6.2.4 管理対象となるホストの設定

ここでは,JP1/ITRMで管理対象となる物理ホストまたは仮想ホストの設定について説明します。仮想ホストを設定する場合は,併せて次の個所を参照してください。

<この項の構成>
(1) Windows Serverの設定
(2) Linux,HP-UX,AIXの設定

(1) Windows Serverの設定

Windows Serverがインストールされているホストを管理対象とする場合の設定方法について説明します。

(a) Windows Serverの設定の概要

Windows Server 2003がインストールされている管理対象のホストにFCのSANディスク装置が接続されている場合,そのディスク装置に関する構成情報を取得するためには,Microsoftのfcinfoをインストールしてください。

fcinfoをインストールすると,Windows上でFCを使用するためのユーティリティコマンド,HBA API(CインターフェースとWMIクラスのdll)を使用できるようになります。また,FCのWMIクラスを使用して,WMIで構成情報を取得できるようになります。

fcinfoは,Microsoftのホームページからダウンロードしてください。

なお,Windows Server 2008の場合,この設定は不要です。

(b) OSのセキュリティの設定

Windows Serverと連携する管理対象のホストの場合,Windows ファイアウォールとDCOMを次のとおり設定してください。

●Windows ファイアウォールの設定

次の条件に当てはまる管理対象のホストで,Windowsのファイアウォールが有効になっている場合,リモート管理の例外を許可する設定が必要です。

なお,Windowsのファイアウォールが有効かどうかは,[コントロールパネル]の[Windowsファイアウォール]ダイアログで確認してください。

 

リモート管理の例外を許可する手順を次に示します。

  1. スタートメニューから[ファイル名を指定して実行]を選択する。
  2. [ファイル名を指定して実行]のテキストボックスに「gpedit.msc」と入力して,[OK]ボタンをクリックする。

[グループポリシーオブジェクトエディタ]ダイアログが表示されます。

  1. [コンピュータの構成]-[管理用テンプレート]-[ネットワーク]-[ネットワーク接続]-[Windowsファイアウォール]の順番でツリーを展開して,[標準プロファイル]をクリック※1する。
  2. 右ペインの[Windowsファイアウォール: リモート管理の例外を許可する]を右クリック※2して,メニューから[プロパティ]を選択する。
  3. [設定]タブをクリックして,[有効]をチェックする。
  4. [OK]ボタンをクリックします。
注※1
管理対象となるホストがドメイン環境の場合,[ドメインプロファイル]をクリックしてください。
注※2
Windows Server 2008の場合,[Windows ファイアウォール: 着信リモート管理の例外を許可する]を右クリックしてください。
●DCOMの設定

JP1/ITRMではWMIを使用するため,ITリソース管理サーバおよび管理対象となるホストでDCOMを有効にする必要があります。

Windows Serverのインストール時にDCOMの設定を変更していない場合,DCOMは有効に設定されています。DCOMの設定を無効に変更している場合,次の手順で有効にしてください。

  1. スタートメニューから[ファイル名を指定して実行]を選択する。
  2. [ファイル名を指定して実行]のテキストボックスに「dcomcnfg.exe」と入力して,[OK]ボタンをクリックする。
    [コンポーネント サービス]画面が表示されます。
  3. [コンポーネント サービス]-[コンピュータ]の順番でツリーを展開する。
  4. [マイ コンピュータ]を右クリックして,メニューから[プロパティ]を選択する。
  5. [既定のプロパティ]タブをクリックして,[このコンピュータ上で分散COMを有効にする]にチェックする。
  6. [OK]ボタンをクリックする。
  7. システムを再起動する。
(c) ドメインの設定

管理対象とするホストにWindows Serverがある場合,管理対象へのDCOM接続とWMI名前空間への接続のため,管理対象となるホスト側でWindows認証が行われる必要があります。認証にはユーザーIDとパスワードが必要です。また,管理対象のホストに接続するユーザーのドメインによっては,ドメイン名(ホスト名)が必要な場合もあります。

ドメイン名(ホスト名)の指定の要否を次の表に示します。

表6-4 ドメイン名(ホスト名)の指定の要否

ITリソース管理サーバログオン管理対象のホスト接続ドメイン名指定
ローカル権限ローカル権限×
ローカル権限ネットワークドメイン権限
(凡例)
×:ドメイン名(ホスト名)の指定が不要である。
○:ドメイン名(ホスト名)の指定が必要である。

