースによって割り当てられた資格に基づくカテゴリ リストが表示されます。たとえば、DS1 のため管理資格を持っているユーザ A は [セキュリティ コンフィグレーション] タブが表示されます。しかし、ユーザ A は DS2 のモニタ資格を持っている場合、ユーザ A のため DS2 の [セキュリティ コンフィグレーション] タブが表示されません。
管理資格をユーザに割り当てるためにコンフィグレーションされたセキュリティ ポリシーは、何気無く削除できます。これは ALDSP Administration Console の 1 つの管理ユーザの資格である場合、コンソールから管理ユーザがロックアウトされます。
この場合、WebLogic Server の com.bea.dsp.security.admin.bootstrap
システム プロパティをコンフィグレーションできます。このプロパティでは、ドメインのアクセス権を取得するユーザ名を指定できます。しかし、いくつかのポリシーを編集したので ALDSP Administration Console がロックされている場合のみこのプロパティを使用する必要があります。
<aldsp_home>\samples\domains\aldsp\bin
に格納されている setDomainEnv.cmd
ファイルを開く。
<aldsp_home> は ALDSP のホーム ディレクトリです。たとえば、c:\bea\aldsp_3.0
com.bea.dsp.security.admin.bootstrap
システム プロパティを含むために、このファイルを編集します。次に例を示します。set JAVA_OPTIONS=%JAVA_OPTIONS% %JAVA_PROPERTIES%
-Dwlw.iterativeDev=%iterativeDevFlag%
-Dwlw.testConsole=%testConsoleFlag%
-Dwlw.logErrorsToConsole=%logErrorsToConsoleFlag%
-Dcom.bea.dsp.security.admin.bootstrap=<username>
ここの、<username> では ALDSP Administration Console の管理ユーザを指定します。
注意 : | com.bea.dsp.security.admin.bootstrap システム プロパティに指定されているユーザ名は WebLogic Server console を使用してすでに作成されているユーザと同じである必要があります。 |
ドメイン ユーザは ALDSP Administration Console からロックのコントロールを解除できます。ロックを取得したが長い時間に解除していない管理ユーザ等のユーザの場合ユーザからロックを解除して、他の管理ユーザがコンフィグレーションを更新するためにロックを取得する必要があります。1 人のドメイン ユーザは他のドメイン ユーザからロックを取得できます。
ユーザによってロックが取得されると、図 5-21 に示すように、ドメイン ユーザのため [ロックして編集の取得] オプションが有効になります。
ドメイン ユーザは、チェンジ センタからの [ロックして編集の取得] オプションをクリックしてロックを取得できます。この場合、ロックを取得さしたユーザは コンソールでコア コンフィグレーション値を参照でき、ドメイン ユーザまたは他の管理ユーザは保留中の変更リストを使用して他のユーザによって行なわれた変更を参照できます。保留中の変更リストの詳細については、「保留中の変更リスト」を参照してください。
![]() ![]() ![]() |