14.2.1 セキュリティグループ
NNMiセキュリティモデルでは,ノードへのユーザーアクセスはユーザーグループおよびセキュリティグループを介して間接的に制御されます。NNMiトポロジ内の各ノードは,1つのセキュリティグループだけに関連づけられます。セキュリティグループは複数のユーザーグループに関連づけることができます。
各ユーザーアカウントは,次のユーザーグループにマッピングされます。
- 次に示す事前設定された1つ以上のNNMiユーザーグループ
NNMi管理者
NNMiグローバルオペレーター
NNMiレベル1オペレーター
NNMiレベル2オペレーター
NNMiゲストユーザー
マッピングはNNMiコンソールのアクセスに必要です。これによって,NNMiコンソール内で使用できるアクションが決まります。ユーザーアカウントがこれらの複数のNNMiユーザーグループにマッピングされている場合,許可されるアクションのスーパーセットがユーザーに付与されます。
[NNMi Webサービスクライアント]ユーザーグループでは,NNMiコンソールへのアクセス権は付与されませんが,すべてのNNMiオブジェクトへの管理者レベルのアクセス権が付与されます。
NNMiグローバルオペレータユーザーグループ(globalops)では,すべてのトポロジオブジェクトだけにアクセス権が与えられます。ユーザーがNNMiコンソールにアクセスするには,ユーザーをほかのどれかのユーザーグループ(level2,level1,またはguest)に割り当てる必要があります。
globalopsユーザーグループはデフォルトですべてのセキュリティグループにマッピングされるため,管理者はこのユーザーグループをセキュリティグループにマッピングしないようにする必要があります。
- セキュリティグループにマッピングされるカスタムユーザーグループ
これらのマッピングでは,NNMiデータベースのオブジェクトへのアクセスが提供されます。各マッピングには,セキュリティグループのノードに適用されるオブジェクトアクセス権レベルが含まれています。オブジェクトアクセス権レベルは,インタフェースやインシデントなどの関連するデータベースオブジェクトにも適用されます。例えば,インタフェースXおよびYを含むノードAへのオブジェクトオペレータレベル1のアクセス権があるユーザーには,次のすべてのデータベースオブジェクトへのオブジェクトオペレータレベル1のアクセス権があります。
ノードA
インタフェースXおよびY
ソースオブジェクトがノードA,インタフェースX,またはインタフェースYのインシデント
NNMiには,次のセキュリティグループがあります。
- デフォルトのセキュリティグループ
新しいNNMiインストール済み環境では,[デフォルトのセキュリティグループ]がすべてのノードに対する初期セキュリティグループとして割り当てられます。デフォルトでは,すべてのユーザーに,[デフォルトのセキュリティグループ]内のすべてのオブジェクトが表示されます。NNMi管理者は,[デフォルトのセキュリティグループ]に関連づけられるノードと,[デフォルトのセキュリティグループ]内のオブジェクトにアクセスできるユーザーを設定できます。
- 未解決のインシデント
[未解決のインシデント]セキュリティグループは,ソースノードがNNMiトポロジ内にない受信トラップからNNMiが作成するインシデントへのアクセス権を提供します。デフォルトでは,すべてのユーザーに,[未解決のインシデント]セキュリティグループに関連づけられたすべてのインシデントが表示されます。NNMi管理者は,[未解決のインシデント]セキュリティグループに関連づけられたインシデントにアクセスできるユーザーを設定できます。
すべてのセンサーは,ノードのセキュリティグループの割り当てを継承します。
- ベストプラクティス
次のベストプラクティスがNNMiセキュリティ設定に適用されます。
各ユーザーアカウントを事前設定された1つのNNMiユーザーグループだけにマッピングします。
事前設定されたNNMiユーザーグループをセキュリティグループにマッピングしないでください。
[NNMi管理者]ユーザーグループにマッピングされたすべてのユーザーアカウントには,NNMiデータベースのすべてのオブジェクトに対する管理者レベルのアクセス権が付与されるため,このユーザーアカウントをほかのユーザーグループにマッピングしないでください。
Webサービスクライアントロール専用のユーザーアカウントを別個に作成します。このユーザーアカウントはNNMiトポロジ全体にアクセスできるため,このユーザーアカウントは[NNMi Web サービスクライアント]ユーザーグループにだけマッピングしてください。