方法...
エンタープライズサーバで実行するアプリケーションは、重要なビジネス機能を実行し、また機密情報を処理することがあります。 このため、これらのアプリケーションではセキュリティを高めるための手段を考慮する必要があります。 このような手段のひとつは、エンタープライズサーバの構成と実行を行う機能を制限することです。
一般には、Micro Focus Directory Server の Web インターフェイスである Enterprise Server Administration を使用してエンタープライズサーバを管理します。 Directory Server は、エンタープライズサーバの構成情報を保存します。
ここでは、Micro Focus Directory Server と Enterprise Server Administration の機能へのアクセスを制御する方法について説明します。
アクセスを制御するには、Directory Server を制限モードで実行する必要があります。 制限モードで実行しない場合、Enterprise Server Administration の機能はすべて、ログオンせずにアクセスできます。
これ以降では、Directory Server が制限モードで実行されていると仮定します。
Directory Server の内部でオブジェクトとスキーマの設定を表示および変更する機能は、システム全体で、ユーザアカウント、ユーザグループおよびアクセス権によって制御されます。 管理機能を使用するユーザは、ログオンしなければなりません。 ユーザが使用できる機能は、アクセス権で制御されます。 アクセス権は、ユーザグループに設定します。 設定されたグループ内のユーザは、これらのアクセス権で管理されるアクションを実行できます。
制限モードで実行中の Directory Server の Enterprise Server Administration に接続すると、要約画面が表示されます。 この画面は、Directory Server が管理するエンタープライズサーバの基本情報を詳細に示します。
他のアクションを実行する前に、ログオンする必要があります。 ログオンするには、ユーザアカウントが必要です。 Directory Server には事前に設定済みのユーザアカウントが多数ありますが、別のアカウントを作成することもできます。
ログオンした時に使用できる機能は、そのユーザが属しているユーザグループに設定されたアクセス権によって決まります。
どのユーザも、複数のグループに所属できます。 グループに関しても、Directory Server には事前に設定済みのグループがいくつかありますが、別のグループを作成することもできます。 事前に設定済みのグループにはそれぞれ、特定の管理作業を実行するための適切なアクセス権があります。 各グループには、それぞれ 1 つまたは複数のユーザが設定されていますが、Micro Focus アプリケーションが使用する System グループは例外です。
| グループ | 説明 | 事前に設定されているユーザ |
| All Users | これは、アクセス権が最も制限されているグループです。 デフォルトの Enterprise Server アクセス権は、読み取り専用に設定されています。 このアクセス権により、グループ内のユーザは、エンタープライズサーバの構成情報を参照できます。 すべてのユーザはこのグループに属しています。 | schemaadmin、adddelete、modify、administrator |
| Add/Delete | このグループには、次の管理作業が有効になるデフォルトの Enterprise Server アクセス権が設定されています。
| adddelete、administrator |
| General Administrators | このグループには、エンタープライズサーバに対する管理作業がすべて有効になるデフォルトのエンタープライズサーバアクセス権が設定されています。 また、ユーザの管理を除くすべての Directory Server 管理作業も許可されています。 | administrator |
| Directory Server Administrators | このグループには、Directory Server およびエンタープライズサーバのすべての管理作業に必要なアクセス権が設定されています。 | schemaadmin |
| Modify | このグループには、エンタープライズサーバの構成情報の変更を有効にするデフォルトのエンタープライズサーバアクセス権が設定されています。 | modify |
| System | これは、Micro Focus アプリケーションを使用するためのグループです。 |
アクセス権は、Directory Server の機能の使用を制御します。 たとえば、ユーザおよびグループを管理するためのアクセス権があります。 アクセス権はユーザグループに設定します。
アクセス権には 2 つのカテゴリがあります。
| Directory Server Administration | Directory Server のリポジトリを管理します (たとえば、ユーザアカウントの管理など)。 |
| Server | Directory Server が制御するエンタープライズサーバを管理します。 |
アクセス権の中には、他のアクセス権を含むものがあります。 たとえば、エンタープライズサーバを変更できるアクセス権には、サーバを起動および停止できるアクセス権も含まれています。 アクセス権を割り当てると、そのアクセス権に含まれるすべてのアクセス権も自動的に付与されます。
Directory Server の使用可能なアクセス権を示します。
| 名前 | 説明 |
| Save Repository | リポジトリのコピーをファイルシステムディレクトリに保存することを許可します。 |
| Import Repository | ファイルシステムディレクトリからのデータのインポートを許可します。
含まれるアクセス権: Save Repository |
| Restore Repository | ファイルシステムディレクトリからリポジトリを復元することを許可します。 復元すると、現在のリポジトリの情報はすべて上書きされます。
含まれるアクセス権: Save Repository、Import Repository |
| Delete Repository | すべてのエンタープライズサーバ、およびすべてのユーザとグループを含め、Directory Server リポジトリ全体の削除を許可します。
