Navigatorで利用できるアクセス制御機能を設定する方法について説明します。
データの非公開/公開の設定、およびデータの公開条件の設定は、Navigator辞書管理ツールから行います。
設定方法については、“Navigator Server 管理者ガイド(辞書管理ツール)”を参照してください。
専用実効ユーザモードを利用して、Navigatorが保持する重要資産を保護するための設定について説明します。
ポイント
OS認証では、資源を保護するには、専用実効ユーザを作成し、専用実効ユーザモードへ移行する必要があります。資源の保護の設定を行う前に、専用実効ユーザモードへ移行してください。
専用実効ユーザモードへ移行する
資源の保護は、専用実効ユーザを作成する必要があります。
専用実効ユーザモードへの移行手順を以下に示します。移行作業中は、他のユーザがNavigator Serverを利用しないようにしてください。
なお、以下の移行手順の1、および5~10については、スーパユーザで実行してください。
1.利用中ユーザの有無を確認
移行作業は、他のユーザが利用していない状態で実施する必要があります。
利用中ユーザの有無を確認したり、一般利用者のログオンを規制するために、ユーザ管理機能などが使用できます。
ユーザ管理の詳細は、“14.1.2 ユーザ管理機能”を参照してください。
ここでは、rn_showuserコマンドを使用して利用中のユーザを表示したり、rn_locklogonコマンドを使用して一般利用者のログオンを規制する方法を示します。
# rn_showuser |
2.データベースのバックアップ
移行作業中の不測の事態に備えて、データベースのバックアップを行うことを強くお勧めします。バックアップの方法は各データベースの機能を使用して行ってください。
3.辞書の退避(辞書が複数ある場合、辞書の数だけ実施します。)
辞書の退避を行います。辞書の退避は、Navigator辞書管理ツール、または辞書退避コマンドを使用して行います。辞書が複数ある場合には、辞書の数だけ退避を実行してください。
辞書の退避が終了したら、辞書の退避情報が正しく出力されているか確認してください。辞書の退避情報については、“Navigator Server 管理者ガイド(辞書管理ツール)”を参照してください。
4.辞書の削除(辞書が複数ある場合、辞書の数だけ実施します。)
退避が正常に行われた事を確認してから、辞書の削除を行ってください。辞書の削除は、Navigator辞書管理ツールを使用して行います。辞書が複数ある場合には、辞書の数だけ削除を実行します。
5.実効ユーザの作成
実効ユーザと実効ユーザが所属するグループをOSに登録します。ユーザ・グループのOSへの登録は、OSのコマンド(useraddコマンドやgroupaddコマンド)を使用して行います。すでに登録されているユーザを実効ユーザとする場合、この作業は不要です。
以下に、ユーザ名navi、グループ名olapの場合の作成例を示します。
# groupadd -g 3000 olap |
6.辞書ディレクトリの作成
辞書用ディレクトリを作成します。辞書用ディレクトリ上にはユーザ名と同名のディレクトリが自動的に作成され、Navigator Serverの動作に必要な各種ファイルや辞書の退避情報などが作成されます。
このディレクトリには、実効ユーザにだけ権限を与えてください。
以下に、辞書ディレクトリが/home/navidicで実効ユーザがnavi(グループolap)の場合の設定例を示します。
# mkdir /home/navidic |
7.認証タイプ設定ファイルの修正
認証タイプ設定ファイルを修正します。
認証タイプ設定ファイルのサンプルファイル「インストールディレクトリ/bin.rn_auth_type.sample」のファイル名を.rn_auth_typeに変更して利用してください。
認証タイプ,辞書ディレクトリ,実効ユーザ名, |
認証タイプ
認証タイプには、半角数字の「1」か「2」を指定します。ここでは、「1」を設定します。
辞書ディレクトリ
辞書ディレクトリの絶対パス名を指定してください。絶対パス名の末尾には、ディレクトリ区切り文字「/」を指定してください。
実効ユーザ名
OSのアカウント上のユーザ名を「実効ユーザ」として指定します。
実効ユーザ名を指定する場合は、必ず辞書ディレクトリも指定してください。
実効ユーザ名(および辞書ディレクトリ)は、1回指定した値を変更できません。
例えば、1回「navi」という実効ユーザ名で運用した場合、そのシステムで指定可能な実効ユーザ名は、「navi」のみになります。
【設定例】
1,/home/navidic/,navi, |
8.作業ファイル用ディレクトリの変更
