|
|
WebOTX Manual V10.3 (第4版) 目次を表示 |
|
|
|
WebOTX Manual V10.3 (第4版) 目次を表示 |
ロールとは、ユーザ/グループが持つ役割の事です。ユーザ/グループに対してロールを付与することにより、そのユーザ/グループが実行できる処理を限定したり、アクセスできるデータを制御したりできます。
ユーザは共通の特性によってグループ単位に分けることができます。複数のユーザをグループとしてまとめることで、ユーザの管理がしやすくなります。 また、ロールはユーザ個人、またはグループに付与することができます。 グループにロールを付与することは、そのグループに所属しているユーザ全員に同じロールを付与することと同じことになります。
例えば勤務管理システムでは、利用者(ユーザ、図ではA,B,C)は全員、Employee(従業員)というグループに所属していなければなりません。Employeeグループには毎日の勤務時間の登録、変更を行うことができるロールであるcommonというロールが付与されています。commonに加えて、管理職であるCにはManagerというロールが付与されていて、勤務時間の登録、変更に加えて、承認作業を行うことができます。
運用管理ユーザは、ロール機能を利用することで、グループ毎に運用管理操作の実行制限、ユーザ情報へのアクセスを制限することができます。
例えば、ユーザ管理をするユーザは、userManager(ユーザ管理者)というグループに所属させます。 そのuserManagerグループに対して、ユーザ管理に必要な運用管理操作を登録したロールを付与することで、そのユーザはユーザ管理操作を実施することが可能になります。
なお、運用管理ユーザのロールは設定値の閲覧や運用管理コマンド(ローカルコマンド)の実行は制限しません。 そのため、ロールを付与されていないグループのユーザは、統合運用管理ツールや、getコマンド、listコマンドを利用しての設定値の閲覧、ローカルコマンドの実行は可能です。
WebOTXでは、業務内容に合わせて利用できるよう、あらかじめ以下のロールを用意しています。
各ロールの詳細は以下の通りです。なお、「実行できる運用管理操作」、「実行できる運用管理コマンド」の行に括弧で記載されている単語は、 実際に設定されている値です。これらの値については、[ロールの設定追加] に記載します。
| ロール名 | administrator |
| 概要 | すべての運用管理操作を実行できるロール |
| ロールが存在するドメイン | 管理ドメイン、ユーザドメイン |
| グループ名 | otxadmin |
| 実行できる運用管理操作 | すべての運用管理操作(all) |
| 実行できる運用管理コマンド | すべての運用管理コマンド |
| ロール名 | deployer |
| 概要 | アプリケーションを配備するユーザ向けのロール |
| ロールが存在するドメイン | ユーザドメイン |
| グループ名 | - |
| 実行できる運用管理操作 | 統合運用管理ツールの「アプリケーション」ノード配下で実行できる操作 (applications) |
| 実行できる運用管理コマンド | deploy undeploy deploydir replace list-components list-sub-components show-component-status enable disable change-admin-password set invoke |
| ロール名 | userManager |
| 概要 | ユーザ管理に関連する操作権限を持つロール |
| ロールが存在するドメイン | 管理ドメイン、ユーザドメイン |
| グループ名 | - |
| 実行できる運用管理操作 | ファイルユーザの追加・削除・一覧確認・設定変更 運用管理ユーザのロール設定 ロックアウト機能の設定 ユーザのロックアウト解除 |
| 実行できる運用管理コマンド | create-file-user delete-file-user update-file-user list-file-users list-file-groups change-admin-password create-custom-role delete-custom-role list-roles add-custom-role-config delete-custom-role-config list-admin-users unlock-user set invoke |
| ロール名 | domainManager |
| 概要 | ドメインの追加・削除・設定変更権限を持つロール |
| ロールが存在するドメイン | 管理ドメイン |
| グループ名 | - |
| 実行できる運用管理操作 | ユーザドメインの作成・削除 ユーザドメインの起動順序の変更・確認 ユーザドメインの起動・停止・状態確認 |
| 実行できる運用管理コマンド | start-domain(※) stop-domain(※) create-domain delete-domain set-start-order list-start-orders list-domains(※) change-admin-password set invoke |
| ロール名 | domainOperator |
| 概要 | ドメインの運用に関連する操作権限を持つロール |
| ロールが存在するドメイン | 管理ドメイン |
| グループ名 | - |
| 実行できる運用管理操作 | ユーザドメインの起動・停止・状態確認 |
| 実行できる運用管理コマンド | start-domain(※) stop-domain(※) list-domains(※) change-admin-password set invoke |
※これらのコマンドは、管理ドメインにログインし--remoteオプションを利用して実行した場合に限り、ロールによる操作実行制限の対象になります。
上記の既存ロールの「グループ名」、「実行できる運用管理操作」や「実行できる運用管理コマンド」は、必要に応じて追加・削除することができます。 これらの設定方法は[ロールの設定追加] 、または[ロールの設定削除]を参照してください。
