共通の設定

注意

- ETERNUS SFロールグループに対し、Windowsのセキュリティポリシーでローカルログオンを許可する設定にしてくださ

い。

- ETERNUS SFロールグループをドメインコントローラー(Active Directory)に作成する場合、グループのスコープとグルー

プの種類を指定する必要があります。必ず以下の値を指定してください。

グループのスコープ : ドメインローカル グループの種類 : セキュリティ

Solaris環境 または Linux環境の場合

groupaddコマンドなどを使って、以下の2つのグループを作成します。

- esfadmin - esfmon

2. Webコンソールを操作するためのユーザーアカウントを作成します。

Windows環境の場合

Windowsドメイン認証を利用する場合は、ドメインコントローラー(Active Directory)にユーザーアカウントを作成します。

Windowsドメイン認証を利用しない場合は、運用管理サーバにユーザーアカウントを作成します。

Solaris環境 または Linux環境の場合

useraddコマンドなどを使って、運用管理サーバにユーザーアカウントを作成します。

3. 作成したユーザーアカウントをETERNUS SFロールグループに所属させます。

Windows環境の場合

[コンピュータの管理]などを使って設定をします。

Solaris環境の場合

usermodコマンドなどを使って、対象ユーザーアカウントに対し以下のどちらかの設定をします。

- ^{一次グループを}ETERNUS SFロールグループにする - 二次グループにETERNUS SFロールグループを追加する Linux環境の場合

usermodコマンドなどを使って、対象ユーザーアカウントに対し以下のどちらかの設定をします。

- 主グループをETERNUS SFロールグループにする - ^{補助グループに}ETERNUS SFロールグループを追加する ユーザーアカウントにETERNUS SFロールが付与されます。

ポイント

ETERNUS SFロールグループはコマンドラインで作成することもできます。作成用バッチファイルの例を以下に示します。

Windowsドメイン認証を利用する場合はドメインコントローラーで、利用しない場合は運用管理サーバで実行してください。

@echo off

REM # ---REM # ESFAdminグループ作成 REM # ---net localgroup ESFAdmin > NUL 2>&1 if errorlevel 1 (

echo ESFAdmin group add.

net localgroup ESFAdmin /add /comment:"ETERNUS SF Administrator"

)

REM # ---REM # ESFMonグループ作成 REM # ---net localgroup ESFMon > NUL 2>&1 if errorlevel 1 (

echo ESFMon group add.

net localgroup ESFMon /add /comment:"ETERNUS SF Monitor"

)

4.1.1.2 コマンド実行ユーザーの作成

Express、Storage Cruiser、AdvancedCopy Manager、およびAdvancedCopy Manager CCMのコマンドは、OSの管理者権限を持つユー ザーだけが実行できます。

ここでは、コマンドを実行するユーザーの作成について説明します。

ポイント

ここで作成したユーザーをETERNUS SFロールグループに所属させることで、Webコンソール操作とコマンド実行が、同じユーザーで できるようになります。

Windows環境の場合

Windows Server 2008以降では、セキュリティ向上のためにユーザーアカウント制御(以降、UAC)の機能が追加されました。

以下に、UAC が有効な場合と無効な場合について説明します。

・ UACが有効な場合

ビルトインAdministratorアカウント以外のすべてのユーザー(Administratorsグループに属するアカウントを含む)は、管理者権限を 必要とする処理やプログラムの実行時に「権限昇格/承認ダイアログ」が表示されるため、権限昇格の確認および承認を行う必要 があります。

・ UACが無効な場合

管理者権限を必要とする処理やプログラムの実行は、ビルトインAdministratorアカウントまたはAdministratorsグループに所属する ユーザーアカウントで実行する必要があります。

動作条件を以下に示します。

表4.3 アカウントとUAC の関係

アカウントの種類 UAC: 有効 UAC: 無効

ビルトインAdministratorアカウント ◎ ◎

Administratorsグループに所属するユーザーアカウント ○ ◎

標準ユーザーアカウント ○ ×

◎: 権限昇格ダイアログを表示せずに動作します。

○: 権限昇格ダイアログを表示し、承認がされたら動作します。

×: 管理者権限を取得できないため、動作しません。

上記の表中「○」となる条件下で、権限昇格ダイアログによる対話処理を行いたくない場合(バッチ処理など)は、以下のどれかの方法 により管理者権限でプログラムを実行する必要があります。

・ コマンドプロンプトでrunasコマンドを用い、管理者権限をもったユーザーでプログラムを実行します。ただし、後からパスワードを入 力する必要があります。

[バッチファイル(test.bat)を実行する場合の例]

runas /noprofile /user:mymachine\acmuser "cmd.exe /k test.bat"

・ タスクスケジューラで「最上位の特権で実行する」を指定して、プログラムを起動します。

・ コマンドプロンプトを開いて実行します。

－ Windows Server 2008またはWindows Server 2008 R2の場合

[スタート]-[すべてのプログラム]-[アクセサリ]-[コマンドプロンプト]メニューを右クリックして、「管理者として実行」を指定してコマ ンドプロンプトを起動し、開いたコマンドプロンプトでプログラムを実行します。

－ Windows Server 2012以降の場合

「管理者として実行」を指定してコマンドプロンプトを起動し、開いたコマンドプロンプトでプログラムを実行します。

4.1.1.3 Solaris/Linuxのユーザーアカウント

Express(Linux版だけ)、Storage Cruiser、AdvancedCopy Manager、およびAdvancedCopy Manager CCMのコマンドは、rootユーザー だけが実行可能です。rootユーザーで操作してください。

4.1.2 Webコンソールを利用するための設定

Webコンソールを起動するPCと運用管理サーバの間にファイアーウォールを設置する場合は、ファイアーウォールを通過できるように、

以下のポート番号を設定してください。

ポート番号/プロトコル 通信開始方向 機能

9855/tcp Webコンソール→運用管理サーバ Webコンソール画面の表示および操作

また、Webコンソールで利用するWebブラウザで、JavaScriptおよびクッキーを有効にしてください。

参照

使用できるWebブラウザとそのバージョン、JavaScriptおよびクッキーを有効にする手順は、『ETERNUS SF Webコンソール説明書』の

「動作環境と環境設定」を参照してください。

4.1.3 Webコンソールからの接続確認

以降の操作はWebコンソールから行います。そのため、Webコンソールに接続して初期画面が表示されることを確認します。

参照

Webコンソールの起動方法およびログイン方法は、『ETERNUS SF Webコンソール説明書』の「Webコンソールの起動と終了」を参照し てください。

4.1.4 リポジトリ用データベースアクセスユーザー情報の変更

リポジトリ用データベースアクセスユーザー情報(ユーザー名やパスワード)をデフォルト値のまま使用すると、セキュリティ面で問題とな ることがあります。

そのため、インストール時に使用したリポジトリ用データベースアクセスユーザー情報を変更してください。

リポジトリ用データベースアクセスユーザー情報を変更するには、OSのユーザー情報を変更してから、stgusersetコマンドを使用して、"リ ポジトリアクセスユーザー"の情報を再設定します。

参照

変更手順は、運用管理サーバのOSに対応する、本バージョンレベルの『ETERNUS SF AdvancedCopy Manager 運用ガイド』の「運用 環境の変更」にある「リポジトリアクセスユーザーに指定したユーザーの削除／パスワードの変更」を参照してください。