CA EEM による Introscope のセキュリティ保護
CA EEM は、一般的なアクセス ポリシーの管理、認証、および許可の各サービスを他のアプリケーションが共有できるようにする、CA Technologies のエンタープライズ全体のポリシー サーバです。複数の Embedded Entitlements のクライアント アプリケーションをサポートする一元化された Embedded Entitlements サーバで構成されます。
apmdevops104jp
CA EEM は、一般的なアクセス ポリシーの管理、認証、および許可の各サービスを他のアプリケーションが共有できるようにする、CA Technologies のエンタープライズ全体のポリシー サーバです。複数の Embedded Entitlements のクライアント アプリケーションをサポートする一元化された Embedded Entitlements サーバで構成されます。
詳細については、以下の CA EEM ガイドを参照してください。これらは、CA サポート サイトからダウンロードする CA EEM アプリケーションに付属しています。
- CA Embedded Entitlements Manager Getting Started Guide
- CA Embedded Entitlements Manager Programming Guide
- CA Embedded Entitlements Manager Release Notes
CA EEM のデプロイ オプション
Introscope のセキュリティは、CA EEM を使用して以下の複数の方法で設定できます。
- 認証と許可の両方に CA EEM をデプロイします。「realms.xml での CA EEM による認証の構成」および「CA EEM による許可の構成」を参照してください。
- CA EEM サーバを LDAP サーバに統合する設定を行った場合は、認証に LDAP、許可に CA EEM を使用できます。
- SiteMinder に統合するように CA EEM サーバを設定した場合には、認証に SiteMinder を使用し、許可に CA EEM を使用できます。
- 認証専用に CA EEM をデプロイして、ローカル セキュリティを許可に使用します。
注:
サポートされている CA EEM バージョンについては、「製品互換性マトリックス」を参照してください。重要:
ローカルによるセキュリティを許可に使用すると、アプリケーション問題切り分けマップのセキュリティを提供したり、CA CEM 内のタブとデータの表示を制御するアクセス ポリシーを設定したりすることができなくなります。CA CEM でアプリケーション問題切り分けマップを提供し、アクセス ポリシーを使用する場合は、許可に CA EEM をデプロイする必要があります。CA EEM によるセキュリティを設定および維持するプロセス
Introscope のセキュリティの背景知識を理解したら、今度は Introscope の CA EEM によるセキュリティのデプロイ計画に進むことができます。手順の概要は以下のとおりです。
以下の手順に従います。
- 各 Enterprise Manager で、CA EEM をセキュリティ領域として定義し、<EM_Home>/config ディレクトリにある realms.xml ファイルで認証と許可のプロパティを設定します。注:CA EEM サーバが LDAP サーバまたは CA SiteMinder Web Access Manager (SiteMinder)サーバのいずれかに統合されている場合は、ユーザ認証に LDAP または SiteMinder が使用されるように CA EEM を構成できます。
- (オプション) CA EEM 認証用の LDAP を構成します。
- (オプション) CA EEM 認証用の SiteMinder を構成します。
- 注:CA Technologies では、APM アプリケーションのデフォルトのユーザ、グループ、リソース、および権限を使用して APM アプリケーションを作成するサンプル スクリプトを用意しています。 以下の手順 7 から手順 10 を実行するときは、これらのスクリプトを使用することをお勧めします。詳細については、「CA EEM による許可の構成」を参照してください。
- CA EEM 内で APM グループとユーザ、およびそれらの権限を作成します。「CA EEM での APM グループの作成と削除」および「CA EEM での APM ユーザの作成と削除」を参照してください。
- CA EEM 内で APM ドメイン、サーバ、APM アプリケーション リソース、およびそれらの権限を作成します。「CA EEM APM ドメイン リソース アクセス ポリシーの作成と削除」、「CA EEM APM サーバ リソース アクセス ポリシーの作成と削除」、および 「CA EEM APM フロントエンドおよびビジネス サービス リソース アクセス ポリシーの作成と削除」を参照してください。
- Enterprise Manager を再起動します。
- CA EEM ベースのセキュリティを強化および維持するには、必要に応じて以下のタスクを実行します。
- CA EEM による認証で CA EEM サーバを LDAP または CA SiteMinder に統合する構成を行う。
- 複数の領域を定義する。たとえば、認証に CA EEM、許可にローカル。
- APM ドメイン リソースおよびそれらの権限を追加、編集、または削除する。
- ローカル許可の場合は、domains.xml 内で更新。
- Enterprise Manager サーバ リソースおよびそれらの権限を追加、編集、または削除する。
CA EEM のインストール
CA EEM は、Enterprise Manager と同じコンピュータにインストールできるスタンドアロン サーバ コンポーネントです。CA EEM の要件については、「