また、既存ロールとは別に全く新しいロールを作成することもできます。新規ロールの作成方法については[カスタムロールの追加] を参照してください。
ロール関連の設定権限をもつロールは、administratorロールとuserManagerロールの2つです。既定では、adminユーザがotxadminグループに所属し、 admnistratorロールを付与されています。
ロール機能を有効化するためには、以下のコマンドを実行します。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > set server.admin-service.role-manager.enabled=true
ロール機能の設定が既定値の状態からロール機能を有効化すると、otxadminグループに所属する運用管理ユーザ(既定ではadminユーザのみ)にのみ、 すべての運用管理操作の実行権限が与えられた状態となります。
ロール機能を無効化するためには、以下のコマンドを実行します。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > set server.admin-service.role-manager.enabled=false
カスタムロールを追加するためには、以下のコマンドを実行します。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > create-custom-role <ロール名>
上記のコマンドでロールを作成後、[ロールの設定追加] を参照して、作成したカスタムロールの設定を行ってください。
カスタムロールを削除するためには、以下のコマンドを実行します。なお、既存のロールは削除することができません。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > delete-custom-role <ロール名>
ロールに設定を追加するためには、以下のコマンドを実行します。同じ設定項目であれば、オペランドに複数の設定を指定することで一括で設定を追加することができます。 半角スペース区切りで複数の設定を指定してください。 このコマンドは、既存のロール、カスタムロール両方に対して設定変更を行うことができます。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > add-custom-role-config --role <ロール名> --kind <追加する設定項目> <追加する設定>
--kindオプションに指定できる値は、group、type、commandです。--kindオプションの<追加する設定項目>と<追加する設定>に指定する値の対応は以下の通りです。
| --kindオプション <追加する設定項目> |
変更できる設定名 | <追加する設定>に指定できる値 |
| group | グループ名 | 運用管理ユーザが所属する任意のグループ名 |
| type | 実行できる運用管理操作 |
all applications domain domainOperator resources server tpsystem users |
| command | 実行できる運用管理コマンド | 運用管理コマンド(ワイルドカード使用可) |
--kindオプションにgroupを指定した場合、<追加する設定>には運用管理ユーザが所属するグループ名を指定します。運用管理ユーザが所属するグループは、list-admin-usersコマンドで確認できます。コマンドの使用方法は、[list-admin-users]を参照してください。
--kindオプションのtypeは、運用管理操作のタイプを表します。このタイプにより、運用管理操作権限、設定の変更権限を付与します。 <追加する設定>に指定する値と操作権限の対応は以下のようになります。
| --kindオプション(type)指定時の<追加する設定>の値 | 概要 | 実行可能な運用管理操作 | 変更可能な設定 |
| all | すべての操作を実施することができるタイプ。 | すべての運用管理操作 | すべての運用管理向けの設定 |
| applications | アプリケーションの設定を行うためのタイプ。アプリケーションの配備・配備解除・設定変更を実施することができる。 | DottedNameがserver.applications、またはapplicationsから始まる操作(統合運用管理ツールの「アプリケーション」のノード、またはその配下のノードを右クリックして表示される操作) | DottedNameがserver.applications、またはapplicationsから始まる操作(統合運用管理ツールの「アプリケーション」のノード、またはその配下のノードをクリックして閲覧できる属性) |
| domain | ドメインの設定を行うためのタイプ。ドメインの作成・削除・設定変更を実施することができる。 | DottedNameがdomain.から始まる操作(統合運用管理ツールのドメイン名のノードを右クリックして表示される操作) | DottedNameがdomain.から始まる属性(統合運用管理ツールのドメイン名のノードをクリックして閲覧できる属性) |
| domainOperator | ドメインを運用するためのタイプ。ドメインの起動・停止・状態確認を実施することができる。 |
domain.startDomain (管理対象ドメインの起動) domain.stopDomain (管理対象ドメインの停止) domain.status (管理対象ドメインの状態を取得) domain.listDomains (全ドメインのリストを取得) domain.listDomainStatus (管理対象ドメインの状態一覧を取得) |
DottedNameがdomain.から始まる属性(統合運用管理ツールのドメイン名のノードをクリックして閲覧できる属性) |