環境設定ファイルに環境変数TMPDIRが指定されている場合、指定したディレクトリが作業ファイル用ディレクトリとして使用されます。
以下に、環境変数TMPDIRに指定したディレクトリが/navi/tmpで、実効ユーザがnavi(グループolap)の場合の設定例を示します。
# chown -R navi:olap /navi/tmp |
Solarisでは、環境変数TMPDIRの指定がない場合、/var/tmpが使用されますが、/var/tmpはシステムや他のプログラムでも使用されるため、Navigator Server専用のディレクトリを用意し環境変数TMPDIRに指定してください。
LinuxではTMPDIR環境変数は省略できません。
環境設定ファイルに環境変数RN_WORKDIRが指定されている場合も、TMPDIRと同様にディレクトリの権限を変更します。
9.辞書の退避情報の移動(辞書が複数ある場合、辞書の数だけ実施します。)
3.で退避した辞書の退避情報を移動します。辞書が複数ある場合には、辞書の数だけ退避情報ファイルを移動します。移動先は、辞書ディレクトリ配下の辞書の管理者と同名のディレクトリです。
以下に、移行前の辞書の退避情報ファイルのディレクトリが/home/naviadm/RN.bac、辞書の管理者のユーザ名がnaviadm、辞書ディレクトリが/home/navidicの場合の例を示します。
# mkdir /home/navidic/naviadm |
10.システムの再起動
動作環境の変更を有効にするために、必ずシステムを再起動してください。
11.辞書の復元(辞書が複数ある場合、辞書の数だけ実施します。)
辞書の復元を行います。辞書の復元は、Navigator辞書管理ツールを使用して行います。辞書が複数ある場合には、辞書の数だけ復元を実行します。
12.動作確認
移行前と同様に問い合わせができることを確認してください。
資源の保護の設定
ディレクトリ、およびファイルを保護する方法を以下に示します。
資源に対するアクセス権限の設定はOSのコマンドを使用して、実効ユーザに対してだけアクセス権限を与えます。アクセス権限の設定は、スーパユーザで行ってください。
【例】
chown -R <ユーザ名>:<グループ名> <保護資源名> |
<ユーザ名>には実効ユーザ名を指定し、<グループ名>には、実効ユーザのグループ名を指定します。<保護資源名>には、保護資源の対象となるファイルやディレクトリを指定します。
以下に辞書の退避情報ファイルの作成先ディレクトリに対して権限を与える場合の指定例を示します。
辞書の退避情報ファイルの作成先ディレクトリが/navi/backupで実効ユーザがnavi(グループolap)の場合、以下のコマンドを実行してディレクトリの所有者と権限を設定します。ただし、環境変数RN_BACKUP_DIRECTORYを指定していない場合、辞書の退避情報ファイルの作成先は、辞書ディレクトリ配下となりますので、権限の設定変更は必要ありません。
# chown -R navi:olap /navi/backup |
注意
他のプログラムやシステムも使用するディレクトリ(/tmpや/var/tmpなど)やファイルでは、所有者や権限の設定変更はしないでください。
変更した場合、システムや他のプログラムが動作しなくなる可能性があります。
作業ファイル用ディレクトリに/tmpや/var/tmpなど、Navigator Server以外のプログラムが使用するディレクトリは指定せず、Navigator Server専用のディレクトリを用意した上で、適切なアクセス権限を設定するようにしてください。
Navigator Serverの作業ファイルは、環境変数TMPDIR、およびRN_WORKDIRに設定されたディレクトリ配下に作成されます。作業ファイル用ディレクトリのアクセス権限を変更した場合、Navigator Server以外のプログラムがそのディレクトリを利用していると、Navigator Server以外のプログラムが動作しなくなる可能性があります。
セキュリティを重視したシステムを構築すると、環境チェックコマンドで以下の警告が表示されるようになりますが、動作に問題はありません。
KVR12020I File "%1" related to variable %2 is not given all authority to all users. |
アイドル監視は、ユーザ管理機能を有効(ON)にしてから、アイドル監視の環境変数(RN_USER_IDLE_TIME、RN_USER_IDLE_MSG_TIME)を指定します。
アイドル監視の設定方法については、“14.3 ユーザ管理機能の環境設定”を参照してください。
