JP1/Base 運用ガイド
自ホストから他ホストへジョブやリモートコマンド(自動アクション)を実行する際,JP1ユーザーは実行先ホストのOSユーザーとして実行することになります。ユーザーマッピングは,JP1ユーザーとOSユーザーを対応づける機能です。JP1/AJS2 - Viewでログインするホストおよびジョブやリモートコマンド(自動アクション)を実行するホストで設定します。
ここでは,コマンドを使ったユーザーマッピングの設定方法について説明します。なお,ユーザーマッピングを設定する前に,ユーザーマッピングを設定するOSユーザーおよびユーザーマッピングされるOSユーザーそれぞれにWindows特有のユーザー権利を与える必要があります。詳細については,「4.2.5 ユーザーマッピングを設定する前に」を参照してください。
Windowsの場合,ユーザーマッピングを設定する各ホストで,マッピングするOSユーザーとそのOSユーザーのパスワード情報を,JP1/Baseのパスワード管理情報に登録する必要があります。
- 注意事項
- JP1/BaseのGUI,[JP1/Base環境設定]ダイアログボックスの[ユーザーマッピング]タブの[OSユーザー設定時にWindowsに対してログオンチェックを行わない]をチェックした場合,次に示す条件であっても,OSユーザーの登録に成功します。
- システム(Windows)に登録されていないOSユーザーの登録
- パスワードが誤っているOSユーザーの登録
- [パスワード管理]で設定するユーザーに「オペレーティングシステムの一部として機能」のユーザー権利※がない状態でのOSユーザーの登録
- OSユーザーに「ローカル ログオン」のユーザー権利がない状態でのOSユーザーの登録
- [OSユーザー設定時にWindowsに対してログオンチェックを行わない]をチェックしなかった場合は,上記条件でコマンドを使ってOSユーザーを登録しようとしても失敗します。
- 注※ このマニュアルで対象製品としていないWindowsの場合に必要なユーザー権利です。このマニュアルで対象製品としているWindowsの場合は,このユーザー権利を与えなくてもOSユーザーの登録に成功します。
JP1/Baseでは,パスワード管理情報を設定するためのコマンドを提供しています。提供しているコマンドとその用途を次の表に示します。
表4-3 パスワード管理情報設定用コマンド
コマンド名 用途 参照先 jbspassmgr [パスワード管理]ダイアログボックスを表示するコマンドです。 (1) jbsmkpass 定義ファイルを利用して複数のOSユーザーのパスワード管理情報を一括して設定するコマンドです。 (2) jbsumappass OSユーザーを個別に追加したり,パスワード管理情報に登録されたOSユーザーのパスワードを個別に変更したりするコマンドです。 (3) jbsrmumappass パスワード管理情報に登録されたOSユーザーを個別に削除するコマンドです。 (4) 上記表の四つのコマンドのどれかを利用してJP1/Baseのパスワード管理情報の設定を済ませたら,ユーザーマッピング情報を登録します。
JP1/Baseでは,共通定義情報にユーザーマッピング情報を一括して設定するコマンドや,個別にユーザーマッピング情報を登録,変更,削除するコマンドを提供しています。提供しているコマンドとその用途を次の表に示します。
コマンド名 用途 参照先 jbsmkumap 定義ファイルを利用して,共通定義情報にユーザーマッピング情報を一括して登録するコマンドです。 (5) jbssetumap 定義ファイルを利用して,共通定義情報にユーザーマッピング情報を個別に追加したり,共通定義情報に登録されたユーザーマッピング情報を変更したりするコマンドです。 (6) jbsrmumap 共通定義情報に登録されたユーザーマッピング情報を個別に削除するコマンドです。 (7)
- <この項の構成>
- (1) [パスワード管理]を表示する
- (2) OSユーザーのパスワード管理情報を一括して設定する
- (3) OSユーザーを個別に登録する
- (4) OSユーザーを個別に削除する
- (5) ユーザーマッピング情報を一括して設定する
- (6) ユーザーマッピング情報を個別に登録する
- (7) ユーザーマッピング情報を個別に削除する
(1) [パスワード管理]を表示する
jbspassmgrコマンドを実行すると,[パスワード管理]ダイアログボックスが表示されます。このダイアログボックスで各ホストに登録されたOSユーザー,およびそのOSユーザーのパスワード情報を登録・管理します。パスワードは,OSのアカウントと同じものを入力してください。
なお,登録するOSユーザー名には,ユーザー名だけでなく,自ホストが所属するドメイン名やローカルホスト名も記述できます。ドメイン名やローカルホスト名を記述する場合,「domain\user1」,「server\user1」のように,ドメイン名やローカルホスト名とユーザー名の区切り文字として「\」を使用します。ドメイン名を記述した場合,登録するOSユーザーがドメイン上のユーザーであるかどうかチェックされます。ドメイン上のユーザーでなかった場合,そのOSユーザー名では登録できません。ローカルホスト名を記述した場合,登録するOSユーザーがローカルユーザーであるかどうかチェックされます。ローカルユーザーでなかった場合,そのOSユーザー名では登録できません。