(d) UACを使用したWMIリモート接続の設定

Windows Server 2008を使用している場合,UACの機能によって,管理者権限を持つローカルユーザー(OSのインストール後に作成されるAdministratorユーザーは除く)に対して権限が制限されます。そのため,Windows Server 2008の管理対象サーバのWMIリモート接続を,管理者権限を持つローカルユーザーで実行すると,管理者権限ではなく,一般ユーザーの権限で接続されてしまい,アクセス拒否が発生しエラー終了する場合があります。これを回避するためには,UACを有効にしている場合,次のどちらかの設定を実施してください。

なお,UACを無効にしている場合は,認証に使用するユーザーにAdministratorsグループのメンバーを使用してください。

(2) Linux,HP-UX,AIXの設定

Linux,HP-UX,またはAIXがインストールされているホストを管理対象とする場合の設定方法について説明します。

(a) ログインshellの設定

JP1/ITRM接続用アカウントのログインshellを次のとおり設定します。

Linuxの場合
bashまたはtcshに変更します。
HP-UXの場合
/sbin/shに変更します。
AIXの場合
/usr/bin/kshに変更します。

ログインshellがすでにこのとおりに設定されている場合は,この手順は不要です。

ログインshellを変更する方法の例を次に示します。

Linuxの場合
  • 既存のアカウントを使用する場合
    usermod -sコマンドを実行してログインshellを/bin/bashまたは/bin/tcshに変更してください。
  • 新規アカウントを作成する場合
    useraddコマンドの実行時に,ログインshellを-sオプションで/bin/bashまたは/bin/tcshに指定してください。
HP-UXの場合
  • 既存のアカウントを使用する場合
    usermod -sコマンドを実行してログインshellを/sbin/shに変更してください。
  • 新規アカウントを作成する場合
    useraddコマンドの実行時に,ログインshellを-sオプションで/sbin/shに指定してください。
AIXの場合
  • 既存のアカウントを使用する場合
    usermod -sコマンドを実行してログインshellを/usr/bin/kshに変更してください。
  • 新規アカウントを作成する場合
    useraddコマンドの実行時に,ログインshellを-sオプションで/usr/bin/kshに指定してください。
(b) 初期化スクリプトの設定

通常,ログイン時にシェル初期化スクリプトが実行され,エイリアスや環境変数が自動で設定されます。シェル初期化スクリプトはアカウントごとに設定できて,ホームディレクトリに格納されます。アカウントごとのシェル初期化スクリプトがない場合,システム標準のシェル初期化スクリプトが実行されます。システム標準のシェル初期化スクリプトでエイリアスなどが設定されると動作に支障をきたすために,JP1/ITRM接続用アカウントに空の初期化スクリプトを設定する必要があります。

初期化スクリプトにはログインShellが起動したときにだけ起動するログイン用と,そのあとShellからほかのShellを起動したときにも起動するShell起動用の2種類があります。また,bashとtcshではファイル名が異なります。システム標準とアカウント個別,ログイン用とShell起動用の組み合わせに応じたファイル名を次の表に示します。

表6-5 初期化スクリプトのファイル名(Linuxの場合)

初期化スクリプトの種類初期化スクリプトのファイル名
bashtcsh
標準ログイン用/etc/profile/etc/csh.login
Shell起動用/etc/csh.cshrc
個別ログイン用~/.bash_profile~/.login
Shell起動用~/.bashrc~/.cshrc
(凡例)
-:該当しない。

表6-6 初期化スクリプトのファイル名(HP-UXの場合)

初期化スクリプトの種類初期化スクリプトのファイル名
/sbin/sh
標準ログイン用/etc/profile
Shell起動用
個別ログイン用~/.profile
Shell起動用
(凡例)
-:該当しない。

表6-7 初期化スクリプトのファイル名(AIXの場合)

初期化スクリプトの種類初期化スクリプトのファイル名
/usr/bin/ksh
標準ログイン用/etc/profile
Shell起動用
個別ログイン用~/.profile
Shell起動用
(凡例)
-:該当しない。

(c) IP接続許可の設定

IP接続を許可するかどうかは,/etc/hosts.allowファイルおよび/etc/hosts.denyファイルで設定します。

デフォルトでは,すべてのIPアドレスからの接続が許可されています。/etc/hosts.denyファイルでの設定内容に応じて,/etc/hosts.allowファイルでの設定内容が変わります。必要に応じて,/etc/hosts.allowファイルを編集してください。

