Windows Serverがインストールされているホストを管理対象とする場合の設定方法について説明します。

(a)　Windows Serverの設定の概要

Windows Server 2003がインストールされている管理対象のホストにFCのSANディスク装置が接続されている場合，そのディスク装置に関する構成情報を取得するためには，Microsoftのfcinfoをインストールしてください。

fcinfoをインストールすると，Windows上でFCを使用するためのユーティリティコマンド，HBA API（CインターフェースとWMIクラスのdll）を使用できるようになります。また，FCのWMIクラスを使用して，WMIで構成情報を取得できるようになります。

fcinfoは，Microsoftのホームページからダウンロードしてください。

なお，Windows Server 2008の場合，この設定は不要です。

(b)　OSのセキュリティの設定

Windows Serverと連携する管理対象のホストの場合，Windows ファイアウォールとDCOMを次のとおり設定してください。

●Windows ファイアウォールの設定

次の条件に当てはまる管理対象のホストで，Windowsのファイアウォールが有効になっている場合，リモート管理の例外を許可する設定が必要です。

• Windows Server 2008の場合
• Windows Server 2003で，かつサービスパックが適用されている場合

なお，Windowsのファイアウォールが有効かどうかは，［コントロールパネル］の［Windowsファイアウォール］ダイアログで確認してください。

　

リモート管理の例外を許可する手順を次に示します。

1. スタートメニューから［ファイル名を指定して実行］を選択する。
2. ［ファイル名を指定して実行］のテキストボックスに「gpedit.msc」と入力して，［OK］ボタンをクリックする。

［グループポリシーオブジェクトエディタ］ダイアログが表示されます。

1. ［コンピュータの構成］−［管理用テンプレート］−［ネットワーク］−［ネットワーク接続］−［Windowsファイアウォール］の順番でツリーを展開して，［標準プロファイル］をクリック^※1する。
2. 右ペインの［Windowsファイアウォール: リモート管理の例外を許可する］を右クリック^※2して，メニューから［プロパティ］を選択する。
3. ［設定］タブをクリックして，［有効］をチェックする。
4. ［OK］ボタンをクリックします。

注※1

管理対象となるホストがドメイン環境の場合，［ドメインプロファイル］をクリックしてください。

注※2

Windows Server 2008の場合，［Windows ファイアウォール: 着信リモート管理の例外を許可する］を右クリックしてください。

●DCOMの設定

JP1/ITRMではWMIを使用するため，ITリソース管理サーバおよび管理対象となるホストでDCOMを有効にする必要があります。

Windows Serverのインストール時にDCOMの設定を変更していない場合，DCOMは有効に設定されています。DCOMの設定を無効に変更している場合，次の手順で有効にしてください。

1. スタートメニューから［ファイル名を指定して実行］を選択する。
2. ［ファイル名を指定して実行］のテキストボックスに「dcomcnfg.exe」と入力して，［OK］ボタンをクリックする。
   ［コンポーネント サービス］画面が表示されます。
   
3. ［コンポーネント サービス］−［コンピュータ］の順番でツリーを展開する。
4. ［マイ コンピュータ］を右クリックして，メニューから［プロパティ］を選択する。
5. ［既定のプロパティ］タブをクリックして，［このコンピュータ上で分散COMを有効にする］にチェックする。
6. ［OK］ボタンをクリックする。
7. システムを再起動する。

(c)　ドメインの設定

管理対象とするホストにWindows Serverがある場合，管理対象へのDCOM接続とWMI名前空間への接続のため，管理対象となるホスト側でWindows認証が行われる必要があります。認証にはユーザーIDとパスワードが必要です。また，管理対象のホストに接続するユーザーのドメインによっては，ドメイン名（ホスト名）が必要な場合もあります。