ドメイン名やローカルホスト名を記述しなかった場合,登録するOSユーザー名がローカルユーザーであるかどうかチェックされます。ローカルユーザーでなかった場合,信頼するドメインを含むドメイン上のユーザーであるかどうかチェックされます。ローカルユーザーおよびドメイン上のユーザーでなかった場合,そのOSユーザー名では登録できません。
なお,Windowsのドメインコントローラー上で登録する場合は,「ドメイン名\ユーザー名」の形式で記述してください。ドメインコントローラー上ではドメインユーザーとローカルユーザーの区別がないため,ドメインユーザーとして扱われるためです。
jbspassmgrコマンドの詳細については,「13. コマンド」の「jbspassmgr(Windows限定)」を参照してください。
- 注意事項
- JP1/BaseのGUI,[JP1/Base環境設定]ダイアログボックスの[ユーザーマッピング]タブの[OSユーザー設定時にWindowsに対してログオンチェックを行わない]をチェックした場合,OSユーザー名やOSユーザーのパスワードが誤っていても,パスワード管理情報に登録できます。
- ただし,実際にジョブやリモートコマンドを実行するときに権限エラーとなってしまうので,注意が必要です。
jbsmkpassコマンドを実行すると,共通定義情報に登録したパスワード情報がいったんすべて削除され,パスワード定義ファイルに記述したパスワード管理情報が共通定義情報に一括して設定されます。jbsmkpassコマンドの詳細については,「13. コマンド」の「jbsmkpass(Windows限定)」を参照してください。なお,jbsmkpassコマンドを使用する場合,パスワード定義ファイルにパスワード管理情報を設定する必要があります。定義ファイルは,ユーザーが任意の場所に格納できます。格納場所を忘れないようにしてください。ファイルの形式について次に説明します。
(a) ファイルの形式
パスワード定義ファイルは,一つのエントリーに対して1行の形式で表します。1行に記述できる文字数は,4,096バイト以内です。
パスワード定義ファイルの形式を次に示します。
「;」は改行されるまでコメントになります。
一つのエントリーは,「:」で区切られた二つのフィールドで構成されます。各フィールドに記述する内容を次に示します。
- OSユーザー名
- 各ホストに登録されているOSユーザー名を指定します。
- なお,登録するOSユーザー名には,ユーザー名だけでなく,自ホストが所属するドメイン名やローカルホスト名も記述できます。ドメイン名やローカルホスト名を記述する場合,「domain\user1」,「server\user1」のように,ドメイン名やローカルホスト名とユーザー名の区切り文字として「\」を使用します。ドメイン名を記述した場合,登録するOSユーザーがドメイン上のユーザーであるかどうかチェックされます。ドメイン上のユーザーでなかった場合,そのOSユーザー名では登録できません。ローカルホスト名を記述した場合,登録するOSユーザーがローカルユーザーであるかどうかチェックされます。ローカルユーザーでなかった場合,そのOSユーザー名では登録できません。
- ドメイン名やローカルホスト名を記述しなかった場合,登録するOSユーザー名がローカルユーザーであるかどうかチェックされます。ローカルユーザーでなかった場合,信頼するドメインを含むドメイン上のユーザーであるかどうかチェックされます。ローカルユーザーおよびドメイン上のユーザーでなかった場合,そのOSユーザー名では登録できません。
- なお,Windowsのドメインコントローラー上で登録する場合は,「ドメイン名\ユーザー名」の形式で記述してください。ドメインコントローラー上ではドメインユーザーとローカルユーザーの区別がないため,ドメインユーザーとして扱われるためです。
- パスワード
- OSユーザーのパスワードを指定します。パスワードを省略した場合は,パスワードなしのOSユーザーと見なしてパスワード管理情報に登録します。
- 注意事項
- [ユーザーマッピング]タブの[OSユーザー設定時にWindowsに対してログオンチェックを行わない]をチェックした場合,OSユーザー名やOSユーザーのパスワードが誤っていても,パスワード管理情報に登録できます。
- ただし,実際にジョブやリモートコマンドを実行するときに権限エラーとなってしまうので,注意が必要です。
jbsumappassコマンドを実行すると,JP1/Baseのパスワード管理情報に新規OSユーザーの個別登録,または登録済みOSユーザーのパスワード変更ができます。
このコマンドは,シェルスクリプトなどから実行することによってOSが管理するパスワード情報を変更するタイミングで,JP1/Baseが管理するパスワード管理情報を更新したい場合に利用できます。
次にコマンドの形式を示します。