/etc/hosts.denyファイルによって,SSHプロトコルが拒否されている場合
状況に応じて,次のとおり/etc/hosts.allowファイルを編集してください。
/etc/hosts.allowファイルに,すでにSSHプロトコルの定義がある場合
次のとおり内容を編集してください。
in.sshd:他IPアドレス,ITRMサーバのIPアドレス
/etc/hosts.allowファイルに,SSHプロトコルの定義がない場合
次のとおり内容を追加してください。
in.sshd:ITRMサーバのIPアドレス
/etc/hosts.denyファイルによって,SSHプロトコルが拒否されていない場合
状況に応じて,次のとおり/etc/hosts.allowファイルを編集してください。
/etc/hosts.allowファイルに,すでにSSHプロトコルの定義がある場合
次のとおり内容を編集してください。
in.sshd:他IPアドレス,ITRMサーバのIPアドレス
/etc/hosts.allowファイルに,SSHプロトコルの定義がない場合
SSHプロトコルに対して,すべてのIPアドレスが許可されているため,ファイルの編集は不要です。
(d) SSH接続をするためのソフトウェアのインストール(AIXの場合)

AIXの場合,OSを新規インストールした環境では,SSH接続をするためのソフトウェアがインストールされていません。そのため,OSに付属する媒体内に収録されているソフトウェア(OpenSSH)をインストールする必要があります。

OpenSSHをインストールする手順を次に示します。

  1. OpenSSHの前提であるOpenSSLのインストールに必要なファイルを準備する。
    インストールに必要なファイルを次に示します。
    • openssl.base
    • openssl.license
    • openssl.man.en_US
  2. root権限で次のコマンドを実行してOpenSSLをインストールする。

    # smit install_latest

    格納したファイルの絶対パスやライセンスに関する同意など,必要事項を入力して,インストールを実行します。
  3. OpenSSHのインストールに必要なファイルを準備する。
    インストールに必要なファイルを次に示します。
    • openssh.base
    • openssh.man.en_US
    • openssh.msg.EN_US
    • openssh.msg.JA_JP
  4. root権限で次のコマンドを実行して,OpenSSHをインストールする。

    # smit install_latest

    格納したファイルの絶対パスやライセンスに関する同意など,必要事項を入力して,インストールを実行します。
(e) SSHの設定

SSHの設定手順を次に示します。この手順はroot権限で実行してください。

  1. ほかのユーザーがSSH接続を使用していないことを確認する。
  2. viなどのテキストエディタで,設定ファイルを編集する。
    設定ファイルは次のファイルを使用します。
    Linuxの場合
    /etc/ssh/sshd_config
    HP-UXの場合
    /opt/ssh/etc/sshd_config
    AIXの場合
    /etc/ssh/sshd_config
    設定内容を次の表に示します。

    表6-8 SSHの設定内容

    設定項目設定値設定内容
    PermitRootLoginYesroot接続を許可するよう設定します。
    デフォルトはYesです。
    PasswordAuthenticationYesパスワード認証を許可するよう設定します。
    デフォルトはYesです。
    Protocol"2,1"または"2"使用するSSHバージョンを設定します。デフォルトは"2,1"です。
    注※
    "2,1"は,バージョン1および2のどちらかを使用する場合に設定します。また,"2"はバージョン2だけを使用する場合に設定します。JP1/ITRMでは,バージョン2を使用するので,2を含めた値を設定してください。

  3. 次のコマンドを実行してSSHデーモンを再起動する。
    Linuxの場合

    /etc/rc.d/init.d/sshd restart

    HP-UXの場合

    /sbin/init.d/secsh stop
    /sbin/init.d/secsh start

    AIXの場合

    /usr/bin/stopsrc -g ssh
    /usr/bin/startsrc -g ssh

(f) 必要なコマンドの登録(Linuxの場合)

sudoで,root権限で実行が必要なコマンドを登録する手順の例について説明します。この手順はroot権限で実行してください。

なお,次のアカウントだけでSSH接続を使用する場合,この設定は不要です。

  1. visudoコマンドを起動する。
  2. sudoの設定に次の内容を追加する。

    JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /sbin/fdisk -l
    JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /usr/sbin/dmidecode
    JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /usr/sbin/smartctl
    JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /sbin/multipath
    JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /sbin/shutdown

    また,/opt/DynamicLinkManager/bin/dlnkmgrコマンド,または/sbin/dlmcfgmgrコマンドがサーバ上にある場合は,さらに次の内容を追加します。

    JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /opt/DynamicLinkManager/bin/dlnkmgr
    JP1/ITRM接続用アカウント ホスト名 =NOPASSWD: /sbin/dlmcfgmgr

  3. 設定内容を保存する。
    記述に誤りがあると保存できません。その場合は,再度編集して保存し直してください。
(g) 必要なコマンドの登録(HP-UXの場合)

RBACで必要なコマンドを登録する手順について説明します。この手順はroot権限で実行してください。

なお,次のアカウントだけでSSH接続を使用する場合,この設定は不要です。

  1. 次のコマンドを実行して,JP1/ITRM接続用アカウントにAdministratorロールを登録する。

    # roleadm assign JP1/ITRM接続用アカウント Administrator
    # cat /etc/rbac/user_role
    root:   Administrator
    JP1/ITRM接続用アカウント: Administrator

    コマンド実行後,JP1/ITRM接続用アカウントにAdministratorロールが登録されたことを確認してください。
  2. 次のコマンドを実行して,Administratorロールが実行できる操作を確認する。

    # authadm list
    Administrator: (hpux.*, *)

    「(hpux.*, *)」が表示されることを確認してください。
  3. 次のコマンドを実行して,JP1/ITRM接続用アカウントが実行できるコマンドをRBACデータベースに追加する。

    # cmdprivadm add cmd="/usr/sbin/diskinfo" ruid=0 euid=0 op=hpux.device.read
    # cmdprivadm add cmd="/usr/sbin/exportfs" ruid=0 euid=0 op=hpux.fs.getinfo
    # cmdprivadm add cmd="/opt/fcms/bin/fcmsutil" ruid=0 euid=0 op=hpux.device.read
    # cmdprivadm add cmd="/usr/sbin/share" ruid=0 euid=0 op=hpux.network.nfs.export
    # cmdprivadm add cmd="/usr/sbin/shutdown" ruid=0 euid=0 op=hpux.admin.reboot

    コマンドに指定する「ruid(実ユーザーID)」および「euid(実行ユーザーID)」には,スーパーユーザー(root)のIDである0を指定してください。
  4. /usr/sbin/nwmgrコマンド,または/opt/hpvm/bin/hpvminfoコマンドが管理対象のホストにある場合は,さらに次の内容を追加する。
    HP-UX 11i v2(IPF)の場合

    # cmdprivadm add cmd="/usr/sbin/nwmgr" ruid=0 euid=0 op=hpux.network.config

    HP-UX 11i v3(IPF)の場合

    # cmdprivadm add cmd="/usr/sbin/nwmgr" ruid=0 euid=0 op=hpux.network.config
    # cmdprivadm add cmd="/opt/hpvm/bin/hpvminfo" ruid=0 euid=0 op=hpux.admin.kernel.config

    /usr/sbin/nwmgrコマンド,または/opt/hpvm/bin/hpvminfoコマンドがサーバ上にない場合,次に示すエラーが表示されます。この場合,手順4の設定は不要なので,次の手順に進んでください。

    # cmdprivadm add cmd="/opt/hpvm/bin/hpvminfo" ruid=0 euid=0 op=hpux.admin.kernel.config
    cmdprivadm: warning: /opt/hpvm/bin/hpvminfo is not a valid command. Please double check to make sure this is a intended command to add into the database file.
    /opt/hpvm/bin/hpvminfo::(hpux.admin.kernel.config,*):0/0/-1/-1::::
    cmdprivadm added the entry to /etc/rbac/cmd_priv

  5. /etc/rbac/cmd_privファイルの末尾に,次の内容が追加されていることを確認する。

    /usr/sbin/diskinfo:dflt:(hpux.device.read,*):0/0//:dflt:dflt:dflt:
    /usr/sbin/exportfs:dflt:(hpux.fs.getinfo,*):0/0//:dflt:dflt:dflt:
    /opt/fcms/bin/fcmsutil:dflt:(hpux.device.read,*):0/0//:dflt:dflt:dflt:
    /usr/sbin/share:dflt:(hpux.network.nfs.export,*):0/0//:dflt:dflt:dflt:
    /sbin/shutdown:dflt:(hpux.admin.reboot,*):0/0//:dflt:dflt:dflt:
    /usr/sbin/nwmgr:dflt:(hpux.network.config,*):0/0//:dflt:dflt:dflt:
    /opt/hpvm/bin/hpvminfo:dflt:(hpux.admin.kernel.config,*):0/0//:dflt:dflt:dflt:

