9.4.1 JP1ユーザーの管理
JP1/IMでは,JP1/IMをOS種別が混在するシステムで安全に運用するために,JP1専用アカウント「JP1ユーザー」によるユーザー認証とアクセス制御を行います。このJP1ユーザーの管理をJP1/Baseのユーザー管理機能で制御します。
以降でユーザー管理機能の詳細について説明します。
- 〈この項の構成〉
(1) ユーザー認証
JP1/IMでは,ビューアー上のJP1/IM - Viewからマネージャー上のJP1/IMにアクセスして,システムを監視します。JP1/IM - ViewからJP1/IMにアクセスする際,不正なユーザーによるアクセスを防止するために,ログイン処理を実行してユーザー認証を行います。
JP1/IMでは,JP1/IM - ViewからJP1/IMにログインする際にJP1/Baseのユーザー認証機能を使用しています。ユーザー認証をするJP1/Baseを認証サーバと呼びます。
ログインするJP1ユーザーは,ログイン先のJP1/IMホストが参照する認証サーバで認証されます。
JP1/IM - ViewからJP1/IMホストへログインする場合のユーザー認証の流れを次の図に示します。
図中の番号に従って説明します(図中の丸付き番号は下記番号にそれぞれ対応しています)。
-
JP1/IM - ViewからJP1/IMホストにログインすると,そのホストのJP1/Baseを経由して認証サーバでJP1ユーザーの認証が行われます。
参照する認証サーバの設定は,JP1/IMホスト上のJP1/Baseで行います。
なお,認証サーバをJP1/IM - Managerと別ホストにした場合,認証サーバをあらかじめ起動していないとJP1/IM - Viewからのログインに失敗します。
-
認証サーバでは,ログインしてきたJP1ユーザーが登録されているかどうかのチェックを行い,問題なければそのJP1ユーザーの操作権限情報を,JP1/IMホストを経由してJP1/IM - Viewに返します(JP1ユーザーの操作権限については,「9.4.1(2) アクセス制御」を参照)。
認証サーバには,ログインするJP1ユーザーをあらかじめ登録しておく必要があります。
ユーザー認証をする際に同一の認証サーバを参照しているホストの集まりをユーザー認証圏と呼びます。JP1/IM - ViewからJP1/AJS - Viewの画面を呼び出す場合,次の図に示すように,接続するJP1/AJS - Managerが同じ認証圏にある場合は,ログイン操作なしで接続できます(認証サーバの切り替え運用をしていて,認証サーバが切り替わった場合は,ログイン処理が発生します)。接続するJP1/AJS - Managerが異なる認証圏にある場合は,ログインの操作が必要です。
一つの認証圏中には,2台の認証サーバを設置できます。2台の認証サーバを設置することで,一方の認証サーバに接続できないときにも,予備の認証サーバに接続してJP1ユーザーの認証を行えます。これによって,認証サーバの障害などによる業務の停止を防げます。通常時に利用する認証サーバをプライマリー認証サーバ,予備の認証サーバをセカンダリー認証サーバと呼びます。なお,認証サーバを2台設置する場合は,プライマリー認証サーバとセカンダリー認証サーバに使用するJP1/Baseのバージョンを統一する必要があります。
(2) アクセス制御
JP1/IMでは,認証サーバで認証されたJP1ユーザーだけがログインできますが,ログインしたすべてのJP1ユーザーがJP1/IMの管理情報に自由にアクセス,操作できるのは問題があります。JP1/IMでは,JP1ユーザーごとに管理情報に対するアクセス権限,および操作権限を付与することで,JP1/IM - Viewの表示・操作を制御できます。
JP1ユーザーのアクセス権限,操作権限を管理するのは,認証サーバです。ログイン時にはユーザー認証を行い,ログインユーザー(JP1ユーザー)のアクセス権限情報,操作権限情報をJP1/IMに返し,その情報に従ってJP1/IM - View側で表示制御・操作制御を行います。
JP1ユーザーのアクセス権限,操作権限は,JP1ユーザーを認証サーバに登録する際に設定します。JP1ユーザーのアクセス権限をJP1資源グループ,操作権限をJP1権限レベルと呼びます。JP1/IM - Viewの操作をする際には,JP1ユーザーに付与されたJP1資源グループ,JP1権限レベルによって操作できる範囲が制御されます。
JP1/IMのJP1資源グループは,「JP1_Console」です。IM構成管理を使用する場合,変更する必要はありません。各JP1ユーザーに対し,セントラルコンソールで業務グループでの参照・操作を制限したい場合,およびセントラルスコープで監視ツリーの表示範囲を制御したい場合には,認証サーバで設定するJP1資源グループも変更する必要があります。詳細については,「4.1.4 業務グループの参照・操作制限の仕組み」および「5.4.3 監視ツリーの監視範囲設定」を参照してください。
JP1/IMとIM構成管理には,それぞれ3種類のJP1権限レベルがあります。各JP1ユーザーの担当範囲(JP1/IM - Viewの操作範囲)に合わせて設定する必要があります。
JP1/IM - Managerの機能 |
権限レベル |
説明 |
---|---|---|
JP1/IM |
JP1_Console_Admin |
|
JP1_Console_Operator |
|
|
JP1_Console_User |
|
|
IM構成管理 |
JP1_CF_Admin |
IM構成管理のすべての操作(システムの階層構成の変更,プロファイルの変更など)ができる。 |
JP1_CF_Manager |
システムの階層構成の参照,およびホストの設定の参照と収集ができる。 |
|
JP1_CF_User |
システムの階層構成およびホストの設定を参照できる。 |
IM構成管理を操作するユーザーには,JP1/IMとIM構成管理のJP1権限レベルが必要です。
なお,JP1権限レベルとJP1/IM - Viewでの操作範囲との対応については,「付録E 操作権限一覧」を参照してください。
JP1ユーザーに対するアクセス制御例を次の図に示します。
(3) ユーザーマッピング
JP1/IMからのコマンド実行を,自動アクションやJP1/IM - Viewの操作によって行う場合,実際に各ホスト上でコマンドを実行するには,そのホストでのOSユーザーの権限が必要となります。このため,JP1ユーザーに対応した,OSユーザーの権限を取得して,コマンドを実行します。
この,JP1ユーザーとOSユーザーの対応づけをユーザーマッピングといい,JP1/Baseの機能によって制御しています。
コマンドを実行するには,それぞれのホストで,ユーザーマッピングの定義が必要です。
ただし,IM構成管理の機能を使うためには,IM構成管理が動作するマネージャーや,IM構成管理が管理するホストでのユーザーマッピングの定義は必要ありません。