含まれるアクセス権: Save Repository、Import Repository |
| Change MF Directory Server options | Directory Server のオプションの変更を許可します。
含まれるアクセス権: Save Repository、Import Repository |
| Set Server Permissions | 個々のエンタープライズサーバでのアクセス権の割り当てを許可します。
含まれるアクセス権: Save Repository、Import Repository、Restore Repository、Delete Repository、Change MF Directory Server |
| Display Directories | Directory Server がネットワーク上で検出できる Directory Server のリストの表示を許可します。
含まれるアクセス権: Save Repository、Import Repository、Restore Repository、Delete Repository、Change MF Directory Server、Set Server Permissions |
| Shutdown MF Directory Server | Directory Server のシャットダウンを許可します。
含まれるアクセス権: Save Repository、Import Repository、Restore Repository、Delete Repository、Change MF Directory Server、Set Server Permissions |
| Administer Users | ユーザアカウントおよびユーザグループの管理、アクセス権の設定を許可します。
含まれるアクセス権: Save Repository、Import Repository、Restore Repository、Delete Repository、Change MF Directory Server、Set Server Permissions、Display Directories、Shutdown MF Directory Server |
サーバのアクセス権を示します。
| 名前 | 説明 |
| Read | エンタープライズサーバの構成情報の表示を許可します。 |
| Start/Stop | エンタープライズサーバの起動と停止を許可します。
含まれるアクセス権: Read |
| Modify | エンタープライズサーバの構成情報の変更を許可します。
含まれるアクセス権: Read、Start/Stop |
| Add | リスナー、サービス、パッケージを、エンタープライズサーバに追加することを許可します。 グループのデフォルトアクセス権として設定された場合は、エンタープライズサーバの追加も許可します。
含まれるアクセス権: Read、Start/Stop、Modify |
| Delete | エンタープライズサーバの削除と、エンタープライズサーバからリスナー、サービス、パッケージを削除することを許可します。
含まれるアクセス権: Read、Start/Stop、Modify |
グループにはデフォルトのサーバアクセス権を設定できますが、個々のエンタープライズサーバに対してこのデフォルトを無効にすることもできます。 たとえば、オペレータグループに、サーバの起動と停止ができるデフォルトアクセス権を設定したとします。 この設定は、オペレータグループが Modify アクセス権も持つように指定すると、テストサーバでは無効にできます。
注: 新しいサーバの作成をグループに許可するには、グループのデフォルトアクセス権を Add に設定する必要があります。
Enterprise Server Administration 内の画面を使用して、ユーザおよびグループの管理ができます。 この管理を行うには、適切なアクセス権をもつグループに属するユーザアカウントでログオンする必要があります。 事前に設定済みのユーザである schemaadmin がこの作業に適しています。
Enterprise Server Administration 内の画面を使用して、各グループにアクセス権を設定します。 この設定を行うには、適切なアクセス権をもつグループに属するユーザアカウントでログオンする必要があります。 事前に設定済みのユーザである schemaadmin がこの作業に適しています。
できるだけ早い段階で、設定済みアカウントのパスワードを変更します。
アクセスする必要のあるユーザのみがアクセス権をもつことを確認します。
ユーザが、その作業を行うために必要なアクセス権のみをもつことを確認します。
管理ユーザの数を制限します。
Directory Server の前バージョンでは、各ユーザに 4 種類のアクセス権レベルのいずれかを割り当てることでユーザのアクションを制御していました。 そのレベルは、Modify、Add/Delete、Administrator、Schema Administrator です。
Micro Focus Studio にアップグレードする場合、Directory Server のユーザアカウントは、新しいグループとアクセス権モデルに自動的に移行されます。 各ユーザは、そのアクセス権レベルに相当するアクセス権をもつデフォルトグループに割り当てられます。
| アクセス権レベル | 相当するグループ |
| Modify | Modify |
| Add/Delete | Add/Delete |
| Administrator | General Administrator |
| Schema Administrator | Directory Administrator |
結果として、ユーザは以前と同じように Enterprise Server Administration にアクセスできます。
前回のリリースでは、ユーザ情報は CCIUSERS.dat ファイルに格納されていました。 Enterprise Server Administration のユーザのインポート機能を使用すると、前バージョンで実行しているその他の Micro Focus Directory Server の CCIUSERS.dat ファイルからユーザを手動でインポートすることができます。 この場合、制限のないモードで Directory Server を実行する必要があります。
Copyright © 2006 Micro Focus (IP) Ltd. All rights reserved.