10.3　ディレクトリサービスのアクセス設定にNNMiのセキュリティモデルを設定する

ここでは，ldap.propertiesファイルをバージョン09-50のNNMiから改訂して，ユーザーごとに複数のNNMiユーザーグループをサポートする方法について説明します。このバージョンアップは，次の条件の両方で必要となります。

• ldap.propertiesファイルによって，すべてのNNMiユーザー情報をディレクトリサービスに保存が現在有効になっています。

  すべてのNNMiユーザー情報をディレクトリサービスに保存する方法については，「10.1.3　外部モード：すべてのNNMiユーザー情報をディレクトリサービスに保存」を参照してください。

• NNMiをカスタムセキュリティグループで設定したか，設定することになっています。

バージョン09-50のNNMiでは，NNMiユーザーは，定義済みのNNMiロールのうちどれかに割り当てられていました。各ユーザーは，NNMiトポロジのすべてのオブジェクトにアクセスできました。

バージョン10のNNMiでは，定義済みのNNMiユーザーグループでNNMiロールが置き換わります。各NNMiユーザーは最低1つの定義済みNNMiユーザーグループに属する必要があり，これによってNNMiユーザーがNNMiコンソールで実行できる事項が定義されます。追加のユーザーグループが存在する場合は，次のようにNNMiトポロジオブジェクトへのアクセスを制限します。

• カスタムユーザーグループが存在しない場合，すべてのNNMiコンソールユーザーはすべてのトポロジオブジェクトにアクセスできます。

• 1つ以上のカスタムユーザーグループが存在する場合，各ユーザーグループはNNMiトポロジのオブジェクトのサブセットにアクセスできます。

バージョン09-50のNNMiでは，各ディレクトリサービスグループ定義に，NNMiロールを指定するグループ属性を含める必要がありました。ldap.propertiesファイルの次のパラメータで，このグループ属性を指定していました。

• roleAttributeID

• roleAttributeIsDN

• roleNameAttributeID

バージョン10のNNMiでは，このパラメータが廃止されます。各ユーザーグループをNNMiコンソールで定義する必要があります。

ユーザーグループ定義には外部名を含めます。これが，ディレクトリサービスでのグループの識別名になります。

ディレクトリサービスのアクセス設定を変更してNNMiセキュリティモデルをサポートするには，次の手順を実行します。

1. NNMiデータベースのユーザー情報をバックアップする。

   nnmconfigexport.ovpl -c account -u <user> \
   -p <password> -f NNMi_database_accounts.xml

2. ldap.propertiesファイルをバックアップしてから，そのファイルを任意のテキストエディタで開く。

   ldap.propertiesファイルの詳細については，「10.7　ldap.properties設定ファイルリファレンス」を参照してください。

3. 次のパラメータが存在する場合は，コメントにするか削除する。

   • roleAttributeID

   • roleAttributeIsDN

   • roleNameAttributeID

4. ldap.propertiesファイルを編集した場合は，次のコマンドを実行してNNMiにLDAP設定を再読み込みさせる。

   nnmldap.ovpl -reload

5. NNMiコンソールで，定義済みのNNMiユーザーグループをディレクトリサービスのユーザーグループにマッピングする。

   a　［ユーザーグループ］ビューを開きます。

   ［設定］ワークスペースで［セキュリティ］を展開してから［ユーザーグループ］をクリックします。

   b　［admin］行をダブルクリックします。

   c　［ディレクトリサービス名］フィールドに，NNMi管理者のディレクトリサービスグループの完全識別名を入力します。

   

   d　［保存して閉じる］をクリックします。

   e　guest，level1，level2の行ごとに手順bから手順dを繰り返します。

   このマッピングによって，NNMiコンソールにアクセスできるようになります。NNMiコンソールにアクセスするすべてのユーザーは，この手順で指定した，定義済みのNNMiユーザーグループのうちどれかにマッピングされているディレクトリサービスグループに含まれている必要があります。

6. ディレクトリサービスでNNMiユーザーの追加グループを識別します。必要に応じて新しいグループを定義する。

7. 手順6.で追加された新しいグループごとに，NNMiコンソールで新しいユーザーグループを作成する。

   a　［ユーザーグループ］ビューを開きます。

   ［設定］ワークスペースで［セキュリティ］を展開してから［ユーザーグループ］をクリックします。

   b　［新規作成］をクリックしてから，グループの情報を入力します。

   　−［名前］は一意の値に設定します。短い名前にすることをお勧めします。

   　−［表示名］は，ユーザーに表示される値に設定します。

   　−［ディレクトリサービス名］は，ディレクトリサービスグループの完全識別名に設定します。

   　−［説明］は，このNNMiユーザーグループの目的を説明するテキストに設定します。

   c　［保存して閉じる］をクリックします。

   d　NNMiユーザーの新しいディレクトリサービスグループごとに手順bと手順cを繰り返します。

   このマッピングで，NNMiコンソールのトポロジオブジェクトにアクセスできるようになります。各ディレクトリサービスグループは，複数のNNMiユーザーグループにマッピングできます。

8. （任意）ユーザーグループをセキュリティグループにマッピングする。

   詳細については，NNMiヘルプの「セキュリティの設定」を参照してください。

ページの先頭へ