CA Embedded Entitlements Manager Release Notes
」を参照してください。CA EEM のインストールについては、「CA APM インストールおよびアップグレード ガイド」を参照してください。 CA EEM のインストールに関する追加情報については、以下の CA EEM ガイドを参照してください。これらは、CA EEM 製品インストール ファイルに付属しています。
- CA Embedded Entitlements Manager Getting Started Guide
- CA Embedded Entitlements Manager Release Notes
重要:
CA EEM データ ストアおよびサーバ フェールオーバを処理するために CA EEM を構成できます。詳細については、「CA Embedded Entitlements Manager Getting Started Guide」を参照してください。CA EEM サーバには、APM アプリケーション、ユーザ、およびグループのデータを CA EEM にインポートできる Safex ユーティリティが付属しています。
IntroscopeEntrerpriseManager.properties ファイルを更新して、詳細な CA EEM ログ メッセージを提供できます。このログ メッセージは、CA EEM エラーのトラブルシューティングに役立ちます。たとえば、ユーザが CA EEM へのログインに失敗する場合や、そのユーザに対して権限が設定されていない場合などです。
以下の手順に従います。
- <EM_Home>/config ディレクトリに移動します。
- IntroscopeEntrerpriseManager.properties ファイルを開きます。
- 以下のプロパティを、IntroscopeEntrerpriseManager.properties ファイルに追加します。log4j.logger.Manager.EemRealm=DEBUGlog4j.logger.additivity.Manager.EemRealm=false
- IntroscopeEntrerpriseManager.properties ファイルを保存して閉じます。<EM_Home>/logs/IntroscopeEnterpriseManager.log ファイル内のログ メッセージの CA EEM 接続情報を確認できます。ログ メッセージには、Enterprise Manager が CA EEM 内で接続しているアプリケーションと、CA EEM サーバの場所が表示されます。ユーザとグループを取得するために SiteMinder または外部ディレクトリ(LDAP 領域)が使用されるように CA EEM サーバを構成している場合は、それらの情報もログに記録されます。たとえば、以下の通りです。8/05/14 04:15:59 PM PDT [INFO] [Manager.EemRealm] EEM realm attached to application "APM" in EEM server at <EEM_Machine_Name> using SiteMinder
realms.xml での CA EEM 認証の構成
realms.xml ファイルで CA EEM をセキュリティ領域として構成すると、Introscope は認証に CA EEM を使用します。
CA EEM サーバは各組織でそれぞれ独自の方法で構成されるので、
realms.xml
の CA EEM プロパティを構成する前に、CA EEM 構成情報を取得する必要があります。CA EEM をインストールしなかった場合は、この情報について組織の CA EEM 管理者に問い合わせてください。また、認証対象の CA APM ユーザの権限が CA EEM サーバで定義されていることを確認する必要があります。realms.xml を構成するときは、以下のルールに従います。
重要:
これらのルールのいずれかに従わなかった場合、Enterprise Manager は起動しません。- descriptor=の値は大文字と小文字が区別されます。
- たとえば、descriptor=EEM Realmとdescriptor=eem realmとは異なります。
- EEM 領域の場合、descriptor=の値はEEM Realmである必要があります。
- 複数の領域がある場合、領域タグ内のid=の値は領域ごとに一意である必要があります。たとえば、以下の通りです。
- <realm descriptor="EEM Realm" id="EEM Server 1" active="true">
- <realm descriptor="EEM Realm" id="EEM Server 2" active="true">
場合によっては複数の領域を設定することがありますが、たとえば、ユーザに基本的な権限を与えるデフォルト領域と、別の権限を与える第 2 の領域が必要な場合です。また、2 台の LDAP サーバがあり、その両方のセキュリティをテストすることもあります。あるいは、これまでローカルによるセキュリティを使用していて、CA EEM に移行する際にローカルによるセキュリティを維持したい場合もあると思います。
realms.xml が間違って構成されていると、Enterprise Manager はエラー メッセージを表示します。たとえば、以下のようになります。
4/13/14 03:06:32.960 PM PDT [ERROR] [main] [Manager] The EM failed to start. Invalid realm descriptor in the EEM realm descriptor: eem realm
以下の手順に従います。
注:
APM
という名前のアプリケーションに基づいたサンプルの EEM 領域については、<EM_Home>/
examples/authentication ディレクトリにあるサンプルの realms.eem.xml 構成ファイルを参照してください。1.