ドメイン名（ホスト名）の指定の要否を次の表に示します。

表6-4　ドメイン名（ホスト名）の指定の要否

ITリソース管理サーバログオン	管理対象のホスト接続	ドメイン名指定
ローカル権限	ローカル権限	×
ローカル権限	ネットワークドメイン権限	○

（凡例）

×：ドメイン名（ホスト名）の指定が不要である。

○：ドメイン名（ホスト名）の指定が必要である。

(d)　UACを使用したWMIリモート接続の設定

Windows Server 2008を使用している場合，UACの機能によって，管理者権限を持つローカルユーザー（OSのインストール後に作成されるAdministratorユーザーは除く）に対して権限が制限されます。そのため，Windows Server 2008の管理対象サーバのWMIリモート接続を，管理者権限を持つローカルユーザーで実行すると，管理者権限ではなく，一般ユーザーの権限で接続されてしまい，アクセス拒否が発生しエラー終了する場合があります。これを回避するためには，UACを有効にしている場合，次のどちらかの設定を実施してください。

• 認証に使用するユーザーにOSのインストール後に作成されるAdministratorユーザーを使用する。
• 次のコマンドを管理者権限で実行して，UACのリモート接続を許可するよう，レジストリの値を更新する。
  

  reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

  許可したUACのリモート接続を解除する場合は，次のコマンドを実行してください。
  

  reg　delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /f

なお，UACを無効にしている場合は，認証に使用するユーザーにAdministratorsグループのメンバーを使用してください。

Linux，HP-UX，またはAIXがインストールされているホストを管理対象とする場合の設定方法について説明します。

(a)　ログインshellの設定

JP1/ITRM接続用アカウントのログインshellを次のとおり設定します。

Linuxの場合

bashまたはtcshに変更します。

HP-UXの場合

/sbin/shに変更します。

AIXの場合

/usr/bin/kshに変更します。

ログインshellがすでにこのとおりに設定されている場合は，この手順は不要です。

ログインshellを変更する方法の例を次に示します。

Linuxの場合

• 既存のアカウントを使用する場合
  usermod -sコマンドを実行してログインshellを/bin/bashまたは/bin/tcshに変更してください。
  
• 新規アカウントを作成する場合
  useraddコマンドの実行時に，ログインshellを-sオプションで/bin/bashまたは/bin/tcshに指定してください。
  

HP-UXの場合

• 既存のアカウントを使用する場合
  usermod -sコマンドを実行してログインshellを/sbin/shに変更してください。
  
• 新規アカウントを作成する場合
  useraddコマンドの実行時に，ログインshellを-sオプションで/sbin/shに指定してください。
  

AIXの場合

• 既存のアカウントを使用する場合
  usermod -sコマンドを実行してログインshellを/usr/bin/kshに変更してください。
  
• 新規アカウントを作成する場合
  useraddコマンドの実行時に，ログインshellを-sオプションで/usr/bin/kshに指定してください。
  

(b)　初期化スクリプトの設定

通常，ログイン時にシェル初期化スクリプトが実行され，エイリアスや環境変数が自動で設定されます。シェル初期化スクリプトはアカウントごとに設定できて，ホームディレクトリに格納されます。アカウントごとのシェル初期化スクリプトがない場合，システム標準のシェル初期化スクリプトが実行されます。システム標準のシェル初期化スクリプトでエイリアスなどが設定されると動作に支障をきたすために，JP1/ITRM接続用アカウントに空の初期化スクリプトを設定する必要があります。

初期化スクリプトにはログインShellが起動したときにだけ起動するログイン用と，そのあとShellからほかのShellを起動したときにも起動するShell起動用の2種類があります。また，bashとtcshではファイル名が異なります。システム標準とアカウント個別，ログイン用とShell起動用の組み合わせに応じたファイル名を次の表に示します。

表6-5　初期化スクリプトのファイル名（Linuxの場合）

初期化スクリプトの種類		初期化スクリプトのファイル名
		bash	tcsh
標準	ログイン用	/etc/profile	/etc/csh.login
	Shell起動用	−	/etc/csh.cshrc
個別	ログイン用	~/.bash_profile	~/.login
	Shell起動用	~/.bashrc	~/.cshrc