| resources | リソースの設定を行うためのタイプ。リソースの追加・削除・設定変更を実施することができる。 | DottedNameがserver.resources、またはresourcesから始まる操作(統合運用管理ツールの「リソース」のノード、またはその配下のノードを右クリックして表示される操作) | DottedNameがserver.resources、またはresourcesから始まる属性(統合運用管理ツールの「リソース」のノード、またはその配下のノードをクリックして閲覧できる属性) |
| server | アプリケーションサーバの設定を行うためのタイプ。tpsystem、domain、domainOperatorに指定されていないアプリケーションサーバの設定変更を実施することができる。 | DottedNameがserver.から始まる操作(統合運用管理ツールの「アプリケーションサーバ」のノード、またはその配下のノードを右クリックして表示される操作) | DottedNameがserver.から始まる属性(統合運用管理ツールの「アプリケーションサーバ」のノード、またはその配下のノードをクリックして閲覧できる属性) |
| tpsystem | TPシステムの設定を行うためのタイプ。TPシステムの起動・停止・設定変更を実施することができる。 | DottedNameがtpsystemから始まる操作(統合運用管理ツールの「TPシステム」のノード、またはその配下のノードを右クリックして表示される操作) | DottedNameがtpsystemから始まる属性(統合運用管理ツールの「TPシステム」のノード、またはその配下のノードをクリックして閲覧できる属性) |
| users | ユーザを管理するためのタイプ。ユーザの追加・削除・設定変更を実施することができる。 | DottedNameがserver.configsから始まる操作(統合運用管理ツールの「アプリケーションサーバ」のノードを右クリックして表示される操作) DottedNameがserver.admin-service.role-managerから始まる操作(統合運用管理ツールの「ロール管理」のノードを右クリックして表示される操作) DottedNameがserver.admin-service.lockoutから始まる操作(統合運用管理ツールの「ロックアウト」のノードを右クリックして表示される操作) |
DottedNameがserver.configsから始まる属性(統合運用管理ツールの「アプリケーションサーバ」のノードをクリックして閲覧できる操作) DottedNameがserver.admin-service.role-managerから始まる属性(統合運用管理ツールの「ロール管理」のノードをクリックして閲覧できる操作) DottedNameがserver.admin-service.lockoutから始まる属性(統合運用管理ツールの「ロックアウト」のノードをクリックして閲覧できる操作) |
上記の操作権限のうち、いくつかは以下の表のようにすでに既存のロールに設定されています。
| --kindオプション(type)指定時の<追加する設定>の値 | 設定されている既存のロール |
| all | administrator |
| applications | deployer |
| domain | domainManager |
| domainOperator | domainOperator |
| resources | - |
| server | - |
| tpsystem | - |
| users | userManager |
--kindオプションの値にcommandを指定した際、オペランドに指定する運用管理コマンドにはワイルドカード(*)を含めることができます。
例えば、"*-file-user*"と指定することで、create-file-user、delete-file-user、list-file-usersの3つの運用管理コマンドを指定したことになります。
ロールに設定を削除するためには、以下のコマンドを実行します。同じ設定項目であれば、オペランドに複数の設定を指定することで一括で設定を削除することができます。 半角スペース区切りで複数の設定を指定してください。このコマンドは、既存のロール、カスタムロール両方に対して設定変更を行うことができます。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > delete-custom-role-config --role <ロール名> --kind <追加する設定項目> <追加する設定>
ロールの一覧を表示するには以下のコマンドを実行します。既存のロールを含めて、現在存在するロール名の一覧を表示します。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > list-roles
ロール機能の設定はドメインが起動した状態で行います。ドメインが起動したら、統合運用管理ツールを起動し、ドメインに接続してください。
1. [ドメイン名]-[アプリケーションサーバ]-[管理サービス]-[ロール管理]をクリックします。
2. [ロール機能の有効化]のチェックボックスにチェックを入れ、[更新]ボタンを押します。
1. [ドメイン名]-[アプリケーションサーバ]-[管理サービス]-[ロール管理]を右クリックし、[カスタムロールの作成]をクリックします。
2. [ロール名]に作成するロールの名前を入力し、[実行]ボタンを押します。
1. [ドメイン名]-[アプリケーションサーバ]-[管理サービス]-[ロール管理]を右クリックし、[カスタムロールの削除]をクリックします。
2. [ロール名]に削除するロールの名前を入力し、[実行]ボタンを押します。既存のロールは削除することができません。
1. [ドメイン名]-[アプリケーションサーバ]-[管理サービス]-[ロール管理]-[role]-${設定を変更するロール名}をクリックします。
2. それぞれの項目から設定を変更し、[更新]ボタンを押します。
1. [ドメイン名]-[アプリケーションサーバ]-[管理サービス]-[ロール管理]を右クリックし、[ロール一覧の表示]をクリックします。
2. [実行]ボタンを押します。
3. 結果にロール名の一覧が表示されます。
アプリケーションのユーザについては、WebアプリケーションやEJBでは配備記述子を設定する事で、ユーザ/グループとロールのマッピングを行う事ができます。