第6章

ユーザおよびグループのセットアップ

この章では、Silver Securityのユーザおよびグループ(Novell exteNd Application Serverでのみ認識されるユーザとグループ)を定義する方法について説明します。この章の節は次のとおりです。

注記: アプリケーションサーバでは、外部セキュリティプロバイダ(Windows、LDAP、NIS+、および証明書発行者を含む)へのアクセスも提供されます。これらのプロバイダからユーザおよびグループへのアクセスのセットアップの詳細については、セキュリティプロバイダシステムへのアクセスを参照してください。

Silver Securityのユーザおよびグループについて

Silver Securityのユーザおよびグループは、多数の方法で定義できます。たとえば、サイトの組織に基づいてグループ(Accounting、Salesなど)を定義し、それらのグループにユーザを割り当てることができます。これらのグループには、Silver Securityユーザだけでなく、外部セキュリティレルムで定義されたユーザを含めることもできます。ユーザは、複数のグループに属することができます。

Silver Securityユーザおよびグループを定義したら、定義したSilver Securityのユーザとグループに基づいて、システムの任意のディレクトリまたはオブジェクトへのアクセスを定義できます。たとえば、Accountingグループのメンバーには特定の許可を設定し、Developersグループのメンバーには別の許可を設定できます。

For more information ユーザとグループを使用したデータ許可の設定の詳細については、認証とアクセス制御を参照してください。

2つの定義済みのグループインストール後、アプリケーションサーバには、AdministratorsおよびDevelopersという2つの定義済みのグループが存在します。両方のグループには、当初、サーバ管理者のみが含まれています。これらのグループは、独自のユーザやグループを作成するための開始点として使用します。定義済みのグループ名とは異なる名前を使用する場合は、名前を変更した後、削除できます。詳細については、Silver Securityのユーザおよびグループの管理を参照してください。

グループ	説明
Administrators	インストール後、サーバ管理者は、このグループの唯一のメンバーです。このユーザは、Locksmith権限(新しいユーザやグループを追加できる機能が含まれます)が与えられている、当初の唯一のメンバーです。Locksmith権限の使用を参照してください。管理タスクを実行する必要があるユーザは、すべてこのグループに追加します。このグループのユーザには、管理許可をすべて割り当てたり、そのサブセットを割り当てたりすることができます。サーバを管理するには、ユーザに「サーバ環境設定の変更」アクセスを割り当てる必要があります。管理サーバの許可を参照してください。
Developers	インストール後、(Administratorsグループのメンバーではないユーザと比較して)このグループの権限ユーザのみがディレクトリリストを参照できます。

グループ

説明

Administrators

インストール後、サーバ管理者は、このグループの唯一のメンバーです。このユーザは、Locksmith権限(新しいユーザやグループを追加できる機能が含まれます)が与えられている、当初の唯一のメンバーです。Locksmith権限の使用を参照してください。

管理タスクを実行する必要があるユーザは、すべてこのグループに追加します。このグループのユーザには、管理許可をすべて割り当てたり、そのサブセットを割り当てたりすることができます。サーバを管理するには、ユーザに「サーバ環境設定の変更」アクセスを割り当てる必要があります。管理サーバの許可を参照してください。

Developers

インストール後、(Administratorsグループのメンバーではないユーザと比較して)このグループの権限ユーザのみがディレクトリリストを参照できます。

大文字と小文字の区別 Silver Securityのユーザ名およびパスワードでは、大文字と小文字が区別されます(次を参照)。

ユーザ名: SilverMasterデータベースに従います。つまり、SilverMasterデータベースで大文字と小文字が区別されない場合、ユーザ名の大文字と小文字は区別されません(たとえば、administratorとAdministratorは同じものとみなされます)。SilverMasterで大文字と小文字が区別される場合は、ユーザ名の大文字と小文字が区別されます。
パスワード: 大文字と小文字が区別されます。たとえば、adminとAdminは、常に異なるパスワードとみなされます。

For more information 詳細については、グループに対するデフォルトの許可を参照してください。

管理者アカウントについて

管理者アカウントは、アプリケーションサーバによって認識されるユーザ(Silver Security、Windows、LDAP、NIS+、または証明書ユーザ)に割り当てることができます。

アプリケーションサーバをインストールした際に、アプリケーションサーバの管理者アカウントに対してユーザ名とパスワードを指定しました。このアカウントは、新しいSilverMasterデータベースカタログが作成されたときに使用されたものです。