（凡例）

−：該当しない。

表6-6　初期化スクリプトのファイル名（HP-UXの場合）

初期化スクリプトの種類		初期化スクリプトのファイル名
		/sbin/sh
標準	ログイン用	/etc/profile
	Shell起動用	−
個別	ログイン用	~/.profile
	Shell起動用	−

（凡例）

−：該当しない。

表6-7　初期化スクリプトのファイル名（AIXの場合）

初期化スクリプトの種類		初期化スクリプトのファイル名
		/usr/bin/ksh
標準	ログイン用	/etc/profile
	Shell起動用	−
個別	ログイン用	~/.profile
	Shell起動用	−

（凡例）

−：該当しない。

(c)　IP接続許可の設定

IP接続を許可するかどうかは，/etc/hosts.allowファイルおよび/etc/hosts.denyファイルで設定します。

デフォルトでは，すべてのIPアドレスからの接続が許可されています。/etc/hosts.denyファイルでの設定内容に応じて，/etc/hosts.allowファイルでの設定内容が変わります。必要に応じて，/etc/hosts.allowファイルを編集してください。

/etc/hosts.denyファイルによって，SSHプロトコルが拒否されている場合

状況に応じて，次のとおり/etc/hosts.allowファイルを編集してください。

/etc/hosts.allowファイルに，すでにSSHプロトコルの定義がある場合

次のとおり内容を編集してください。

in.sshd:他IPアドレス,ITRMサーバのIPアドレス

/etc/hosts.allowファイルに，SSHプロトコルの定義がない場合

次のとおり内容を追加してください。

in.sshd:ITRMサーバのIPアドレス

/etc/hosts.denyファイルによって，SSHプロトコルが拒否されていない場合

状況に応じて，次のとおり/etc/hosts.allowファイルを編集してください。

/etc/hosts.allowファイルに，すでにSSHプロトコルの定義がある場合

次のとおり内容を編集してください。

in.sshd:他IPアドレス,ITRMサーバのIPアドレス

/etc/hosts.allowファイルに，SSHプロトコルの定義がない場合

SSHプロトコルに対して，すべてのIPアドレスが許可されているため，ファイルの編集は不要です。

(d)　SSH接続をするためのソフトウェアのインストール（AIXの場合）

AIXの場合，OSを新規インストールした環境では，SSH接続をするためのソフトウェアがインストールされていません。そのため，OSに付属する媒体内に収録されているソフトウェア（OpenSSH）をインストールする必要があります。

OpenSSHをインストールする手順を次に示します。

1. OpenSSHの前提であるOpenSSLのインストールに必要なファイルを準備する。
   インストールに必要なファイルを次に示します。
   
   • openssl.base
   • openssl.license
   • openssl.man.en_US
2. root権限で次のコマンドを実行してOpenSSLをインストールする。
   

   # smit install_latest

   格納したファイルの絶対パスやライセンスに関する同意など，必要事項を入力して，インストールを実行します。
   
3. OpenSSHのインストールに必要なファイルを準備する。
   インストールに必要なファイルを次に示します。
   
   • openssh.base
   • openssh.man.en_US
   • openssh.msg.EN_US
   • openssh.msg.JA_JP
4. root権限で次のコマンドを実行して，OpenSSHをインストールする。
   

   # smit install_latest

   格納したファイルの絶対パスやライセンスに関する同意など，必要事項を入力して，インストールを実行します。
   

(e)　SSHの設定

SSHの設定手順を次に示します。この手順はroot権限で実行してください。

1. ほかのユーザーがSSH接続を使用していないことを確認する。
2. viなどのテキストエディタで，設定ファイルを編集する。
   設定ファイルは次のファイルを使用します。
   

   Linuxの場合

   /etc/ssh/sshd_config

   HP-UXの場合

   /opt/ssh/etc/sshd_config

   AIXの場合

   /etc/ssh/sshd_config

   設定内容を次の表に示します。
   

   表6-8　SSHの設定内容

   設定項目	設定値	設定内容
   PermitRootLogin	Yes	root接続を許可するよう設定します。 デフォルトはYesです。
   PasswordAuthentication	Yes	パスワード認証を許可するよう設定します。 デフォルトはYesです。
   Protocol	"2,1"または"2"※	使用するSSHバージョンを設定します。デフォルトは"2,1"です。

