 |
|
管理ガイド 05/21/03 10:02:24 |
この章では、Silver Securityのユーザおよびグループ(Novell exteNd Application Serverでのみ認識されるユーザとグループ)を定義する方法について説明します。この章には、次の節が含まれています。
注記: アプリケーションサーバでは、外部セキュリティプロバイダ(Windows NT、LDAP、NIS+、および証明書発行者を含む)へのアクセスも提供されます。これらのプロバイダからユーザおよびグループへのアクセスのセットアップの詳細については、 セキュリティプロバイダシステムへのアクセスを参照してください。
Silver Securityのユーザおよびグループは、多数の方法で定義できます。たとえば、サイトの組織に基づいてグループ(Accounting、Salesなど)を定義し、それらのグループにユーザを割り当てることが可能です。これらのグループには、Silver Securityユーザだけでなく、外部セキュリティ領域で定義されたユーザを含むこともできます。ユーザは、複数のグループに属することができます。
Silver Securityユーザおよびグループを定義したら、定義したSilver Securityのユーザとグループに基づいて、システムの任意のディレクトリまたはオブジェクトへのアクセスを定義できます。たとえば、Accountingグループのメンバーには特定の許可を設定し、Developersグループのメンバーには別の許可を設定することが可能です。
データ許可を設定するためのユーザとグループの使用の詳細については、
認証とアクセス制御を参照してください。
2つの定義済みのグループ インストール後、アプリケーションサーバには、AdministratorsおよびDevelopersという2つの定義済みのグループが存在します。両方のグループには、当初、サーバ管理者のみが含まれています。これらのグループは、独自のユーザやグループを作成するための開始点として使用します。定義済みのグループ名とは異なる名前を使用する場合は、名前を変更した後、削除できます。詳細については、 Silver Securityのユーザおよびグループの管理を参照してください
|
グループ |
説明 |
|---|---|
|
Administrators |
インストール後、サーバ管理者は、このグループの唯一のメンバーです。この人は、Locksmith権限(新しいユーザやグループを追加できる能力を含む)が与えられている、当初の唯一のメンバーです。 Locksmith権限の使用を参照してください。 管理タスクを実行しなければならないユーザは、すべてこのグループに追加します。このグループのユーザには、管理許可をすべて割り当てたり、そのサブセットを割り当てたりすることが可能です。サーバを管理するには、ユーザに「サーバの設定を変更する」アクセスを割り当てる必要があります。 管理サーバの許可を参照してください。 |
|
Developers |
インストール後、(Administratorsグループのメンバーではないユーザと比較して)このグループの権限ユーザのみがディレクトリリストを参照できます。 |
。
大文字と小文字の区別 Silver Securityのユーザ名およびパスワードでは、大文字と小文字が区別されます(次を参照)。
ユーザ名: SilverMasterデータベースに従います。つまり、SilverMasterデータベースで大文字と小文字が区別されない場合は(たとえば、administratorとAdministratorは同じものとみなされる)、ユーザ名で大文字と小文字が区別されず、SilverMasterで大文字と小文字が区別される場合は、ユーザ名で大文字と小文字が区別されます。
詳細については、
グループに対するデフォルトの許可を参照してください。
管理者アカウントは、アプリケーションサーバによって認識されるユーザ(Silver Security、NT、LDAP、NIS+、または証明書ユーザ)に割り当てることができます。
アプリケーションサーバをインストールした際に、アプリケーションサーバの管理者アカウントに対してユーザ名とパスワードを指定しました。このアカウントは、新しいSilverMasterデータベースカタログが作成されたときに使用されたものです。
サーバ管理者アカウントは、SMCにログインしてアプリケーションサーバを管理するために使用します。また、SilverMasterInitコマンドラインオプションの一部を実行する場合にも、サーバ管理者アカウントを指定する必要があります。
サーバ管理者ユーザアカウントの保持者は、定義済みのAdministratorsグループのメンバーで、Locksmith権限が与えられています。Locksmith権限によって、サーバのオブジェクトに「許可を設定する」権限が与えられます。Locksmith権限が与えられているアカウントの保持者のみが、Locksmith権限を別のアカウントに割り当てることができます。
詳細については、
Locksmith権限の使用を参照してください。
注記: アプリケーションサーバにログインして管理できる人を制限する「サーバ」管理者アカウントは、「データベース」管理者アカウントとは異なります。アプリケーションサーバでは、SilverMaster データベースに接続するときにデータベース管理者アカウントを使用します。SilverMasterデータベースアカウントを指定する必要があるのは、コマンドラインでSilverMasterInitを実行する場合のみです。