サーバ管理者アカウントは、SMCにログインしてアプリケーションサーバを管理するために使用します。また、SilverMasterInitコマンドラインオプションの一部を実行する場合にも、サーバ管理者アカウントを指定する必要があります。

サーバ管理者ユーザアカウントの保持者は、定義済みのAdministratorsグループのメンバーで、Locksmith権限が与えられています。Locksmith権限によって、サーバのオブジェクトに「許可の設定」権限が与えられます。Locksmith権限が与えられているアカウントの保持者のみが、Locksmith権限を別のアカウントに割り当てることができます。

For more information 詳細については、Locksmith権限の使用を参照してください。

注記: アプリケーションサーバにログインして管理できるユーザを制限する「サーバ」管理者アカウントは、「データベース」管理者アカウントとは異なります。アプリケーションサーバでは、SilverMasterデータベースに接続するときにデータベース管理者アカウントを使用します。SilverMasterデータベースアカウントを指定する必要があるのは、コマンドラインでSilverMasterInitを実行する場合のみです。

Procedure 新しい管理アカウントを作成する

既存の管理者アカウントを使用して、SMCにログインします。
新しい管理者アカウントを作成するか、またはセキュリティレルムの1つから既存のユーザを選択して管理者にします。
［プロパティ］をクリックし、新しいアカウントにLocksmith権限を割り当てます。
新しい管理者アカウントをAdministratorsグループに追加します。
SMCを閉じます。
SMCを再開し、新しい管理者としてログインします。
［プロパティ］ダイアログボックスを使用して、新しいアカウントにLocksmith権限が割り当てられていることを確認します。
(オプション)古い管理者アカウントを削除します。

Silver Securityのユーザおよびグループの管理

SMCを使用すると、Silver Securityユーザを追加したり、ユーザプロパティを編集したり、Silver Securityグループを追加したりすることができます。

注記: これらのタスクは、SilverCmdを使用して実行することもできます。詳細については、『機能ガイド』の章「SilverCmdリファレンス」のSetUserGroupInfoを参照してください。

Silver Securityユーザの追加

Procedure ユーザを追加する

SMCを開始します。
ツールバーから［セキュリティ］アイコンを選択します。
［ユーザとグループ］を選択します。
［Silver Security］を展開して、［ユーザ］を選択します。
右側のペインの下部にある［新規ユーザを追加する］アイコンを選択します。

Silverユーザまたは証明書ユーザを定義するかどうかを尋ねるメッセージが表示されます。
［Silverユーザ］を選択して、［次へ］をクリックします。

証明書ユーザの定義の詳細については、クライアント証明書の手動インストールを参照してください。

［新規ユーザ］パネルが表示されます。
各フィールドに適切な情報を入力します。

［名前］フィールドでは、ユーザの短い名前を指定します。これは、［ログイン］ボックスにユーザが入力する名前です。
パネルを完了したら、［完了］をクリックします。

ユーザプロパティの編集

SMCを使用すると、ユーザプロパティを変更できます(外部セキュリティプロバイダで定義されたユーザに対して編集可能なプロパティは、Locksmith権限のみです。詳細については、Locksmith権限の使用を参照してください)。

ユーザによるプロパティの変更禁止デフォルトでは、ユーザは、自分のユーザプロパティを変更できます。この権限は、オフにできます。この権限の詳細については、認証の有効化を参照してください。

Procedure ユーザプロパティを編集する

SMCを開始します。
ツールバーから［セキュリティ］アイコンを選択します。
［ユーザとグループ］を選択します。
ユーザの［Silver Security］リストを展開します。
ユーザ名を選択し、続けて［プロパティ］を選択します。

次のようなパネルが表示されます。
編集可能な4つのフィールドのうち、任意のものを変更します。

［完全修飾名］フィールドは、ユーザの作成に使用した［名前］フィールドに対応しており、このフィールドは編集できません。

Locksmith権限がある場合、変更中のユーザにLocksmith権限を与えるかどうかを変更することもできます。

詳細については、Locksmith権限の使用を参照してください。
［OK］をクリックします。

Silver Securityグループの追加

グループを作成すると、ビジネス組織単位(部門)や作業役割(職種)など、さらに大きな前後関係内でユーザを分類できるようになり、セキュリティ管理が簡単になります。ユーザは、1つまたは複数のユーザグループに属することができます。また、ユーザには、グループまたは個人のステータスごとに、オブジェクトへのアクセスを与えることができます。

