14.4.3 セキュリティグループを設定する
ディレクトリサービスとNNMiを統合して,ユーザー名,パスワード,およびオプションとしてNNMiユーザーグループの割り当ての保管場所を統合する場合は,NNMiセキュリティを設定する前に,その統合の設定を実行してください。
NNMiでは,次の方法でセキュリティを設定できます。
NNMiコンソールの[セキュリティウィザード]
セキュリティ設定の可視化に役立ちます。[変更概要の表示]ページには,現在のウィザードセッションで保存されていない変更点のリストが表示されます。また,セキュリティ設定に関する潜在的な問題も示されます。
個々のセキュリティオブジェクトに対応したNNMiコンソールのフォーム
セキュリティ設定の1つの側面を同時に集中的に捉える場合に便利です。
nnmsecurity.ovplコマンドラインインタフェース
自動操作や一括操作する場合に便利です。このツールは,セキュリティ設定に関する潜在的な問題のレポートも提供します。
NNMiトポロジ内のオブジェクトに対するユーザーのアクセス権を制限するために,NNMiセキュリティを定義および設定するプロセスは,循環的なプロセスです。
- メモ
この設定方法は,セキュリティグループからユーザーアカウントに移動します。例えば,ユーザーアカウントからセキュリティグループにNNMiセキュリティを設定する場合,NNMiヘルプで「セキュリティの設定例」を検索してください。
NNMiセキュリティの設定に関しては,次の点に注意してください。
検出されたノードに割り当てられるセキュリティグループは,そのノードに関連づけられたテナントの[初期検出セキュリティグループ]の値によって設定されます。
NNMiテナントを設定しないで,NNMiセキュリティモデルを使用すると,すべてのノードがデフォルトテナントに割り当てられます。
NNMiセキュリティを計画および設定するための概略的な方法を次に示します。この概略的な手順では,NNMiセキュリティを設定するための1つの方法を説明します。
管理対象のネットワークトポロジを分析して,NNMiユーザーがアクセスする必要のあるノードのグループを判別する。
事前に定義されたNNMiユーザーグループと,[デフォルトのセキュリティグループ]および[未解決のインシデント]セキュリティグループの間のデフォルトの関係を削除する。
この手順によって,ユーザーが管理してはならないノードへのアクセス権が,そのユーザーに誤って付与されることがないようにします。この時点では,NNMiトポロジ内のオブジェクトにアクセスできるのはNNMi管理者だけです。
ノードの各サブセットのセキュリティグループを設定する。
特定のノードは1つのセキュリティグループにだけ属することができます。
a セキュリティグループを作成します。
b 適切なノードを各セキュリティグループに割り当てます。
カスタムユーザーグループを設定する。
a セキュリティグループごとに,NNMiユーザーアクセスの各レベルに対応するユーザーグループを設定します。
ユーザーグループメンバーシップをNNMiデータベースに保存しても,それらのユーザーグループにユーザーはマッピングされません。
ユーザーグループメンバーシップをディレクトリサービスに保存する場合は,各ユーザーグループの[ディレクトリサービス名]フィールドに,ディレクトリサービス内のそのグループの識別名を設定します。
b 各カスタムユーザーグループを,適切なセキュリティグループにマッピングします。マッピングごとに適切なオブジェクトアクセス権を設定します。
ユーザーアカウントを設定する。
ユーザーグループメンバーシップをNNMiデータベースに保存する場合は,次の手順を実行します。
NNMiコンソールにアクセスできるユーザーごとに,ユーザーアカウントオブジェクトを作成します。ユーザーアカウントを設定するプロセスは,NNMiコンソールログオンにディレクトリサービスを使用しているかどうかによって異なります。
各ユーザーアカウントをNNMiコンソールにアクセスするために,事前に定義したNNMiユーザーグループの1つにマッピングします。
各ユーザーアカウントをトポロジオブジェクトにアクセスするために,1つ以上のカスタムNNMiユーザーグループにマッピングします。
ユーザーグループメンバーシップをディレクトリサービスに保存する場合,各ユーザーが,事前に定義されたNNMiユーザーグループの1つ,および1つ以上のカスタムユーザーグループに属していることを確認します。
「14.4.4 セキュリティ設定を確認する」の説明に従って,設定を確認する。
セキュリティ設定を管理する。
[デフォルトのセキュリティグループ]に追加されたノードに注目し,これらのノードを適切なセキュリティグループに移動します。
新しいNNMiコンソールユーザーを適切なユーザーグループに追加します。