<EM_Home>/
config ディレクトリの realms.xml ファイルを開きます。2. 以下のプロパティを適宜設定します。
注:
認証と許可の両方に CA EEM サーバを使用するには、enableAuthorization プロパティの値をデフォルトのまま(true)にします。この値を false に設定した場合、CA EEM は認証だけを実行し、許可にはローカル セキュリティ領域を使用します。たとえば、LDAP または SiteMinder で構成された CA EEM を認証に使用すると同時に、権限をローカル領域に維持する場合は、ローカル許可を使用することもできます。host
CA EEM サーバのホスト名。このプロパティはオプションです。
appname
Enterprise Manager が CA EEM 内で接続する APM アプリケーションの名前。このプロパティは必須です。
username
CA EEM サーバに接続するユーザの名前。このプロパティはオプションです。CA EEM のデフォルト値は EiamAdmin です。
パスワード
CA EEM サーバへの接続に使用するパスワード。このプロパティは必須です。CA EEM のデフォルト値は EiamAdmin です。
plainTextPasswords
パスワードがプレーン テキストで保存されているか、暗号化して保存されているかを示します。このプロパティは必須です。読み取った realms.xml ファイルでこの値が True に設定されている場合、Enterprise Manager はプレーン テキスト パスワードを暗号化し、その暗号化されたパスワードで realms.xml を書き直して、realms.xml の plainTextPasswords プロパティを False に設定します。値が False に設定されると、パスワードは暗号化されていると見なされます。
重要:
plainTextPasswords プロパティが realms.xmlファイル内に含まれていない場合、Enterprise Manager は起動せず、エラー メッセージを表示します。EnableAuthorization
CA EEM による許可を有効化します。このプロパティはオプションです。デフォルトでは、この値は
True
に設定されます。つまり、CA EEM は認証と許可に使用されます。この値を False
に設定した場合、CA EEM は認証だけに使用され、ローカル許可が使用されます。disableNestedGroupSearch
このプロパティはオプションです。デフォルトは false です。false に設定した場合、割り当てられたユーザは、すべてのグループ(複数レベルの任意の親グループを含む)のメンバであると見なされます。true に設定した場合、割り当てられたユーザはそのグループのみのメンバであると見なされ、他の親グループのメンバであるとは見なされません。
3. realms.xml ファイルを保存します。
4. Enterprise Manager を再起動して realms.xml への変更を適用します。
CA EEM による認証が有効になった realms.xml 構文の例
以下は、realms.xml で CA EEM 対応のセキュリティ領域を構成するための構文の例です。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><realms xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" version="0.1" xsi:noNamespaceSchemaLocation="realms0.1.xsd"><realm descriptor="EEM Realm" id="EEM" active="true"><!-- Set the hostname of the EEM server --><!-- This property is optional --><!-- Default is localhost --><property name="host"><value>localhost</value></property><!-- Set the name of the EEM application to attach to --><!-- This property is required --><!--<property name="appname"><value>MyIntroscopeApp</value></property>--><!-- Set the user name to connect to the EEM server --><!-- This property is optional --><!-- Default is EiamAdmin --><property name="username"><value>EiamAdmin</value></property><!-- Set the password to connect to the EEM server --><!-- This property is required --><property name="password"><value>EiamAdmin</value></property><!-- Set to true if the password is plain text --><!-- If plainTextPasswords is set to true, the Enterprise Manager overwrites this file, --><!-- encrypting the password and setting plainTextPasswords to false --><!-- This property is required --><property name="plainTextPasswords"><value>true</value></property><!-- Enable authorization in the EEM server --><!-- If set to false, the EEM server is used for authentication only --><!-- This property is optional --><!-- Default is true --><property name="enableAuthorization"><value>true</value></property></realm></realms>
LDAP を使用した CA EEM 認証の構成
お使いの CA EEM サーバが、CA EEM がサポートする LDAP サーバに統合されている場合は、認証に LDAP サーバが使用されるように CA EEM を構成できます。この場合、ユーザとグループは LDAP に属します。認証の目的で CA EEM サーバが LDAP サーバに統合される場合、Introscope での追加構成は一切必要ありません。Introscope がサポートする LDAP サーバの詳細については、「LDAP による Introscope のセキュリティ保護」を参照してください。
注:
CA EEM を複数の外部ディレクトリ(LDAP と SiteMinder など)に同時に統合されるように構成することはできません。LDAP を使用して CA EEM による認証を構成するときは、許可には CA EEM をデプロイします。
以下の手順に従います。
- CA EEM 対応の LDAP サーバを設定および構成します。
- LDAP ユーザ ディレクトリにユーザとグループを追加します。注:CA EEM サーバを LDAP などの外部ユーザ ディレクトリに接続すると、CA EEM 内でグローバル ユーザを作成または追加することができなくなります。