Procedure グループを作成する

SMCを開始します。
ツールバーから［セキュリティ］アイコンを選択します。
［ユーザとグループ］を選択します。
［Silver Security］を展開して、［グループ］を選択します。
［新しいSilver Securityグループを追加する］アイコンを選択します。

次のようなパネルが表示されます。
グループの名前と説明を入力します。
［OK］をクリックします。

Procedure グループにユーザを追加する

SMCを開始します。
ツールバーから［セキュリティ］アイコンを選択します。
［ユーザとグループ］を選択します。
［Silver Security］を展開し、続けて［グループ］を展開します。
ユーザを追加する先のSilver Securityグループを選択します。
［ユーザをグループに追加する］アイコンを選択します。

次のようなパネルが表示されます。

注記: 表示されるパネルは、設定した外部セキュリティプロバイダと、アプリケーションサーバで使用されるオペレーティングシステムによって異なる場合があります。詳細については、セキュリティプロバイダシステムへのアクセスを参照してください。
グループにユーザを追加するには、左側のパネルでユーザを選択し、［追加］を選択します。

外部セキュリティプロバイダによって定義されたユーザをSilver Securityグループに追加できます。
- 選択したユーザを削除するには、［クリア］を選択します。
- グループ内のすべてのユーザを削除するには、［すべてクリア］を選択します。
終了したら、［閉じる］をクリックします。

Locksmith権限の使用

管理者ユーザには、デフォルトでLocksmith権限が与えられています。Locksmith権限を使用すると、ユーザは次の操作を実行できます。

タスク	詳細
データアクセス許可を取得および設定する(設定許可が与えられているグループにユーザが属していないような状況で、システムの別の場所ではこれらの許可が拒否される場合でも)。	サーバおよびサーバのオブジェクトに対するセキュリティの定義の詳細については、認証とアクセス制御を参照してください。
SilverMasterデータベースからサーバのプロパティ設定を読み込む(この許可がシステムの別の場所では拒否される場合でも)。	Locksmith権限を使用すると、許可を設定することもできるため、Locksmith権限の保持者は、サーバ管理許可を自分自身に与えることもできます。注記: Locksmith権限の保持者には、Locksmith権限の保持者であるという理由だけに基づいてすべての許可が与えられているわけではありません。ただし、Locksmith権限の保持者として、希望の許可を自分自身に与えることはできます。
他のユーザに対してLocksmith権限を付与および無効にする。	ユーザプロパティの編集を参照してください。

タスク

詳細

データアクセス許可を取得および設定する(設定許可が与えられているグループにユーザが属していないような状況で、システムの別の場所ではこれらの許可が拒否される場合でも)。

For more information サーバおよびサーバのオブジェクトに対するセキュリティの定義の詳細については、認証とアクセス制御を参照してください。

SilverMasterデータベースからサーバのプロパティ設定を読み込む(この許可がシステムの別の場所では拒否される場合でも)。

Locksmith権限を使用すると、許可を設定することもできるため、Locksmith権限の保持者は、サーバ管理許可を自分自身に与えることもできます。

注記: Locksmith権限の保持者には、Locksmith権限の保持者であるという理由だけに基づいてすべての許可が与えられているわけではありません。ただし、Locksmith権限の保持者として、希望の許可を自分自身に与えることはできます。

他のユーザに対してLocksmith権限を付与および無効にする。

ユーザプロパティの編集を参照してください。

注記: Locksmith権限によってサーバの機能やプロパティへの強力なアクセスが与えられるため、Locksmith権限は、信頼するユーザだけに与えるようにしてください。

Locksmith権限の保持者1人(最低)の確保 Locksmith権限が与えられているユーザをすべて削除しないように注意してください。Locksmith権限を他のユーザに与えるには、1人のユーザがLocksmith権限を持っている必要があります。このため、Locksmith権限を誰も持っていない場合、Locksmith権限を与えることはできません。

Locksmith権限を誰も持っていない状況では、SilverMasterInitを僕コマンドラインオプションとともに実行して、Locksmithアカウントを定義することができます。

For more information 詳細については、SilverMasterInitプログラムの使用を参照してください。