利用者制限

ここでは、Interstage資源が外部からの侵入者によって破壊されることを防ぐための利用者制限方法について説明します。

ISIの運用操作ユーザは以下の2つのユーザに分けられます。

ISIサーバのセットアップ後の操作にシステム管理者の権限が不要となるため、誤ってシステムの資産を削除することを防ぐことができ ます。また意図しないユーザによって、ISIの実行環境を破壊されることを防ぐことができます。

ユーザ 権限 システム管理者 システム全体を管理する。

ISIの実行環境の構築、環境設定、サービスの起動・停止を行うことができる権限。

Interstage運用者 ISIを運用操作する。

ISIの運用操作ができる権限。

システム管理者は、Solarisシステム、Linuxシステムのrootユーザとなります。

Interstage運用者は、インストール時に設定したInterstage運用グループに所属するユーザです。ユーザの追加方法はSolarisシステム、

Linuxシステムそれぞれのユーザのグループへの追加方法を参照してください。

Interstage運用グループにユーザを所属させる場合、ユーザのプライマリグループにInterstage運用グループを設定してください。

1.5.1 Interstage運用グループの設定

Interstage運用グループの設定は、ISIのインストール時に行います。

Interstage運用グループの設定手順については、“ISI 導入ガイド”を参照してください。

なお、以下のようにアプリケーション開発／運用の各フェーズに合わせて、最適なユーザ権限を与える必要があります。

・ アプリケーション開発用の環境(開発環境およびテスト環境)

アプリケーション開発者をInterstage運用グループに追加します。アプリケーション開発者が開発時に使用するコマンドが実行でき るようになります。利用できるコマンドについては、“ISI リファレンス”の“コマンドリファレンス”を参照してください。

・ 運用時の環境(本番環境)

運用時の環境では、ISIの運用を行うユーザのみをInterstage運用グループに追加します。

インストール後、上記環境変更によりInterstage運用グループを変更する場合、“1.5.2 Interstage運用グループの変更”を参照して変更 してください。

1.5.2 Interstage運用グループの変更

Interstage運用グループの変更を行う場合、以下の手順で行ってください。

1.5.2.1 ISI の停止

Interstage運用グループの変更作業を行う前に、ISIを停止してください。

停止手順については、“1.1 ISIサーバの運用管理”の“1.1.2 停止”を参照してください。

Interstage運用グループの変更作業を行う場合には、ログ出力サービスを停止する必要があります。

実行例を以下に示します。

/opt/FJSVapclg/bin/apfwstoplog -f /opt/FJSVibs/conf/logserviceConf.xml

また、ログ出力サービス停止後、ログ出力サービス監視プロセスを停止する必要があります。

実行例を以下に示します。

/opt/FJSVapclg/bin/apfwstopwatchlog

上記コマンドの詳細については、“ISI リファレンス”を参照してください。

1.5.2.2 バックアップの実行

本手順は、必要に応じて実施してください。

“ISI 導入ガイド”の“移行時の作業”にある“準備”および、“ISI 運用ガイド”の“定義のバックアップ・リストア”を参照して資源のバック アップを行ってください。

1.5.2.3 Interstage 運用グループ変更コマンドの実行

Interstage運用グループ変更コマンドを実行し、Interstage運用グループの変更を行います。

Interstage運用グループの変更を行う場合の実行例を以下に示します。

・ Interstage運用グループ変更コマンドの実行時には各コマンドで同じグループ名を指定してください。issetsecuritymodeコマンドの

実行時には強化セキュリティモードを指定してください。

・ Interstage運用グループ変更コマンドに指定するグループは事前にシステムアカウントに登録しておく必要があります。

・ Interstage運用グループのユーザで運用する場合、ユーザのプライマリグループにInterstage運用グループを設定してください。

・ Interstage運用グループを変更した場合、以下の機能に影響があります。

ユーザが作成したワークユニットの定義情報の変更または、変更後のInterstage運用グループへのユーザの追加を行ってくださ い。

－ ワークユニットの自動起動 ISI Standard Editionの場合

以下の手順でInterstage運用グループの変更を行います。

1. issetsecuritymodeコマンドの実行

issetsecuritymode -g isgroup

2. esisetsecuritymodeコマンドの実行 esisetsecuritymode -g isgroup ISI Enterprise Editionの場合

以下の手順でInterstage運用グループの変更を行います。

1. issetsecuritymodeコマンドの実行 issetsecuritymode -g isgroup

2. apfwsetsecuritymodeコマンドの実行

apfwsetsecuritymode -g isgroup

3. esisetsecuritymodeコマンドの実行 esisetsecuritymode -g isgroup

issetsecuritymodeコマンドについては、“Interstage Application Server リファレンスマニュアル（コマンド編）”を参照してください。

esisetsecuritymodeコマンド、およびapfwsetsecuritymodeコマンドについては、“ISI リファレンス”を参照してください。

1.5.2.4 ISI の起動

Interstage運用グループの変更作業を行った後、停止していたISIを起動してください。

起動手順については、“1.1 ISIサーバの運用管理”の“1.1.1 起動”を参照してください。

Interstage運用グループの変更作業を行った後は停止していたログ出力サービス監視プロセス及び、ログ出力サービスを起動する必

要があります。

実行例を以下に示します。

/opt/FJSVapclg/bin/apfwstartwatchlog

/opt/FJSVapclg/bin/apfwstartlog -f /opt/FJSVibs/conf/logserviceConf.xml 上記コマンドの詳細については、“ISI リファレンス”を参照してください。