- CA EEM の[設定]タブで、LDAP サーバまたは Active Directory サーバに接続するように CA EEM を構成します。詳細については、「CA Embedded Entitlements Manager Getting Started Guide」および「CA Embedded Entitlements Manager Programming Guide」で、LDAP 関連のトピックを参照してください。
SiteMinder を使用した CA EEM 認証の構成
SiteMinder は一元化された Web アクセス管理システムで、以下の機能を持ちます。
- ユーザ認証およびシングル サインオン
- 認証管理
- ポリシー ベースでの許可
- アイデンティティ フェデレーション
- Web アプリケーションおよびポータルへのアクセス監査
認証に SiteMinder が使用されるように CA EEM を構成できます。この場合、ユーザとグループは SiteMinder に属します。認証の目的で CA EEM サーバが SiteMinder に統合される場合、Introscope での追加構成は一切必要ありません。
SiteMinder を使用した CA EEM 認証を構成するときには、許可用の CA EEM をデプロイします。
注:
CA EEM を複数の外部ディレクトリ(LDAP と SiteMinder など)に同時に統合するように構成することはできません。以下の手順に従います。
- SiteMinder ユーザ ディレクトリにユーザとグループを追加します。注:CA EEM サーバを SiteMinder などの外部ユーザ ディレクトリに接続すると、CA EEM 内でグローバル ユーザを作成または追加することができません。
- CA EEM の[設定]タブで、SiteMinder に接続するように CA EEM を構成します。注:CA EEM の SiteMinder への統合の詳細については、以下のガイドの関連するトピックを参照してください。
- CA Embedded Entitlements Manager Getting Started Guide
- CA Embedded Entitlements Manager Release Notes
CA EEM による許可の構成
許可領域として CA EEM を使用する場合は、APM アプリケーションおよび APM のユーザ、グループおよび権限で CA EEM サーバを構成する必要があります。これには、以下のいずれかの方法を使用できます。
- CA EEM Safex ユーティリティSafexは、CA EEM に付属するコマンド ライン インターフェース(CLI)ユーティリティです。Safex は、XML スクリプトを実行して CA EEM にアプリケーションを登録し、ユーザとグループを作成します。CA APM では、デフォルトの APM グローバル ユーザ、リソース、および権限を使用して APM アプリケーションを作成する Safex のサンプル スクリプトを用意しています。また、Safex スクリプトを使用して CA EEM から XML ファイルにデータをエクスポートすることもできます。詳細については、「CA Embedded Entitlements Manager Programming Guide」を参照してください。
- CA EEM インターフェースCA EEM インターフェースの使用の情報については、「CA Embedded Entitlements Manager Getting Started Guide」、「CA Embedded Entitlements Manager Online Help」、および「CA Embedded Entitlements Manager Programming Guide」を参照してください。
CA EEM インターフェースにアクセスする方法
アクセス権がある場合は、CA EEM にログインして APM アプリケーションおよび APM のユーザ、グループおよび権限を設定することができます。
- CA EEM 内の APM アプリケーションにログインします。
- CA EEM ログイン ページで、APM または登録済みアプリケーションの名前を[アプリケーション]ドロップダウン リストでクリックします。
- ログイン名とパスワードを入力します。APM アプリケーションのデフォルト ログイン名はEiamAdminです。
非 FIPS モードで APM-CA EEM 統合を構成する方法
注:
EEM のインストール場所にある igateway.conf ファイルで <FIPSMode>OFF</FIPSMode> を使用して FIPS モードを OFF に設定し、非 FIPS モードで EEM サーバを設定します。このファイルのデフォルトのインストール場所は、C:\ProgramFiles\CA\SharedComponents\iTechnology です。- eiam.config ファイルと eiam.log4j.config ファイルを設定します。
- <EM_Home>\config ディレクトリ内の eiam.config および eiam.log4j.config ファイルを開きます。
- FIPS モードが OFF に設定され、<FIPSMode>OFF</FIPSMode> と表示されていることを確認します。デフォルトのモードは OFF です。
- ダイジェスト アルゴリズムを以下のいずれかのアルゴリズムに設定します。
- MD5 (デフォルト)
- SHA1
- SHA256
- SHA384
- SHA512
FIPS モードで APM-CA EEM 統合を構成する方法
注:
EEM のインストール場所にある igateway.conf ファイルで <FIPSMode>ON</FIPSMode> を使用して FIPS モードを ON に設定し、FIPS モードで EEM サーバを設定します。このファイルのデフォルトのインストール場所は、C:\Program Files\CA\SharedComponents\iTechnology です。- eiam.config ファイルと eiam.log4j.config ファイルを設定します。
- <EM_Home>\config ディレクトリ内の eiam.config および eiam.log4j.config ファイルを開きます。
- <FIPSMode>OFF</FIPSMode> を <FIPSMode>ON</FIPSMode> に変更することにより、FIPS モードを ON に設定します。
- ダイジェスト アルゴリズムを以下のいずれかのアルゴリズムに設定します。
- SHA1
- SHA256
- SHA384
- SHA512
CA EEM による許可を構成する方法
重要:
- CA EEM を許可に使用する場合、Enterprise Manager は CA EEM 内の 1 つ以上のアプリケーションに接続する必要があります。CA EEM では、権限を定義するアクセス ポリシーおよびリソース クラスを格納するためにアプリケーションを使用しています。
- CA EEM サーバを LDAP または SiteMinder などの外部ユーザ ディレクトリに接続すると、CA EEM 内でグローバル ユーザを作成または追加することができません。認証のために、CA EEM サーバが LDAP サーバまたは SiteMinder サーバに統合されている場合は、CA EEM ではなく LDAP または SiteMinder 内でユーザとグループを設定します。あるいは、LDAP または SiteMinder 内でユーザとグループの CA EEM アクセス ポリシーを変更します。