(h) 必要なコマンドの登録(AIXの場合)

RBACで必要なコマンドを登録する手順について説明します。この手順はroot権限で実行してください。

なお,次のアカウントだけでSSH接続を使用する場合,この設定は不要です。

  1. 必要なコマンドを特権コマンドデータベースに登録する。
    JP1/ITRMで必要なAIXの特権コマンドを次の表に示します。

    表6-9 JP1/ITRMで必要なAIXの特権コマンド

    特権コマンド必要な権限
    /usr/sbin/smtctlaix.system.config.dlpar
    /usr/sbin/saraix.system.stat
    /usr/sbin/shutdownaix.system.boot.shutdown
    /usr/sbin/acct/fwtmpaix.system.config.acct
    /usr/bin/dfaix.fs.manage
    注※
    /usr/sbin/acct/fwtmpおよび/usr/bin/dfコマンドは,特権コマンドデータベースにデフォルトで定義がないため,次の手順で定義を追加してください。
    1. 次のコマンドを実行する。
     # smit setsecattr_cmdadd
    2. Command Name,Access Authorizations,Innate Privileges,Security Flagsに次の表に示す値を設定する。

    表6-10 /usr/sbin/acct/fwtmpコマンドの設定

    項目名設定する値
    Command Name/usr/sbin/acct/fwtmp
    Access Authorizationsaix.system.config.acct
    Innate PrivilegesPV_DAC_R
    PV_DAC_X
    PV_KER_WPAR
    Security FlagsFSF_EPS

    表6-11 /usr/bin/dfコマンドの設定

    項目名設定する値
    Command Name/usr/bin/df
    Access Authorizationsaix.fs.manage
    Innate PrivilegesPV_DAC_R
    PV_DAC_X
    PV_KER_WPAR
    Security FlagsFSF_EPS

    ロケールが異なる場合,項目名の表示が異なることがあります。


  2. ITRM用のロールを追加する。
    次のコマンドを実行して,ITRMで必要な特権コマンドの実行権限を持つITRM用のロールを追加します。

    # smit mkrole

    Role NAME,AUTHORIZATIONSに次の表で示す値を設定してください。

    表6-12 ITRM用のロールの設定

    項目名設定する値
    Role NAME任意のロール名
    AUTHORIZATIONSaix.system.config.dlpar
    aix.system.stat
    aix.system.boot.shutdown
    aix.system.config.acct
    aix.fs.manage
    ロケールが異なる場合,項目名の表示が異なることがあります。
  3. ITRM接続用アカウントにロールを設定する。
    次のコマンドを実行して,ITRM接続用アカウントに手順2で追加したロールの設定と,ログイン時のデフォルトのロールを設定します。

    # chuser roles=ITRM用ロール default_roles=ITRM用ロール JP1/ITRM接続用アカウント

    また,次のコマンドを実行して,設定を反映します。

    # setkst

(i) OSの構成についての注意事項

OSの構成についての注意事項を次に示します。

注※
Linuxの場合にだけ該当する注意事項です。HP-UXおよびAIXは該当しません。
(j) kudzuサービスの無効化

管理対象が仮想ホスト上のRed Hat Enterprise Linux 5の場合,次のコマンドを実行して,kudzuサービスを無効にしてください。この手順はroot権限で実行してください。

/sbin/chkconfig --level 345 kudzu off

なお,管理対象とするホストのOSが次の場合,この手順は不要です。

(k) ネットワーク設定を特定のNICに固定する指定の無効化

管理対象が仮想ホスト上のLinuxの場合,次の操作を実行して,ネットワーク設定を特定のNICに固定する指定を無効にしてください。この手順はroot権限で実行してください。

  1. HWADDRの設定を解除するために,ネットワークの設定ファイル(etc/sysconfig/network-scripts/ifcfg- ネットワークアダプタ名)の内容を確認する。
  2. 各ネットワークの設定ファイルでHWADDRが有効の場合,設定を解除する。
  3. 管理対象が仮想ホスト上のRed Hat Enterprise Linux 6の場合,udev機能を無効にするために,次のファイルをほかのディレクトリに退避する。
    • /lib/udev/rules.d/75-persistent-net-generator.rules
    • /etc/udev/rules.d/70-persistent-net.rules
  4. 仮想ホストを再起動する。
  5. ネットワーク設定が正しいかどうか確認する。