|
|
WebOTX Manual V10.3 (第4版) 目次を表示 |
|
|
|
WebOTX Manual V10.3 (第4版) 目次を表示 |
WebOTXでは、運用管理ユーザと、配備したアプリケーションのユーザ認証などに使用するその他のユーザがあります。 運用管理ユーザは、Fileレルムのadmin-realmを認証レルムに指定しているユーザを指します。運用管理ユーザの認証レルムをadmin-realmから変更することはできません。
本節では、運用管理ユーザ、またはアプリケーション向けのユーザの認証レルムにFileレルムを利用する場合の、ユーザの追加、削除の方法について説明します。
ユーザを作成する際は、以下の設定を行います。作成方法の詳細は [運用管理コマンドを利用する場合]、または [統合運用管理ツールを利用する場合] を参照してください。
| 設定名 | 既定値 | 概要 |
| ユーザ名 | - | 作成されるユーザ名を指定します。 |
| パスワード | - | 作成されるユーザのパスワードを指定します。 |
| グループ名 | - | ユーザが所属するグループを指定します。 |
| レルム名 | admin-realm | ユーザが認証レルムとして使用するレルム名を指定します。 |
| 運用管理ユーザの有効化 | true | 運用管理ユーザをドメインにログイン可能な状態にするか否かを指定します。 |
| 運用管理ユーザのパスワード有効期限管理機能の有効化 | false | 運用管理ユーザのパスワード有効期限管理機能を有効化するか否かを指定します。 |
| 運用管理ユーザのパスワードの有効期間 | 365 | 運用管理ユーザのパスワードの有効期間(単位:日)を指定します。 |
運用管理ユーザの有効化、運用管理ユーザのパスワード有効期限管理機能の有効化、運用管理ユーザのパスワード有効期間は、 レルム名にadmin-realmを指定した場合にのみ、設定として反映されます。
domain1を例に操作方法を説明します。
1.ドメイン起動これからの操作は、ドメインが起動した状態で行います。ドメインが起動していない場合は起動してください。
${AS_INSTALL}/bin/otxadmin start-domain --user admin --password xxxxxx --port 6202 --remote true domain1
2. ユーザの追加
ユーザを追加する場合、create-file-userコマンドを利用します。create-file-userコマンドの詳しい使い方は、[create-file-user] を参照してください。
アプリケーション向けユーザ作成するユーザは、ユーザID testuser、パスワード admpass、グループ testgrp、追加するFileRealm名はtestRealmとします。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > create-file-user --userpassword admpass --groups testgrp --authrealmname testRealm testuser
現在のアプリケーションで使用しているレルムを確認するには以下のコマンドを実行してください。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > get server.security-service.default-realm
運用管理ユーザ
作成するユーザは、ユーザID deployer、パスワード admpass、グループ deployers、追加するFileレルム名はadmin-realm、 運用管理ユーザの有効化 true、運用管理ユーザのパスワード有効期限管理機能の有効化 true、運用管理ユーザのパスワード有効期間 150日とします。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > create-file-user --userpassword admpass --groups testgrp --authrealmname admin-realm --enable true --enablepasswordage true --passwordage 150 deployer
WebOTX運用ユーザを作成する場合はauthrealmnameオプションで指定する値をadmin-realmとしてください。
domain1を例に操作方法を説明します。
1.ドメイン起動これからの操作は、ドメインが起動した状態で行います。ドメインが起動していない場合は起動してください。
${AS_INSTALL}/bin/otxadmin start-domain --user admin --password xxxxxx --port 6202 --remote true domain1
2. 統合運用管理ツールの接続
統合運用管理ツールを起動し、ドメインに接続してください。
3. ユーザの追加統合運用管理ツールの[ドメイン名]-[アプリケーションサーバ]を右クリックし[新しいユーザの作成]を選択します。
[アプリケーションサーバの操作]画面に、作成するユーザのユーザ名、グループ名、パスワード、レルム名を入力してください。ユーザアプリケーションで使用している
レルム名は[ドメイン名]-[アプリケーションサーバ]-[セキュリティーサービス]-[デフォルトレルム]で確認できます。運用管理ユーザで使用するレルム名はadmin-realmです。
レルム名にadmin-realmを入力した場合、運用管理ユーザの有効化、運用管理ユーザのパスワード有効期限管理機能の有効化、運用管理ユーザのパスワードの有効期間を入力してください。admin-realm以外のレルム名を指定した場合は、これらの設定は反映されません。
ユーザの追加で作成したユーザtestuserの設定を更新する手順を説明します。
運用管理コマンド(otxadminコマンド)を利用して、ユーザの設定変更を行う方法について説明します。
運用管理ユーザの設定変更は、update-file-userコマンドで行います。 update-file-userコマンドの詳しい使い方は、[update-file-user]を参照してください。 また、パスワードのみを変更する場合は、change-admin-passwordコマンドを使用します。change-admin-passwordコマンドの詳しい使い方は、[change-admin-password]を参照してください。 以下の例では変更するユーザはadmin1、レルム名はadmin-realmとします。 ユーザ名、レルム名は実際の環境に合わせて変更してください。
グループを変更する場合は以下のコマンドを実行します。 --groupsオプションで、新しいグループ名を指定してください。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > update-file-user --groups <新グループ名> --authrealmname admin-realm admin1
パスワードを変更する場合は以下のコマンドを実行します。 --userpasswordオプションで、新しいパスワードを指定してください。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > update-file-user --userpassword <新パスワード> --authrealmname admin-realm admin1
パスワードはchange-admin-passwordコマンドで変更することもできます。ただし、update-file-userコマンドとは異なり、パスワードを変更するためには旧パスワードを入力する必要があります。