- eem.register.app.xml スクリプトには、認証のために LDAP または SiteMinder を使用して構成された CA EEM を設定するためのサンプル コードが含まれません。
以下の手順に従います。
- CA EEM による許可のための realms.xml ファイルを構成します。
- <EM_Home>/config ディレクトリの realms.xml ファイルを開きます。
- appname プロパティが、Enterprise Manager が CA EEM 内で接続している APM アプリケーションの名前に設定されていることを確認します。たとえば、APM となります。以下の手順 2a で CA EEM サーバを構成するときに使用するものと同じアプリケーション名を使用します。
- enableAuthorization プロパティが True に設定されていることを確認します。
- realms.xml ファイルを保存します。
- Enterprise Manager を再起動して realms.xml への変更を適用します。
- 1 つ以上の Safex スクリプトを作成、実行して、APM アプリケーション、グループ、ユーザ、リソース クラス、およびドメインとサーバのリソースをロードします。CA Technologies は、<EM_Home>/examples/authenticationディレクトリに、これらの Safex サンプル スクリプトを用意しています。
- eem.register.app.xmlデフォルトの APM アプリケーションを登録します。
- eem.unregister.app.xmlデフォルトの APM アプリケーションを登録解除します。
- eem.add.global.identities.xmlデフォルトの APM グローバル ユーザを追加します。
- eem.remove.global.identities.xmlデフォルトの APM ユーザを削除します。
注: CA EEM による許可のデプロイを設定するためのベース スクリプトとして使用する eem.register.app.xml および eem.add.global.identities.xml に変更を加えることをお勧めします。これらのスクリプトを実行すると、CA EEM による許可を設定するための要件が満たされます。- Safex スクリプト内でこれらの CA EEM によるセキュリティのエレメントを構成します。
- 注: CA EEM は空のパスワードをサポートしません。したがって、CA EEM でユーザを作成するたびに、パスワードを指定する必要があります。
- (オプション) CA EEM 構成スクリプトのベースとして eem.register.app.xml ファイルを使用しない場合は、CA EEM インターフェースを使用して、これらの条件が満たされるように CA EEM サーバを構成します。
- ドメイン リソース クラスとサーバ リソース クラスの 2 つのリソース クラスを作成します。リソース クラスには、Introscope で利用可能な権限と一致するアクションのリストが含まれている必要があります。たとえば、サーバ権限の場合、Introscope のアクションは、shutdown、publish_mib、および full です。詳細については、「CA EEM APM ドメイン リソース アクセス ポリシーの作成と削除」(P. 88)および「CA EEM APM サーバ リソース アクセス ポリシーの作成と削除」(P. 91)を参照してください。
- ポリシー セットを作成します。ポリシーによって、リソース クラス、1 つ以上のアクション、1 つ以上の ID、およびゼロまたは 1 つ以上のリソースが定義されます。
- リソースは特定のリソースの名前です(スーパードメインなど)。リソースが指定されない場合、ポリシーはそのリソース クラスのすべてのインスタンスに適用されます。サーバ リソース クラスはシングルトンなので、そのポリシーにリソースが含まれていてはいけません。
- ID はグループの名前です。
- アプリケーション固有のユーザ グループを指定するには、プレフィックス ug: を使用します。また、組織のデプロイ環境に応じて、グローバル ユーザ グループを指定するには、gug: を使用します。
- ディレクトリに移動します。通常は、C:\Program Files\CA\SharedComponents\iTechnology です。
- コマンド プロンプトで、以下のコマンドを実行します。C:\Program Files\CA\SharedComponents\iTechnology\safex.exe -h hostname -u username -p password -f <mySafexScriptname>.xmlたとえば、以下のようになります。C:\Program Files\CA\SharedComponents\iTechnology\safex.exe -h hostname -u username -p password -f eem.register.app.xmlスクリプトが実行され、定義した構成値が CA EEM にロードされます。
- CA EEM にログインし、APM アプリケーション、グループ、ユーザ、リソース クラス、ドメインとサーバのリソース、および関連する権限を表示します。
- APM アプリケーションのリストを表示するには、[設定]タブをクリックします。
- APM グループおよびユーザを表示するには、[ID の管理]タブをクリックします。
- APM リソース クラスおよびドメインとサーバのリソースを表示するには、[アクセス ポリシーの管理]タブをクリックします。
CA EEM での APM アプリケーションの登録
Introscope のセキュリティに使用するアプリケーションを CA EEM で 1 つ以上登録します。CA EEM でアプリケーションを登録すると、ユーザの詳細情報とアクセス ポリシーを格納するアプリケーション インスタンスが作成されます。ユーザとアプリケーションの操作の詳細については、以下の CA EEM のドキュメントを参照してください。
- CA Embedded Entitlements Manager Getting Started Guide
- CA Embedded Entitlements Manager Online Help
- CA Embedded Entitlements Manager Programming Guide
CA APM では、CA EEM アプリケーションを
APM
の名前で登録するデフォルトの Safex スクリプトを用意しています。重要:
CA EEM でアプリケーションを登録するには、Safex スクリプトを使用します。CA EEM ユーザ インターフェースを使用してアプリケーションを登録することはできません。注:
- APMという名前のアプリケーションを作成する Safex スクリプト コードについては、<EM_Home>/examples/authentication ディレクトリにあるeem.register.app.xmlサンプル ファイルを参照してください。
- <EEM_Server>ディレクトリは通常、C:\Program Files\CA\SharedComponents\iTechnology にあります。
非 FIPS モードの CA EEM で APM アプリケーションを登録する方法
- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、以下のようになります。C:\Program Files\CA\SharedComponents\iTechnology \Register_APM.xml.