   注※

   "2,1"は，バージョン1および2のどちらかを使用する場合に設定します。また，"2"はバージョン2だけを使用する場合に設定します。JP1/ITRMでは，バージョン2を使用するので，2を含めた値を設定してください。

   
   
3. 次のコマンドを実行してSSHデーモンを再起動する。
   

   Linuxの場合

   /etc/rc.d/init.d/sshd restart

   HP-UXの場合

   /sbin/init.d/secsh stop
   /sbin/init.d/secsh start

   AIXの場合

   /usr/bin/stopsrc -g ssh
   /usr/bin/startsrc -g ssh

(f)　必要なコマンドの登録（Linuxの場合）

sudoで，root権限で実行が必要なコマンドを登録する手順の例について説明します。この手順はroot権限で実行してください。

なお，次のアカウントだけでSSH接続を使用する場合，この設定は不要です。

• rootユーザー
• rootパスワードを使った一般ユーザー

1. visudoコマンドを起動する。
2. sudoの設定に次の内容を追加する。
   

   JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /sbin/fdisk -l JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /usr/sbin/dmidecode JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /usr/sbin/smartctl JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /sbin/multipath JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /sbin/shutdown

   また，/opt/DynamicLinkManager/bin/dlnkmgrコマンド，または/sbin/dlmcfgmgrコマンドがサーバ上にある場合は，さらに次の内容を追加します。
   

   JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /opt/DynamicLinkManager/bin/dlnkmgr JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /sbin/dlmcfgmgr

3. 設定内容を保存する。
   記述に誤りがあると保存できません。その場合は，再度編集して保存し直してください。
   

(g)　必要なコマンドの登録（HP-UXの場合）

RBACで必要なコマンドを登録する手順について説明します。この手順はroot権限で実行してください。

なお，次のアカウントだけでSSH接続を使用する場合，この設定は不要です。

• rootユーザー
• rootパスワードを使った一般ユーザー

1. 次のコマンドを実行して，JP1/ITRM接続用アカウントにAdministratorロールを登録する。
   

   # roleadm assign JP1/ITRM接続用アカウント Administrator # cat /etc/rbac/user_role root: Administrator JP1/ITRM接続用アカウント: Administrator

   コマンド実行後，JP1/ITRM接続用アカウントにAdministratorロールが登録されたことを確認してください。
   
2. 次のコマンドを実行して，Administratorロールが実行できる操作を確認する。
   

   # authadm list Administrator: (hpux.*, *)

   「(hpux.*, *)」が表示されることを確認してください。
   
3. 次のコマンドを実行して，JP1/ITRM接続用アカウントが実行できるコマンドをRBACデータベースに追加する。
   

   # cmdprivadm add cmd="/usr/sbin/diskinfo" ruid=0 euid=0 op=hpux.device.read # cmdprivadm add cmd="/usr/sbin/exportfs" ruid=0 euid=0 op=hpux.fs.getinfo # cmdprivadm add cmd="/opt/fcms/bin/fcmsutil" ruid=0 euid=0 op=hpux.device.read # cmdprivadm add cmd="/usr/sbin/share" ruid=0 euid=0 op=hpux.network.nfs.export # cmdprivadm add cmd="/usr/sbin/shutdown" ruid=0 euid=0 op=hpux.admin.reboot

   コマンドに指定する「ruid（実ユーザーID）」および「euid（実行ユーザーID）」には，スーパーユーザー（root）のIDである0を指定してください。
   
4. /usr/sbin/nwmgrコマンド，または/opt/hpvm/bin/hpvminfoコマンドが管理対象のホストにある場合は，さらに次の内容を追加する。
   

