6.2 アクセス権を設定する範囲についての検討
JP1/AJS3では,JP1ユーザーという独自のユーザー名を使用して,ジョブの実行を許可する権限や,処理内容の変更を許可する権限などのアクセス権限を管理しています。
そのJP1ユーザーの登録と管理は,JP1/Baseで提供されているユーザー認証機能を使用しています。そのユーザー認証機能で,JP1ユーザーのアクセス権限を管理しているJP1/Baseのホストを認証サーバと呼びます。ネットワーク上にある各JP1/Baseのホストで,どのホストにインストールされたJP1/Baseを認証サーバにするか指定すると,その認証サーバがアクセス権を管理するホストの範囲(ユーザー認証圏)を決めることができます。そのため,JP1/AJS3を導入する場合,認証サーバがアクセス権を管理するホストの範囲(ユーザー認証圏)について検討しておく必要があります。
次の表に示す内容を考慮に入れて,ユーザー認証圏をどのようにするか検討してください。
|
認証圏の数 |
長所・短所 |
|---|---|
|
ユーザー認証圏をシステム内に一つだけ構築した場合 |
システム管理者は,JP1ユーザーを統一管理でき,登録や変更作業にあまり手間が掛かりません。 |
|
ユーザー認証圏をシステム内に複数構築した場合 |
システム管理者は,構築したユーザー認証圏の数だけJP1ユーザーを管理する必要が生じます。JP1ユーザーの登録や変更などの管理の手間が発生してしまいます。また,異なる認証サーバごとにログイン認証が発生します。ただし,個々の認証サーバが独立しているため,システムとしての耐性は強くなります。 |
なお,一つのユーザー認証圏内には,認証サーバを2台設定できます。通常使用する認証サーバをプライマリー認証サーバ,予備として稼働し,トラブル発生時に使用する認証サーバをセカンダリー認証サーバと呼びます。一つのユーザー認証圏内に,認証サーバを1台だけ設定している場合は,認証サーバが起動していなかったり,通信障害が発生したりするなど,何らかの理由で認証サーバに接続できなかった場合に,ジョブやリモートコマンドなどが実行できなくなり,業務が停止するおそれがあります。
2台の認証サーバを設定しておくと,通常使用する認証サーバ(プライマリー認証サーバ)にトラブルが発生しても,予備の認証サーバ(セカンダリー認証サーバ)によってジョブやリモートコマンドを実行できます。ユーザー認証圏がシステム内に一つの場合でも,2台の認証サーバを設定することで,システムとしての耐性は強くなります。必要に応じて,2台の認証サーバを利用することを検討してください。
なお,プライマリー認証サーバとセカンダリー認証サーバを設定する場合は,プライマリー認証サーバに設定されているJP1ユーザーやJP1資源グループなどの情報をセカンダリー認証サーバにコピーして,設定内容を同じにしておいてください。設定内容が同じでない場合,切り替えが発生したときに認証エラーが発生します。
プライマリー認証サーバとセカンダリー認証サーバの設定の詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
プライマリー認証サーバとセカンダリー認証サーバを設定した場合の,認証サーバの指定方法については,次に示す個所を参照してください。
-
JP1/AJS3 - ManagerがインストールされているWindowsホストの場合
マニュアル「JP1/Automatic Job Management System 3 構築ガイド 3.1.1 JP1/Baseのセットアップ」
-
JP1/AJS3 - AgentがインストールされているWindowsホストの場合
マニュアル「JP1/Automatic Job Management System 3 構築ガイド 3.2.1 JP1/Baseのセットアップ」
-
JP1/AJS3 - ManagerがインストールされているUNIXホストの場合
マニュアル「JP1/Automatic Job Management System 3 構築ガイド 13.1.1 JP1/Baseのセットアップ」
-
JP1/AJS3 - AgentがインストールされているUNIXホストの場合
マニュアル「JP1/Automatic Job Management System 3 構築ガイド 13.2.1 JP1/Baseのセットアップ」