この手順では、Enterprise Server 環境で設定されたEnterprise Server のデフォルトのセキュリティ構成を再度有効化する必要があるシステム上での対話型セッションが必要です。UNIX または Linux では、ファイルの所有権および権限が正しくなるように、製品のインストール時に指定した Enterprise Server システム ユーザー アカウントで実行する必要があります。ESCWA または MFDS のセキュリティが有効になっている場合は、以下の手順を行い、これらのシステムへの管理アクセスに資格情報を付与する必要があります。
- コマンド mfsecconv reset を実行します。このコマンドは次のアクションを実行します。
- デフォルトの場所にある VSAM ESM モジュールのセキュリティ データが、製品に付属の es_default_security.yaml を使用して初期化されます。デフォルトの場所にある既存の VSAM ESM モジュールのセキュリティ データはすべて上書きされます。
- デフォルトの管理者ユーザーアカウント (SYSAD) に新しいパスワードが生成されます。パスワードの検証子 (安全なハッシュ) は、VSAM ESM モジュールのセキュリティ データ内のユーザー レコードに書き込まれ、ユーザー名とパスワードは microfocus/temp/admin の下のデフォルトの Micro Focus Vault 機能に書き込まれます。Vault 内の資格情報の詳細については、「Enterprise Server のデフォルトのセキュリティの使用方法」を参照してください。
- アクセス制限のあるユーザーアカウント (readonly) に新しいパスワードが生成されます。そのための検証子は VSAM ESM モジュールのユーザー レコードに書き込まれ、ユーザー名とパスワードは microfocus/common/readonly の下の Vault に書き込まれます。
mfsecconv reset にはさまざまなオプションがあります。詳細については、mfsecconv reset -help を実行するか、製品ヘルプの mfsecconv の参照情報を確認してください。
注:ESCWA または MFDS セキュリティのデフォルトのセキュリティ データの場所で VSAM ESM モジュールを既に使用している場合、このコマンドを実行すると、既存の管理者アクセスが無効になります。続行する前に、Vault から SYSAD の新しいパスワードを取得する必要があります。
- mfsecretsadmin read microfocus/temp/admin コマンドを実行して、表示されるSYSADユーザーのパスワードをメモしておきます。セキュリティを再度有効化すると、Enterprise Server への管理アクセスに必要なパスワードが提供されます。
- ブラウザから ESCWA に接続するには、通常は http://localhost:10086 を使用します。
- ESCWA メニュー バーで [Security] を選択します。ESCWA セキュリティ ページが表示されます。
- ナビゲーション パネルで [Security Managers] を選択します。リストされているマネージャー名がOoBで、vsam_esmモジュールを使用している場合は、次の手順をスキップして手順 7 に進みます。ここで「OoB」は「Out-of-Box」の略で、デフォルト ES セキュリティ機能の以前の名前です。
- 新しいセキュリティ マネージャーを作成するには、[+Add] をクリックします。名前を OoB(または任意の名前) に設定し、モジュールを vsam_esmに設定します。その他のフィールドはデフォルト値のままにしておきます。[Save] をクリックしてセキュリティ マネージャーを保存します。新しいセキュリティ マネージャーがマネージャーのリストに表示されます。
- ナビゲーション ペインで [ESCWA Configuration] を選択します。ESCWA セキュリティ構成が表示されます。
- 構成の下部にセキュリティ マネージャーがリストされている場合は、それぞれの横にある – アイコンを使用して削除します。
- [+ Add] をクリックして、OoBセキュリティ マネージャー (または、別の名前を付けた場合は手順 6 で作成したセキュリティ マネージャー) を選択します。[Select] をクリックすると、選択内容が保存されます。デフォルトの Enterprise Server セキュリティ マネージャーが ESCWA のセキュリティ構成に追加されます。
- [Use All Groups] オプションのチェックボックスをクリックします。このオプションはデフォルトのセキュリティ構成で有効になっており、ほとんどのユーザーが予期したとおりに使いやすく操作できるようになっています。[Allow unknown resources] および [Allow unknown users] のチェックボックスがオフになっていることを確認します。
- [Apply] をクリックすると、ESCWA セキュリティ構成への変更が保存されます。サインインを求められます。ユーザー名 SYSADと、手順 2 で取得したパスワードを使用します。これで、ESCWA がデフォルトのセキュリティ構成を使用して保護されるようになりました。
- ESCWA メニュー バーで [Native] をクリックします。ナビゲーション ペインの [Directory Servers] の下で、ローカル MFDS インスタンスを選択します。通常は、このディレクトリ サーバーのみがリストされています。そうでない場合は、localまたはそれに似た名前のサーバーがリストされます。ディレクトリ サーバーのエンタープライズ サーバー リージョンおよびサーバー リストが表示されます。
- ディレクトリ サーバーのメニュー バー (ESCWA のトップ メニュー バーの下) から [] をクリックします。VSAM ESMという名前のセキュリティ マネージャーが表示された場合は、次の手順をスキップして手順 15 に進みます。ディレクトリ サーバーに定義されているセキュリティ マネージャーのリストが表示されます。
- 新しいセキュリティ マネージャーを作成するには、[+Add] をクリックします。名前をVSAM ESM(または任意の名前) に設定し、モジュールをvsam_esmに設定します。その他のフィールドはデフォルト値のままにしておきます。[Save] をクリックしてセキュリティ マネージャーを保存します。新しいセキュリティ マネージャーがリストに表示されます。
- ディレクトリ サーバーのメニュー バーから [] をクリックします。ディレクトリ サーバーのデフォルトの ES セキュリティ構成が表示されます。
- 構成の下部にセキュリティ マネージャーがリストされている場合は、それぞれの横にある – アイコンを使用して削除します。
- [+ Add] をクリックして、VSAM ESMセキュリティ マネージャー (または、別の名前を付けた場合は手順 14 で作成したセキュリティ マネージャー) を選択します。[Select] をクリックすると、選択内容が保存されます。セキュリティ マネージャーがデフォルトの ES セキュリティ構成に追加されます。
- [Use All Groups] をクリックします。
- [Apply] をクリックすると、デフォルトの ES セキュリティ構成への変更が保存されます。これで、エンタープライズ サーバー インスタンスを再起動すると、デフォルトのセキュリティ構成が使用されるようになりました。
- ディレクトリ サーバーのメニュー バーから [] をクリックします。ディレクトリ サーバーのセキュリティ構成が表示されます。
- [Use ES Default Security Managers] をチェックし、[Apply] をクリックします。古いセキュリティ構成の資格情報を使用してディレクトリ サーバーにサインインするように求められた場合は、ユーザー名 SYSAD およびパスワード SYSAD を使用します。
- [Restrict Directory Server Access] をチェックし、[Apply] をクリックします。新しいセキュリティ構成の資格情報を使用してディレクトリ サーバーにサインインするように求められます。SYSAD および手順 2 のパスワードを使用します。これで、ディレクトリ サーバーがデフォルトのセキュリティ構成を使用して保護されるようになりました。
エンタープライズ サーバー インスタンスが新しいセキュリティ設定を使用するのは、再起動後です。リージョンの開始や停止などのアクションには、管理者の資格情報 (SYSADユーザーおよび手順 2 でメモしたパスワード) を使用する必要があります。ESCWA を使用すると、ユーザーの追加、パスワードの変更、およびその他のセキュリティ管理タスクを実行できます。