${AS_INSTALL}/bin/otxadmin
otxadmin > change-admin-password --user <ユーザ名> --domain_name <ドメイン名>
Please enter the old admin password>
Please enter the new admin password>
Please enter the new admin password again>
ユーザを有効化しドメインにログインすることを可能にする、または無効化する場合は以下のコマンドを実行します。 --enableオプションで、有効化する場合はtrue、無効化する場合はfalseを指定してください。 このオプションは--authrealmnameオプションにadmin-realmを指定した場合のみ有効となります。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > update-file-user --enable <true/false> --authrealmname admin-realm admin1
パスワード有効期限管理機能を有効化、または無効化する場合は以下のコマンドを実行します。 --enablepasswordageオプションで、有効化する場合はtrue、無効化する場合はfalseを指定してください。 このオプションは--authrealmnameオプションにadmin-realmを指定した場合のみ有効となります。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > update-file-user --enablepasswordage <true/false> --authrealmname admin-realm admin1
パスワード有効期間を変更する場合は以下のコマンドを実行します。
--passwordageオプションで、パスワードの有効期間を日数で指定してください。
このオプションは--authrealmnameオプションにadmin-realmを指定した場合のみ有効となります。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > update-file-user --passwordage <1〜17532の数値> --authrealmname admin-realm admin1
ドメインが起動していない場合は、起動してください
${AS_INSTALL}/bin/otxadmin start-domain domain1
2. 統合運用管理ツールの接続
統合運用管理ツールを起動し、ドメインに接続してください。
3. ユーザの更新統合運用管理ツールの[ドメイン名]-[アプリケーションサーバ]を右クリックし[ユーザの更新]を選択します。
[アプリケーションサーバの操作]画面に、更新するユーザのユーザ名、グループ名、パスワード、レルム名を入力してください。ユーザアプリケーションで使用しているレルム名は[ドメイン名]-[アプリケーションサーバ]-[セキュリティーサービス]-[デフォルトレルム]で確認できます。運用管理ユーザで使用するレルム名はadmin-realmです。
レルム名にadmin-realmを入力した場合、運用管理ユーザの有効化、運用管理ユーザのパスワード有効期限管理機能の有効化、運用管理ユーザのパスワードの有効期間を入力してください。admin-realm以外のレルム名を指定した場合は、これらの設定は反映されません。
ユーザの追加で作成したユーザtestuserを削除する手順を説明します。
ドメインが起動していない場合は起動してください。
${AS_INSTALL}/bin/otxadmin start-domain domain1
2. ユーザの削除
ユーザを削除するにはdelete-file-userコマンドを利用します。delete-file-userコマンドの詳しい使い方は、[delete-file-user]を参照してください。以下の例では削除するユーザはtestuser、レルム名はfileとします。ユーザ名、レルム名は実際の環境に合わせて変更してください。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx
otxadmin > delete-file-user --authrealmname file testuser
現在使用されているレルムを確認するには以下のコマンドを実行してください。
・アプリケーションで使用しているレルムを確認する場合
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > get server.security-service.default-realm
・運用管理ユーザで使用しているレルムを確認する場合
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > get --visibility=3 server.admin-service.jmx-connector.system.auth-realm-name
ドメインが起動していない場合は、起動してください
${AS_INSTALL}/bin/otxadmin start-domain domain1
2. 統合運用管理ツールの接続
統合運用管理ツールを起動し、ドメインに接続してください。
3. ユーザの削除統合運用管理ツールの[ドメイン名]-[アプリケーションサーバ]を右クリックし[ユーザの削除]を選択します。
[アプリケーションサーバの操作]画面が表示されますので、削除するユーザ名とレルム名を入力してください。ユーザアプリケーションで使用しているレルム名は[ドメイン名]-[アプリケーションサーバ]-[セキュリティーサービス]-[デフォルトレルム]で確認できます。運用管理ユーザで使用しているレルム名は[ドメイン名]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[システム]の[認証レルム名]を確認してください。
本章では、Fileレルムを認証レルムに使用しているユーザに対してグループを設定する方法を解説します。
グループは共通の特性で分類されたユーザのカテゴリです。ユーザをグループに分類すると、ユーザからの大量のアクセスを制御することが容易になります。
WebOTXでは、ドメイン作成直後にはadmin,system,guestユーザが作成されます。これらのユーザのうち、adminとsystemはotxadminグループに所属し、 guestはanonymousグループに所属しています。
WebOTXの運用管理ユーザは、運用管理コマンド、統合運用管理ツール、運用管理コンソールからドメインにログインするために、loginグループに所属する必要があります。 しかし、ユーザを作成する際、または更新する際に、使用する認証レルムにFileレルムのadmin-realmを指定すると、そのユーザは自動的にloginグループに所属します。そのため、ユーザを作成・更新する際に意識する必要はありません。
また、既存の運用管理ユーザであるadminとsystemが所属するotxadminグループには、すべての運用管理操作の権限を持つロールが設定されています。
ロール機能の詳細は[ロール]を参照してください。
グループは、ユーザを作成する際に指定されたグループ名が新規の場合に、自動的に追加されます。 新規グループを追加したい場合は、新しいグループに所属させたいユーザを作成する際に、新グループ名を指定してください。
グループへのユーザ追加は、ユーザの作成、または、ユーザの更新を参照してください。
グループは、所属しているユーザがいなくなった場合に、自動的に削除されます。 グループを削除する場合は、所属しているユーザを削除、もしくは他のグループに所属させてください。