12.3 ディレクトリサービスのアクセス設定にNNMiのセキュリティモデルを設定する
ここでは,ldap.propertiesファイルをバージョン09-50のNNMiから改訂して,ユーザーごとに複数のNNMiユーザーグループをサポートする方法について説明します。このバージョンアップは,次の条件の両方で必要となります。
-
ldap.propertiesファイルによって,すべてのNNMiユーザー情報をディレクトリサービスに保存が現在有効になっています。
すべてのNNMiユーザー情報をディレクトリサービスに保存する方法については,「12.1.3 外部モード:すべてのNNMiユーザー情報をディレクトリサービスに保存」を参照してください。
-
NNMiをカスタムセキュリティグループで設定したか,設定することになっています。
バージョン09-50のNNMiでは,NNMiユーザーは,定義済みのNNMiロールのうちどれかに割り当てられていました。各ユーザーは,NNMiトポロジのすべてのオブジェクトにアクセスできました。
バージョン10のNNMiでは,定義済みのNNMiユーザーグループでNNMiロールが置き換わります。各NNMiユーザーは最低1つの定義済みNNMiユーザーグループに属する必要があり,これによってNNMiユーザーがNNMiコンソールで実行できる事項が定義されます。追加のユーザーグループが存在する場合は,次のようにNNMiトポロジオブジェクトへのアクセスを制限します。
-
カスタムユーザーグループが存在しない場合,すべてのNNMiコンソールユーザーはすべてのトポロジオブジェクトにアクセスできます。
-
1つ以上のカスタムユーザーグループが存在する場合,各ユーザーグループはNNMiトポロジのオブジェクトのサブセットにアクセスできます。
バージョン09-50のNNMiでは,各ディレクトリサービスグループ定義に,NNMiロールを指定するグループ属性を含める必要がありました。ldap.propertiesファイルの次のパラメーターで,このグループ属性を指定していました。
-
roleAttributeID
-
roleAttributeIsDN
-
roleNameAttributeID
バージョン10のNNMiでは,このパラメーターが廃止されました。各ユーザーグループをNNMiコンソールで定義する必要があります。
ユーザーグループ定義には外部名を含めます。これが,ディレクトリサービスでのグループの識別名になります。
ディレクトリサービスのアクセス設定を変更してNNMiセキュリティモデルをサポートするには,次の手順を実行します。
-
NNMiデータベースのユーザー情報をバックアップする。
nnmconfigexport.ovpl -c account -u <user> -p <password> -f NNMi_database_accounts.xml
-
ldap.propertiesファイルをバックアップしてから,そのファイルを任意のテキストエディタで開く。
ldap.propertiesファイルの詳細については,「12.7 LDAP設定ファイルリファレンス」を参照してください。
-
次のパラメーターが存在する場合は,コメントにするか削除する。
-
roleAttributeID
-
roleAttributeIsDN
-
roleNameAttributeID
-
-
変更を保存する。
-
ldap.propertiesファイルを編集した場合は,次のコマンドを実行してNNMiにLDAP設定を再読み込みさせる。
nnmldap.ovpl -reload
-
NNMiコンソールで,定義済みのNNMiユーザーグループをディレクトリサービスのユーザーグループにマッピングする。
-
[ユーザーグループ]ビューを開きます。
[設定]ワークスペースで[セキュリティ]を展開してから[ユーザーグループ]をクリックします。
-
[admin]行をダブルクリックします。
-
[ディレクトリサービス名]フィールドに,NNMi管理者のディレクトリサービスグループの完全識別名を入力します。
-
[保存して閉じる]をクリックします。
-
guest,level1,level2の行ごとに手順bから手順dを繰り返します。
このマッピングによって,NNMiコンソールにアクセスできるようになります。NNMiコンソールにアクセスするすべてのユーザーは,この手順で指定した,定義済みのNNMiユーザーグループのうちどれかにマッピングされているディレクトリサービスグループに含まれている必要があります。
-
-
ディレクトリサービスでNNMiユーザーの追加グループを識別する。必要に応じて新しいグループを定義する。
-
手順7.で追加された新しいグループごとに,NNMiコンソールで新しいユーザーグループを作成する。
-
[ユーザーグループ]ビューを開きます。
[設定]ワークスペースで[セキュリティ]を展開してから[ユーザーグループ]をクリックします。
-
[新規作成]をクリックしてから,グループの情報を入力します。
−[名前]は一意の値に設定します。短い名前にすることをお勧めします。
−[表示名]は,ユーザーに表示される値に設定します。
−[ディレクトリサービス名]は,ディレクトリサービスグループの完全識別名に設定します。
−[説明]は,このNNMiユーザーグループの目的を説明するテキストに設定します。
-
[保存して閉じる]をクリックします。
-
NNMiユーザーの新しいディレクトリサービスグループごとに手順bと手順cを繰り返します。
このマッピングで,NNMiコンソールのトポロジオブジェクトにアクセスできるようになります。各ディレクトリサービスグループは,複数のNNMiユーザーグループにマッピングできます。
-
-
(任意)ユーザーグループをセキュリティグループにマッピングする。
詳細については,NNMiヘルプの「セキュリティの設定」を参照してください。