jbsumappass -u OSユーザー名 [-p パスワード]OSユーザー名には,各ホストに登録されているOSユーザー名を指定します。なお,登録するOSユーザー名には,ユーザー名だけでなく,自ホストが所属するドメイン名やローカルホスト名も記述できます。ドメイン名やローカルホスト名を記述する場合,「domain\user1」,「server\user1」のように,ドメイン名やローカルホスト名とユーザー名の区切り文字として「\」を使用します。ドメイン名を記述した場合,登録するOSユーザーがドメイン上のユーザーであるかどうかチェックされます。ドメイン上のユーザーでなかった場合,そのOSユーザー名では登録できません。ローカルホスト名を記述した場合,登録するOSユーザーがローカルユーザーであるかどうかチェックされます。ローカルユーザーでなかった場合,そのOSユーザー名では登録できません。
ドメイン名やローカルホスト名を記述しなかった場合,登録するOSユーザー名がローカルユーザーであるかどうかチェックされます。ローカルユーザーでなかった場合,信頼するドメインを含むドメイン上のユーザーであるかどうかチェックされます。ローカルユーザーおよびドメイン上のユーザーでなかった場合,そのOSユーザー名では登録できません。
なお,Windowsのドメインコントローラー上で登録する場合は,「ドメイン名\ユーザー名」の形式で記述してください。ドメインコントローラー上ではドメインユーザーとローカルユーザーの区別がないため,ドメインユーザーとして扱われるためです。
パスワードには,OSユーザーのパスワードを指定します。パスワードを省略した場合は,パスワードなしのOSユーザーと見なしてパスワード管理情報に登録します。
- 注意事項
- JP1/BaseのGUI,[JP1/Base環境設定]ダイアログボックスの[ユーザーマッピング]タブの[OSユーザー設定時にWindowsに対してログオンチェックを行わない]をチェックした場合,OSユーザー名やOSユーザーのパスワードが誤っていても,パスワード管理情報に登録できます。
- ただし,実際にジョブやリモートコマンドを実行するときに権限エラーとなってしまうので,注意が必要です。
jbsumappassコマンドの詳細については,「13. コマンド」の「jbsumappass(Windows限定)」を参照してください。
jbsrmumappassコマンドを実行すると,JP1/Baseのパスワード管理情報に登録されたOSユーザーを個別に削除できます。
このコマンドは,シェルスクリプトなどから実行することによってOSが管理するユーザーを削除するタイミングでJP1/Baseが管理するパスワード管理情報からOSユーザーを削除したい場合に,利用できます。
次にコマンドの形式を示します。
jbsrmumappass -u OSユーザー名OSユーザー名には,削除したいOSユーザー名を指定してください。
jbsrmumappassコマンドの詳細については,「13. コマンド」の「jbsrmumappass(Windows限定)」を参照してください。
(5) ユーザーマッピング情報を一括して設定する
コマンドを使ってユーザーマッピング情報を一括して設定できます。コマンドを使ってユーザーマッピング情報を一括して設定する場合は,ユーザーマッピング定義ファイル(jp1BsUmap.conf)で設定します。ファイルの格納先は,インストール先フォルダ\conf\user_acl\です。詳細については,「(a) ファイルの形式」を参照してください。エディターを使って編集したあと,jbsmkumapコマンドを実行すると,設定した内容が共通定義情報に反映されます。
なお,設定されたマッピング情報を確認する場合は,次に示すコマンドを実行します。
jbsgetumapjbsmkumapコマンドおよびjbsgetumapコマンドの詳細については,「13. コマンド」の「jbsmkumap」および「jbsgetumap」を参照してください。
- 注意事項
- ユーザーマッピング定義ファイル(jp1BsUmap.conf)は,GUIでも利用しています。GUIで設定した内容は,このファイルに反映されます。また,このファイルを編集後,jbsmkumapコマンドを実行すれば,設定した内容がGUIに反映されます。
(a) ファイルの形式
ユーザーマッピング定義ファイルは,一つのエントリーに対して1行の形式で表します。1行に記述できる文字数は,4,096バイト以内です。
ユーザーマッピング定義ファイルの形式を次に示します。
「;」以降は改行されるまでコメントになります。
一つのエントリーは,「:」で区切られた三つのフィールドで構成されます。各フィールドに記述する内容を次に示します。
- JP1ユーザー名
- 認証サーバに登録したJP1ユーザー名を指定します。JP1ユーザー名には,小文字しか使用できません。指定できる文字数は,1バイト以上31バイト以内です。「*」を指定すると,認証サーバに登録されたすべてのJP1ユーザーにユーザーリストで指定したユーザーの権限が与えられます。複数のエントリーを記述する場合,同じサーバホストに対して,JP1ユーザー名には「*」と「認証サーバに登録した任意のJP1ユーザー名」を混合して指定できます。ただし,「*」は一つしか指定できません。