   HP-UX 11i v2(IPF)の場合

   # cmdprivadm add cmd="/usr/sbin/nwmgr" ruid=0 euid=0 op=hpux.network.config

   HP-UX 11i v3(IPF)の場合

   # cmdprivadm add cmd="/usr/sbin/nwmgr" ruid=0 euid=0 op=hpux.network.config # cmdprivadm add cmd="/opt/hpvm/bin/hpvminfo" ruid=0 euid=0 op=hpux.admin.kernel.config

   /usr/sbin/nwmgrコマンド，または/opt/hpvm/bin/hpvminfoコマンドがサーバ上にない場合，次に示すエラーが表示されます。この場合，手順4の設定は不要なので，次の手順に進んでください。
   

   # cmdprivadm add cmd="/opt/hpvm/bin/hpvminfo" ruid=0 euid=0 op=hpux.admin.kernel.config cmdprivadm: warning: /opt/hpvm/bin/hpvminfo is not a valid command. Please double check to make sure this is a intended command to add into the database file. /opt/hpvm/bin/hpvminfo::(hpux.admin.kernel.config,*):0/0/-1/-1:::: cmdprivadm added the entry to /etc/rbac/cmd_priv

5. /etc/rbac/cmd_privファイルの末尾に，次の内容が追加されていることを確認する。
   

   /usr/sbin/diskinfo:dflt:(hpux.device.read,*):0/0//:dflt:dflt:dflt: /usr/sbin/exportfs:dflt:(hpux.fs.getinfo,*):0/0//:dflt:dflt:dflt: /opt/fcms/bin/fcmsutil:dflt:(hpux.device.read,*):0/0//:dflt:dflt:dflt: /usr/sbin/share:dflt:(hpux.network.nfs.export,*):0/0//:dflt:dflt:dflt: /sbin/shutdown:dflt:(hpux.admin.reboot,*):0/0//:dflt:dflt:dflt: /usr/sbin/nwmgr:dflt:(hpux.network.config,*):0/0//:dflt:dflt:dflt: /opt/hpvm/bin/hpvminfo:dflt:(hpux.admin.kernel.config,*):0/0//:dflt:dflt:dflt:

(h)　必要なコマンドの登録（AIXの場合）

RBACで必要なコマンドを登録する手順について説明します。この手順はroot権限で実行してください。

なお，次のアカウントだけでSSH接続を使用する場合，この設定は不要です。

• rootユーザー
• rootパスワードを使った一般ユーザー

1. 必要なコマンドを特権コマンドデータベースに登録する。
   JP1/ITRMで必要なAIXの特権コマンドを次の表に示します。
   

   表6-9　JP1/ITRMで必要なAIXの特権コマンド

   特権コマンド	必要な権限
   /usr/sbin/smtctl	aix.system.config.dlpar
   /usr/sbin/sar	aix.system.stat
   /usr/sbin/shutdown	aix.system.boot.shutdown
   /usr/sbin/acct/fwtmp※	aix.system.config.acct
   /usr/bin/df※	aix.fs.manage

   注※

   /usr/sbin/acct/fwtmpおよび/usr/bin/dfコマンドは，特権コマンドデータベースにデフォルトで定義がないため，次の手順で定義を追加してください。

   1. 次のコマンドを実行する。

   　# smit setsecattr_cmdadd

   2. Command Name，Access Authorizations，Innate Privileges，Security Flagsに次の表に示す値を設定する。

   
   

   表6-10　/usr/sbin/acct/fwtmpコマンドの設定

   項目名	設定する値
   Command Name	/usr/sbin/acct/fwtmp
   Access Authorizations	aix.system.config.acct
   Innate Privileges	PV_DAC_R PV_DAC_X PV_KER_WPAR
   Security Flags	FSF_EPS

   表6-11　/usr/bin/dfコマンドの設定

   項目名	設定する値
   Command Name	/usr/bin/df
   Access Authorizations	aix.fs.manage
   Innate Privileges	PV_DAC_R PV_DAC_X PV_KER_WPAR
   Security Flags	FSF_EPS

   ロケールが異なる場合，項目名の表示が異なることがあります。

   
   