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えます。<Safex><!-- Attach as global user --><Attach/><!-- register "APM" application --><Register certfile="APM.p12" password="Enter Your Password"><ApplicationInstance name="APM" label="APM"></ApplicationInstance></Register><Detach/></Safex>
- コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。
- Safex スクリプトを実行するには、以下のコマンドを実行します。>safex.exe -h localhost -u EiamAdmin -p <password> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p <password> -f Register_APM.xml
- CA EEM 内の APM アプリケーションを表示します。
- スクリプトに入力した管理者名とパスワードを使用して、CA EEM にログインします。たとえば、ユーザ名にEiamAdmin、パスワードに <パスワード> を使用します。注:CA EEM では、デフォルトのグローバル権限を持つ管理者名ユーザ名としてEiamAdminを使用できます。
- APM アプリケーションのリストを表示するには、[設定]タブをクリックします。
- そのアプリケーションに関する情報を表示または編集するには、アプリケーション名(APM など)をクリックします。
FIPS モードの CA EEM で APM アプリケーションを登録する方法
重要:
CA EEM でアプリケーションを登録するには、Safex スクリプトを使用します。CA EEM ユーザ インターフェースを使用してアプリケーションを登録することはできません。注
:- APM という名前のアプリケーションを作成する Safex スクリプト コードについては、<EM_Home>/examples/authentication ディレクトリにある eem.register.app.xml サンプル ファイルを参照してください。
- <EEM_Server>ディレクトリは通常、C:\Program Files\CA\SharedComponents\iTechnology にあります。
- ディレクトリ内に Safex XML ファイルを作成します。たとえば、以下のようになります。C:\Program Files\CA\SharedComponents\iTechnology \Register_APM.xml.
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えます。<Safex><!-- Attach as global user --><Attach/><!-- register "APM" application --><Register certtype="pem" certfile="APM.pem" keyfile="APM.key"><ApplicationInstancxxle name="APM" label="APM"></ApplicationInstance></Register><Detach/></Safex>
- コマンド プロンプトを開き、<EEM_Server> ディレクトリに移動します。
- Safex スクリプトを実行するには、以下のコマンドを実行します。>safex.exe -h localhost -u EiamAdmin -p <password> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p <password> -f Register_APM.xml -fips
- CA EEM 内の APM アプリケーションを表示します。
- スクリプトに入力した管理者名とパスワードを使用して、CA EEM にログインします。たとえば、ユーザ名に EiamAdmin、パスワードに <パスワード> を使用します。注:CA EEM では、デフォルトのグローバル権限を持つ管理者名ユーザ名として EiamAdmin を使用できます。
- APM アプリケーションのリストを表示するには、[設定]タブをクリックします。
- そのアプリケーションに関する情報を表示または編集するには、アプリケーション名をクリックします。たとえば、APM となります。
CA EEM での APM アプリケーションの登録解除
CA EEM でアプリケーションを登録解除するときは、アプリケーションおよびすべての関連するユーザとグループを CA EEM サーバから削除します。
以下の手順に従います。
注:
APM という名前のアプリケーションおよびそのユーザとグループを登録解除する Safex スクリプト コードについては、<EM_Home>
/examples/authenticationディレクトリにある eem.unregister.app.xml サンプル ファイルを参照してください。- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、C:\Program Files\CA\SharedComponents\iTechnology\Unregister_APM.xml となります。
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えます。<Safex><!-- Attach as global user --><Attach/><!-- unregister "APM" application --> <UnRegister><ApplicationInstance name="APM" label="APM"/></UnRegister></Safex>
- コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。
- 以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <password> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p <password> -f Unregister_APM.xmlFIPS モードの CA EEM で APM アプリケーションの登録を解除する場合は、以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <password> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p <password> -f Unregister_APM.xml -fips
- CA EEM 内の APM アプリケーションを表示します。
- CA EEM にログインします。
- APM アプリケーションのリストを表示するには、[設定]タブをクリックします。
CA EEM での APM グループの作成と削除
CA EEM には以下の 2 つのレベルのユーザ グループがあります。
- アプリケーション固有のグループ: アクセスを許可されているアプリケーションに固有の権限が与えられます。アプリケーション固有のグループはほかのアプリケーションと権限を共有しません。注:デフォルトである、CA APM の CA EEM によるセキュリティはアプリケーション固有のグループを使用してデプロイされます。
- グローバル ユーザ グループ: CA EEM に登録されているすべてのアプリケーションへのアクセス権を持っているので、すべての権限が与えられます。
注:
CA EEM サーバを LDAP や SiteMinder などの外部ユーザ ディレクトリに接続すると、CA EEM 内でグローバル グループを作成または追加することができなくなります。認証用の CA EEM サーバが LDAP サーバまたは SiteMinder サーバに統合されている場合は、CA EEM 内ではなく LDAP または SiteMinder 内でグループを設定します。CA EEM は、子グループがその親グループから権限を継承する、ネストされたグループをサポートしています。したがって、子グループに権限を割り当てる必要はありません。ただし、子グループについて追加の権限を定義することはできます。
