12.3　ディレクトリサービスのアクセス設定にNNMiのセキュリティモデルを設定する

ここでは，ldap.propertiesファイルをバージョン09-50のNNMiから改訂して，ユーザーごとに複数のNNMiユーザーグループをサポートする方法について説明します。このバージョンアップは，次の条件の両方で必要となります。

• ldap.propertiesファイルによって，すべてのNNMiユーザー情報をディレクトリサービスに保存が現在有効になっています。

  すべてのNNMiユーザー情報をディレクトリサービスに保存する方法については，「12.1.3　外部モード：すべてのNNMiユーザー情報をディレクトリサービスに保存」を参照してください。

• NNMiをカスタムセキュリティグループで設定したか，設定することになっています。

バージョン09-50のNNMiでは，NNMiユーザーは，定義済みのNNMiロールのうちどれかに割り当てられていました。各ユーザーは，NNMiトポロジのすべてのオブジェクトにアクセスできました。

バージョン10のNNMiでは，定義済みのNNMiユーザーグループでNNMiロールが置き換わります。各NNMiユーザーは最低1つの定義済みNNMiユーザーグループに属する必要があり，これによってNNMiユーザーがNNMiコンソールで実行できる事項が定義されます。追加のユーザーグループが存在する場合は，次のようにNNMiトポロジオブジェクトへのアクセスを制限します。

• カスタムユーザーグループが存在しない場合，すべてのNNMiコンソールユーザーはすべてのトポロジオブジェクトにアクセスできます。

• 1つ以上のカスタムユーザーグループが存在する場合，各ユーザーグループはNNMiトポロジのオブジェクトのサブセットにアクセスできます。

バージョン09-50のNNMiでは，各ディレクトリサービスグループ定義に，NNMiロールを指定するグループ属性を含める必要がありました。ldap.propertiesファイルの次のパラメーターで，このグループ属性を指定していました。

• roleAttributeID

• roleAttributeIsDN

• roleNameAttributeID

バージョン10のNNMiでは，このパラメーターが廃止されました。各ユーザーグループをNNMiコンソールで定義する必要があります。

ユーザーグループ定義には外部名を含めます。これが，ディレクトリサービスでのグループの識別名になります。

ディレクトリサービスのアクセス設定を変更してNNMiセキュリティモデルをサポートするには，次の手順を実行します。

1. NNMiデータベースのユーザー情報をバックアップする。

   nnmconfigexport.ovpl -c account -u <user> -p <password> -f NNMi_database_accounts.xml

2. ldap.propertiesファイルをバックアップしてから，そのファイルを任意のテキストエディタで開く。

   ldap.propertiesファイルの詳細については，「12.7　LDAP設定ファイルリファレンス」を参照してください。

3. 次のパラメーターが存在する場合は，コメントにするか削除する。

   • roleAttributeID

   • roleAttributeIsDN

   • roleNameAttributeID

4. 変更を保存する。

5. ldap.propertiesファイルを編集した場合は，次のコマンドを実行してNNMiにLDAP設定を再読み込みさせる。

   nnmldap.ovpl -reload

6. NNMiコンソールで，定義済みのNNMiユーザーグループをディレクトリサービスのユーザーグループにマッピングする。

   1. ［ユーザーグループ］ビューを開きます。

      ［設定］ワークスペースで［セキュリティ］を展開してから［ユーザーグループ］をクリックします。

   2. ［admin］行をダブルクリックします。

   3. ［ディレクトリサービス名］フィールドに，NNMi管理者のディレクトリサービスグループの完全識別名を入力します。

   4. ［保存して閉じる］をクリックします。

   5. guest，level1，level2の行ごとに手順bから手順dを繰り返します。

   このマッピングによって，NNMiコンソールにアクセスできるようになります。NNMiコンソールにアクセスするすべてのユーザーは，この手順で指定した，定義済みのNNMiユーザーグループのうちどれかにマッピングされているディレクトリサービスグループに含まれている必要があります。

7. ディレクトリサービスでNNMiユーザーの追加グループを識別する。必要に応じて新しいグループを定義する。

8. 手順7.で追加された新しいグループごとに，NNMiコンソールで新しいユーザーグループを作成する。

   1. ［ユーザーグループ］ビューを開きます。

      ［設定］ワークスペースで［セキュリティ］を展開してから［ユーザーグループ］をクリックします。

   2. ［新規作成］をクリックしてから，グループの情報を入力します。

      　−［名前］は一意の値に設定します。短い名前にすることをお勧めします。

      　−［表示名］は，ユーザーに表示される値に設定します。

      　−［ディレクトリサービス名］は，ディレクトリサービスグループの完全識別名に設定します。

      　−［説明］は，このNNMiユーザーグループの目的を説明するテキストに設定します。

   3. ［保存して閉じる］をクリックします。

   4. NNMiユーザーの新しいディレクトリサービスグループごとに手順bと手順cを繰り返します。

   このマッピングで，NNMiコンソールのトポロジオブジェクトにアクセスできるようになります。各ディレクトリサービスグループは，複数のNNMiユーザーグループにマッピングできます。

9. （任意）ユーザーグループをセキュリティグループにマッピングする。

   詳細については，NNMiヘルプの「セキュリティの設定」を参照してください。

ページの先頭へ