2. ITRM用のロールを追加する。
   次のコマンドを実行して，ITRMで必要な特権コマンドの実行権限を持つITRM用のロールを追加します。
   

   # smit mkrole

   Role NAME，AUTHORIZATIONSに次の表で示す値を設定してください。
   

   表6-12　ITRM用のロールの設定

   項目名	設定する値
   Role NAME	任意のロール名
   AUTHORIZATIONS	aix.system.config.dlpar aix.system.stat aix.system.boot.shutdown aix.system.config.acct aix.fs.manage

   ロケールが異なる場合，項目名の表示が異なることがあります。
   
3. ITRM接続用アカウントにロールを設定する。
   次のコマンドを実行して，ITRM接続用アカウントに手順2で追加したロールの設定と，ログイン時のデフォルトのロールを設定します。
   

   # chuser roles=ITRM用ロール default_roles=ITRM用ロール JP1/ITRM接続用アカウント

   また，次のコマンドを実行して，設定を反映します。
   

   # setkst

(i)　OSの構成についての注意事項

OSの構成についての注意事項を次に示します。

• OSの標準的な構成を変更しないこと。
• 次に示すシステム標準のコマンドのパスが変更されていないこと。
  /sbin, /bin, /usr/sbin, /usr/bin
  
• ルートパスワードを使った一般ユーザーを認証情報に指定している場合，パスワードを入力しないでsuコマンドの実行を許可する設定はない。
• /proc, /sysがあること。^※
• 次に示すLinuxのディストリビューション情報ファイルが削除または変更されていないこと。^※
  /etc/redhat-release
  
• JP1/ITRMがOSから収集する情報に含まれる文字列や操作時に指定する文字列は，次の条件を満たしている必要があります。条件を満たさない場合，収集した情報が正しく表示されなかったり，操作が正しく実行されなかったりすることがあります。
  
  • OS上にあるファイルシステムのマウントポイントおよびデバイスファイルの名称は，ASCIIコードの0x20〜0x7eの範囲で指定すること。
  • ユーザースクリプトは，ASCIIコードの制御文字以外の0x20〜0x7eの範囲で指定すること。^※
• WPAR上に構築したAIXは，管理対象にできません。
• AIX上でWPARを管理している場合，WPARを非稼働にしてから再収集してください。
• HDLMを使用した環境でAIXを管理する場合は，次のアカウントを使用してください。
  
  • rootユーザー
  • rootパスワードを使った一般ユーザー
  このアカウントでないと，次の情報が取得できません。
  
  • HDLMデバイスの性能情報と状態情報
  • HDLMデバイスでマルチパスを構成しているディスクの情報

注※

Linuxの場合にだけ該当する注意事項です。HP-UXおよびAIXは該当しません。

(j)　kudzuサービスの無効化

管理対象が仮想ホスト上のRed Hat Enterprise Linux 5の場合，次のコマンドを実行して，kudzuサービスを無効にしてください。この手順はroot権限で実行してください。

/sbin/chkconfig --level 345 kudzu off

なお，管理対象とするホストのOSが次の場合，この手順は不要です。

• Red Hat Enterprise Linux 6
• HP-UX
• AIX

(k)　ネットワーク設定を特定のNICに固定する指定の無効化

管理対象が仮想ホスト上のLinuxの場合，次の操作を実行して，ネットワーク設定を特定のNICに固定する指定を無効にしてください。この手順はroot権限で実行してください。

1. HWADDRの設定を解除するために，ネットワークの設定ファイル（etc/sysconfig/network-scripts/ifcfg- ネットワークアダプタ名）の内容を確認する。
2. 各ネットワークの設定ファイルでHWADDRが有効の場合，設定を解除する。
3. 管理対象が仮想ホスト上のRed Hat Enterprise Linux 6の場合，udev機能を無効にするために，次のファイルをほかのディレクトリに退避する。
   
   • /lib/udev/rules.d/75-persistent-net-generator.rules
   • /etc/udev/rules.d/70-persistent-net.rules
4. 仮想ホストを再起動する。
5. ネットワーク設定が正しいかどうか確認する。