SMCを使用すると、Silver Securityユーザを追加したり、ユーザプロパティを編集したり、Silver Securityグループを追加したりすることが可能です。
注記: これらのタスクは、SilverCmdを使用して実行することもできます。詳細については、『機能ガイド』の「SilverCmdリファレンス」の SetUserGroupInfoを参照してください。
右側のペインの下部にある[Add New User]アイコンを選択します。
Silverユーザまたは証明書ユーザを定義するかどうかを尋ねるメッセージが表示されます。
[Silver user]を選択して、[Next]をクリックします。
証明書ユーザの定義の詳細については、
クライアント証明書の手動インストールを参照してください。
[New User]パネルが表示されます。
[Name]フィールドでは、ユーザの短い名前を指定します。これは、[Login]ボックスにユーザが入力する名前です。
SMCを使用すると、ユーザプロパティを変更することが可能です (外部セキュリティプロバイダで定義されたユーザに対して編集可能なプロパティは、Locksmith権限のみです。詳細については、 Locksmith権限の使用を参照してください)。
ユーザによるプロパティの変更禁止 デフォルトでは、ユーザは、自分のユーザプロパティを変更できます。この権限は、オフにすることが可能です。この権限の詳細については、 認証の有効化を参照してください。
ユーザ名を選択し、続けて[Properties]を選択します。
次のようなパネルが表示されます。
[Fully Qualified Name]フィールドは、ユーザの作成に使用した[Name]フィールドに対応しています。このフィールドは編集できません。
Locksmith権限がある場合、変更中のユーザにLocksmith権限を与えるかどうかを変更することもできます。
詳細については、
Locksmith権限の使用を参照してください。
グループを作成すると、ビジネス組織単位(部門)や作業役割(職種)など、さらに大きな前後関係内でユーザを分類できるようになり、セキュリティ管理が簡単になります。ユーザは、1つまたは複数のユーザグループに属することができます。また、ユーザには、グループまたは個人のステータスごとに、オブジェクトへのアクセスを与えることができます。
[Add user to group]アイコンを選択します。
次のようなパネルが表示されます。
注記: 表示されるパネルは、設定した外部セキュリティプロバイダと、アプリケーションサーバで使用されるオペレーティングシステムによって異なる場合があります。詳細については、 セキュリティプロバイダシステムへのアクセスを参照してください。
グループにユーザを追加するには、左側のパネルでユーザを選択し、[Add]を選択します。
外部セキュリティプロバイダ(NTドメインなど)によって定義されたユーザは、Silver Securityグループに追加できます。
管理者ユーザには、デフォルトによりLocksmith権限が与えられています。Locksmith権限を使用すると、ユーザは次の操作を実行できます。
データアクセス許可を取得および設定する(許可が設定されているグループにユーザが属していないような状況で、これらの許可がシステムのどこかで拒否された場合でも)。
サーバおよびサーバのオブジェクトに対するセキュリティの定義の詳細については、
認証とアクセス制御を参照してください。
SilverMasterデータベースからサーバのプロパティ設定を読み込む(この許可がシステムのどこかで拒否された場合でも)。
Locksmith権限を使用すると、許可を設定することもできるため、Locksmith権限の保持者は、サーバ管理許可を自分自身に与えることも可能です。
注記: Locksmith権限の保持者には、Locksmith権限の保持者であるという理由だけに基づいてすべての許可が与えられているわけではありません。ただし、Locksmith権限の保持者として、希望の許可を自分自身に与えることはできます。
他のユーザに対してLocksmith権限を付与および無効にする。 ユーザプロパティの編集を参照してください。
注記: Locksmith権限によってサーバの機能やプロパティへの強力なアクセスが与えられるため、Locksmith権限は、信頼するユーザだけに与えるようにしてください。
Locksmith権限の保持者1人(最低)の確保 Locksmith権限が与えられているユーザをすべて削除しないように注意してください。Locksmith権限を他のユーザに与えるには、1人のユーザがLocksmith権限を持っている必要があります。このため、Locksmith権限を誰も持っていない場合、Locksmith権限を与えることはできません。
Locksmith権限を誰も持っていない状況では、SilverMasterInitを-lコマンドラインオプションとともに実行して、Locksmithアカウントを定義することができます。
詳細については、
SilverMasterInitプログラムの使用を参照してください。
|
|
管理ガイド 05/21/03 10:02:24 |
Copyright © 1997, 1998, 1999, 2000, 2001, 2002, 2003 SilverStream Software, LLC, a wholly owned subsidiary of Novell, Inc. All rights reserved.