- サーバホスト名
- 操作命令を出すサーバホスト名を指定します。指定できる文字数は,255バイト以内です。「*」を指定すると,すべてのサーバホストからの操作が有効になります。
- サーバホストが物理ホストの場合
- サーバホスト名には,hostnameコマンドで表示されるホスト名を指定してください。ただし,DNS運用でドメイン名を使用している場合は,FQDN形式のホスト名を指定してください。
- サーバホストが論理ホストの場合
- DNS運用しているかどうかにかかわらず,論理ホスト名を指定してください。
- なお,JP1/AJS2 - Viewからログインする場合,および自ホストに対してJP1/AJS2のコマンドを実行する場合,自ホスト名をサーバホスト名として設定する必要があります。詳細については,マニュアル「JP1/Automatic Job Management System 2 設計・運用ガイド」を参照してください。
- ユーザーリスト
- 各ホストに登録されているOSユーザー名を指定します。「,」で区切って複数指定できます。OSユーザー名を複数指定した場合,ユーザーリストの先頭に記述したOSユーザー名が,ジョブの実行やコマンド実行時などにユーザーを指定しなかった場合のプライマリーOSユーザーとなります。一つのOSユーザー名として指定できる文字数は,64バイト以内です。
- なお,このユーザーリストに指定できるOSユーザーは,jbspassmgrコマンド,jbsumappassコマンド,またはjbsmkpassコマンドを利用してパスワード情報を登録したOSユーザーだけです。マッピングするOSユーザーをユーザーリストに指定する場合,必ずパスワード管理情報にそのOSユーザーの情報を登録してください。なお,OSユーザーの情報を登録したときに,自ホストが所属するドメイン名を記述した場合は,ユーザーリストのOSユーザー名にもドメイン名を記述する必要があります。
(b) ユーザーマッピング定義ファイルの設定例
ユーザーマッピング定義ファイルの設定例を次に示します。
(6) ユーザーマッピング情報を個別に登録する
jbssetumapコマンドを実行すると,共通定義情報にユーザーマッピング情報を個別に追加したり変更したりできます。ユーザーマッピング情報を個別に追加または変更するには,jbssetumapコマンドのオプションにユーザーマッピング情報を直接指定して登録する方法と,ユーザーマッピング情報を記述した定義ファイルを使用して登録する方法があります。
jbssetumapコマンドのオプションにユーザーマッピング情報を指定して共通定義情報に登録する場合は,次のコマンドを実行してください。
jbssetumap {-u JP1ユーザー名| -ua} {-sh サーバホスト名| -sha} -o OSユーザー名[,OSユーザー名] [-no]-uオプションには,OSユーザーとマッピングしたいJP1ユーザーを指定します。-uaオプションを指定すると,JP1ユーザー名に「*」が指定され,認証サーバに登録されたすべてのJP1ユーザーにユーザーリストで指定した権限が与えられます。なお,-uオプションと-uaオプションは同時に指定できません。
-shオプションには,JP1ユーザーがジョブやリモートコマンド(自動アクション)などの操作命令を出すサーバホストを指定します。-shオプションを指定すると,サーバホスト名に「*」が指定され,JP1ユーザーはすべてのサーバホストからの操作が有効になります。
-oオプションには,JP1ユーザーとマッピングするOSユーザーを指定します。「,」で区切ることで複数のOSユーザーを指定できます。
-noオプションを指定すると,登録しようとした定義情報がすでに共通定義情報に登録されていた場合,エラーとなり登録されません。
定義ファイルを作成し,jbssetumapコマンドで反映させる場合は,次のコマンドを実行してください。
jbssetumap -f 定義ファイル名定義ファイルは,ユーザーが任意の場所に格納できます。ファイルの形式は,「(5)ユーザーマッピング情報を一括して設定する」のユーザーマッピング定義ファイル(jp1BsUmap.conf)と同じです。
なお,jbssetumapコマンドのオプションには,ユーザーマッピング情報を直接指定するオプションと,定義ファイルを指定するオプションを同時に指定できません。jbssetumapコマンドの詳細については,「13. コマンド」の「jbssetumap」を参照してください。
(7) ユーザーマッピング情報を個別に削除する
共通定義情報からユーザーマッピング情報を個別に削除する場合,jbsrmumapコマンドを実行してください。
次にコマンドの形式を示します。
jbsrmumap -u JP1ユーザー名JP1ユーザー名には,削除したいJP1ユーザー名を指定してください。
jbsrmumapコマンドの詳細については,「13. コマンド」の「jbsrmumap」を参照してください。
All Rights Reserved. Copyright (C) 2006, 2008, Hitachi, Ltd.