CA APM ユーザが CEM コンソールを表示するには、許可が成功するように 1 つ以上の CEM リソースについてアクセス ポリシーが定義されている必要があります。また、Investigator ツリーおよびコンソールを表示するには、1 つ以上のドメインに対して読み取り権限を持っている必要があります。CA APM ユーザが CEM コンソールおよび Investigator ツリーとコンソールの両方を表示する場合は、これらの要件が両方とも満たされなければなりません。
注:
- デフォルトの APM ユーザを追加する Safex スクリプト コードについては、<EM_Home>/examples/authentication ディレクトリにあるeem.add.global.identities.xmlサンプル ファイルを参照してください。
- 認証に LDAP または SiteMinder が使用されるように CA EEM を構成し、LDAP または SiteMinder サーバ上でユーザとグループを作成した場合、CA EEM に APM グループを追加する必要はありません。Safex スクリプトを使用して APM アプリケーションを登録するだけです。「CA EEM での APM アプリケーションの登録」を参照してください。
Safex ユーティリティを使用して APM グループを作成する方法
- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、C:\Program Files\CA\SharedComponents\iTechnology\Add_Groups.xml となります。
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えて、他の適切な値を構成します。注:アプリケーション固有のユーザ グループを指定するには、プレフィックスug:を使用します。また、デプロイについて適切な場合、グローバル ユーザ グループを指定するには、gug:を使用します。<Safex><!-- Attach as global user --><Attach/><!-- add user group --><Add><Folder name="/APM" /><UserGroup name="Admin" folder="/"><Description>Administrator Group</Description></UserGroup><UserGroup name="Guest" folder="/"><Description>Guest Group</Description></UserGroup></Add><Detach/></Safex>
- コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。
- 以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <password> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p <password> -f eem.add.global.identities.xmlFIPS モードで CA EEM に統合されている APM アプリケーションに対してグループを作成する場合は、以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <password> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p <password> -f eem.add.global.identities.xml -fips
- CA EEM 内のグループを表示します。
- CA EEM にログインします。
- [ID の管理]タブをクリックします。
- [グループ]リンクをクリックします。
- [グループの検索]ウィンドウで、[アプリケーション グループを表示]チェック ボックスをオンにして、[実行]をクリックします。CA EEM の[ユーザ グループ]ウィンドウに APM グループのリストが表示されます。
- グループ名のリンクをクリックすると、そのグループに関する詳細情報が[ユーザ グループ]ウィンドウに表示されます。
Safex ユーティリティを使用して APM グループを削除する方法
注:
グループを削除する前に、グループ内のユーザを削除します。削除対象のグループを別のグループが参照している場合は、参照を削除します。- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、C:\Program Files\CA\SharedComponents\iTechnology\Remove_Group.xml となります。
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えて、他の適切な値を構成します。注:アプリケーション固有のユーザ グループを指定するには、プレフィックスug:を使用します。また、デプロイについて適切な場合、グローバル ユーザ グループを指定するには、gug:を使用します。<Safex><!-- Attach as global user --><Attach/><!-- remove global users and groups --><Remove><GlobalUserGroup name="Admin" folder="/"/><GlobalUserGroup name="Guest" folder="/"/><GlobalFolder name="/APM" /></Remove><Detach/></Safex>
- コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。
- 以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_Group.xmlFIPS モードで CA EEM に統合されている APM アプリケーションに対してグループを削除する場合は、以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_Group.xml -fips
- CA EEM 内の APM グループを表示します。
- CA EEM にログインします。
- [ID の管理]タブをクリックします。
- [グループ]リンクをクリックします。
- [グループの検索]ウィンドウで、[アプリケーション グループを表示]チェック ボックスをオンにして、[実行]をクリックします。
CA EEM での APM ユーザの作成と削除
CA EEM には以下の 2 つのタイプのユーザがあります。
- アプリケーション固有のユーザ: アクセスを許可されているアプリケーションに固有の権限が与えられます。
- グローバル ユーザ: CA EEM に登録されているすべてのアプリケーションへのアクセス権を持っています。 アプリケーション固有のユーザ グループにグローバル ユーザを割り当てると、そのグローバル ユーザはアプリケーション固有のユーザになります。
CA APM の Safex スクリプトを使用して CA EEM に追加される APM グローバル ユーザとアプリケーション固有のユーザは、CA EEM 内でアプリケーション固有のグループのメンバとして設定されます。CA EEM による許可が成功するために、APM ユーザが CA EEM 内のグループのメンバである必要はありません。ただし、CA EEM 内のグループのメンバでない APM ユーザがドメインやサーバなどのリソースを編集できるようになるには、アクセス ポリシーが定義されている必要があります。
注:
- 認証に LDAP または SiteMinder が使用されるように CA EEM を構成し、LDAP または SiteMinder サーバ上でユーザとグループを作成した場合、CA EEM に APM ユーザを追加する必要はありません。Safex スクリプトを使用して APM アプリケーションを登録するだけです。「CA EEM での APM アプリケーションの登録」を参照してください。
