JP1/Baseと連携してユーザのアカウントを管理するための機能（JP1ユーザ認証連携機能）

Cosminexus V9 アプリケーションサーバ仮想化システム構築・運用ガイド

7.9　JP1/Baseと連携してユーザのアカウントを管理するための機能（JP1ユーザ認証連携機能）

JP1/Baseのユーザー管理機能を利用して，仮想サーバマネージャを実行できるアカウントを認証サーバ（JP1/Base）で管理する機能です。あるユーザが仮想サーバマネージャに対して操作すると，認証サーバ（JP1/Base）によってアカウントに対する認証処理が実施され，そのユーザが操作できるかどうかが判定されます。

注意

ここで説明する機能は，次の条件を満たしていることを前提としています。

仮想サーバマネージャが配置されているマシン（仮想化システム管理用サーバマシン）にJP1/Baseがインストールされていること
認証サーバ（JP1/Base）が構築，運用されていること

JP1/Base（認証サーバ）によるアカウント管理の流れを次の図に示します。ここでは，仮想化システム管理用サーバマシンと別のマシンに認証サーバを構築している場合の例で説明します。

図7-7　JP1/Base（認証サーバ）によるアカウント管理の流れ

[図データ]

図中の番号に対応する処理について説明します。

JP1アカウント管理者は，仮想サーバマネージャを実行できるアカウントに関する情報を認証サーバ（JP1/Base）で設定，編集します。
仮想サーバマネージャ管理者またはシステム構築者は，仮想サーバマネージャに対して構築，運用または管理の指示を実行します。
仮想サーバマネージャからJP1/Baseを通して，指示を実行したユーザに関するアカウントの認証処理が認証サーバのJP1/Baseに依頼されます。
認証サーバのJP1/BaseからJP1/Baseを通して，認証処理の結果が仮想サーバマネージャに通知されます。
認証に成功すると，仮想サーバマネージャによって，仮想サーバの構築，運用または管理の処理が実行されます。

JP1ユーザ認証連携機能を利用する場合は，JP1アカウント管理者が仮想化システムの構築・運用に携わるようになります。仮想化システムの構築・運用に直接携わるユーザとJP1アカウント管理者の関係を次の図に示します。

図7-8　仮想化システムの構築・運用に直接携わるユーザとJP1アカウント管理者の関係

[図データ]

JP1アカウント管理者は，仮想化システムの構築・運用に直接携わる仮想サーバマネージャ管理者やシステム構築者からアカウントに関する依頼を受けて，アカウントに関する操作作業を実施します。

＜この節の構成＞: (1)　設定方法; (2)　実行方法と実行結果; (3)　注意事項

(1)　設定方法

JP1ユーザ認証連携機能を使用する場合は，次の設定が必要になります。

機能を有効にするための設定
認証サーバで管理するアカウント情報の設定（JP1/Baseでの設定）

設定で使用するファイルについては，「8.　仮想化システムの構築・運用で使用するファイルとコマンド」を参照してください。

●機能を有効にするための設定

機能を有効にするためには，仮想サーバマネージャに対して，JP1/Baseのユーザー管理機能を利用してアカウントを管理することを設定します。仮想サーバマネージャプロパティファイル（vmi.properties）のvmi.jp1.base.auth.enabledキーに「true」を設定すると，機能が有効になります。

●認証サーバで管理するアカウント情報の設定（JP1/Baseでの設定）

JP1ユーザ認証連携機能では，アカウント情報を認証サーバのJP1/Baseで管理します。このため，仮想サーバマネージャを実行できるアカウント，および管理ユニットに対する操作権限を認証サーバのJP1/Baseに設定します。設定方法については，マニュアル「JP1/Base 運用ガイド」を参照してください。

アカウントの種類と認証サーバのJP1/Baseに設定するアカウント情報を次の表に示します。

表7-7　アカウントの種類と認証サーバのJP1/Baseに設定するアカウント情報

項番	JP1/Baseの属性	説明	アカウントの種類
項番	JP1/Baseの属性	説明	仮想サーバマネージャ管理者アカウント	システム構築者アカウント
1	JP1ユーザー名	アカウントを識別する名称を設定します。	任意のユーザ名^※1
2	パスワード	アカウントのパスワードを設定します。	任意のパスワード^※1
3	JP1資源グループ	管理対象（資源）を分けたグループの名称を設定します。仮想化システムでは，管理対象（資源）には管理ユニットが該当します。	*（アスタリスク）^※3	管理ユニット名^※2
4	JP1権限レベル	資源グループに対する操作権限の名称を設定します。仮想化システムでは，仮想サーバマネージャアカウント（Cosminexus_vMNG_Admin）またはシステム構築者アカウント（Cosminexus_vMNG_Manager）が該当します。	Cosminexus_vMNG_Admin	Cosminexus_vMNG_Manager

注※1: 入力規則はJP1/Baseに従います。

注※2: 入力規則については，マニュアル「アプリケーションサーバリファレンスコマンド編」の「9.2　仮想化システムで使用するコマンドの詳細」を参照してください。

注※3: JP1権限レベルが仮想サーバマネージャ管理者アカウントの場合は，JP1資源グループの指定内容に関係なく，すべての管理ユニットに対する操作権限が設定されます。

(2)　実行方法と実行結果

(3)　注意事項

JP1ユーザ認証連携機能を有効にすると，仮想サーバマネージャに対するアカウントを操作する機能が使用できなくなります。また，アカウント情報を表示する機能や，管理ユニットの管理で使用する機能でも処理に変更があります。
JP1ユーザ認証連携機能を有効にした場合に，影響のある仮想化システムで使用するコマンドを次の表に示します。

表7-8　影響のある仮想化システムで使用するコマンド（JP1ユーザ認証連携機能を有効にした場合）

項番	コマンド名称		実行可否	コマンド実行時の処理
項番	コマンド	サブコマンド	実行可否	コマンド実行時の処理
1	vmiaccount	create	×	KEOS29739-Eメッセージを出力し，処理を中止します。
2		delete	×
3		list	×
4		password	×
5	vmiunit	info	○	Owner（管理ユニットの所有者）は出力されません。UnitName（管理ユニット名）とDescription（説明）が出力されます。
6	vmiunitadmin	changeowner	×	KEOS29739-Eメッセージを出力し，処理を中止します。
7		create	○	認証サーバで設定済みの管理ユニット名と異なる管理ユニット名を指定した場合は，KEOS29696-Eメッセージを出力し，処理を中止します。
8		list	○	Owner（管理ユニットの所有者）は出力されません。UnitName（管理ユニット名）とDescription（説明）が出力されます。

（凡例）: ○：実行できます。; ×：実行できません。実行した場合は処理を中止します。

JP1ユーザ認証連携機能を有効にすると，仮想サーバマネージャ管理者アカウントに関する処理が実行できなくなります。仮想サーバマネージャ管理者アカウントに関する処理を含むコマンド（mngsvrctlコマンド）の引数「setup」を使用して，仮想サーバマネージャをセットアップする場合に，-uオプションと-pオプションを指定すると，KEOS29740-Wメッセージが出力されます。この場合，-uオプションと-pオプションの指定は無視され，セットアップ処理は続行されます。

7.9 JP1/Baseと連携してユーザのアカウントを管理するための機能（JP1ユーザ認証連携機能）

(1) 設定方法