- CA EEM サーバを LDAP や SiteMinder などの外部ユーザ ディレクトリに接続すると、CA EEM 内でグローバル ユーザを作成または追加することができなくなります。ただし、外部(LDAP または SiteMinder)ユーザ ディレクトリ内のユーザについてアプリケーション固有の詳細を追加することができるようになります。認証用の CA EEM サーバが LDAP サーバまたは SiteMinder サーバに統合されている場合は、CA EEM 内ではなく LDAP または SiteMinder 内でユーザを設定します。
- デフォルトの APM グローバル ユーザを追加する Safex スクリプト コードについては、eem.add.global.identities.xmlサンプル ファイルを参照してください。APM アプリケーション固有のグループに APM グローバル ユーザを追加する Safex スクリプト コードについては、eem.register.app.xmlサンプル ファイルを参照してください。どちらのファイルも<EM_Home>/examples/authenticationディレクトリにあります。
重要:
CA EEM は空のパスワードをサポートしません。したがって、CA EEM でユーザを作成するたびに、パスワードを指定する必要があります。Safex ユーティリティを使用して APM ユーザを作成する方法
- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、C:\Program Files\CA\SharedComponents\iTechnology\Add_Users.xml となります。
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えて、他の適切な値を構成します。<Safex><!-- Attach as global user --><Attach/><!-- add global users --><Add><GlobalUser name="admin" folder="/APM"><UserName>admin</UserName><DisplayName>Admin</DisplayName><!-- blank passwords not allowed --><Password>admin</Password><FirstName>APM</FirstName><LastName>Admin</LastName><WorkPhoneNumber>1-888-888-8888</WorkPhoneNumber><EmailAddress>[email protected]</EmailAddress><GroupMembership>Admin</GroupMembership></GlobalUser><GlobalUser name="guest" folder="/APM"><UserName>guest</UserName><DisplayName>Guest</DisplayName><Password>guest12</Password><FirstName>APM</FirstName><LastName>Guest</LastName><WorkPhoneNumber>1-888-888-8888</WorkPhoneNumber><EmailAddress>[email protected]</EmailAddress><GroupMembership>Guest</GroupMembership></GlobalUser><!-- add users to groups --><User folder="/APM" name="guest"><GroupMembership>Guest</GroupMembership></User><User folder="/APM" name="admin"><GroupMembership>Admin</GroupMembership></User></Add><Detach/></Safex>
- コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。
- 以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_Users.xmlFIPS モードで CA EEM に統合されているアプリケーションに対して APM ユーザを作成する場合は、以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_Users.xml -fips
- CA EEM 内の APM ユーザを表示します。
- CA EEM にログインします。
- [ID の管理]タブをクリックします。
- [ユーザ]リンクをクリックします。
- [ユーザの検索]ウィンドウで、[属性]、[オペレータ]、または[値]の検索用語を設定し、[実行]をクリックします。CA EEM の[ユーザ]ウィンドウに APM ユーザのリストが表示されます。
- APM ユーザ名のリンクをクリックすると、そのユーザに関する詳細情報が[ユーザの詳細]ウィンドウに表示されます。
Safex ユーティリティを使用して APM ユーザを削除する方法
注:
デフォルトの APM グローバル ユーザを削除する Safex スクリプト コードについては、eem.remove.global.identities.xml サンプル ファイルを参照してください。アプリケーション固有のユーザを含めて APM アプリケーションを削除する Safex スクリプト コードについては、eem.unregister.app.xml サンプル ファイルを参照してください。どちらのファイルも <EM_Home>
/examples/authentication ディレクトリにあります。- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、C:\Program Files\CA\SharedComponents\iTechnology\Remove_User.xml となります。
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えて、他の適切な値を構成します。<Safex><!-- Attach as global user --><Attach/><!-- remove global users and groups --><Remove><GlobalUser name="admin" folder="/APM"/><GlobalUser name="guest" folder="/APM"/><GlobalFolder name="/APM" /></Remove><Detach/></Safex>
- コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。
- 以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_User.xmlFIPS モードで CA EEM に統合されているアプリケーションに対して APM ユーザを削除する場合は、以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_User.xml -fips
- CA EEM 内の APM ユーザを表示します。
- CA EEM にログインします。
- [ID の管理]タブをクリックします。
- [ユーザ]リンクをクリックします。
- [ユーザの検索]ウィンドウで、[属性]、[オペレータ]、または[値]の検索用語を設定し、[実行]をクリックします。
CA EEM での APM リソース クラスの作成と削除
新しいアプリケーションを登録するごとに、APM リソース クラスを定義しなければならない場合があります。Introscope では、少なくともドメインとサーバのリソース クラスが必要です。CA CEM を使用する場合は、CA CEM に固有のリソース クラスを定義する必要があります。CA CEM の CA EEM セキュリティの詳細については、「CEM に対する EEM の認証と許可」を参照してください。
重要:
CA APM のセキュリティの場合、修正済みの APM リソース クラスおよび権限名を使用する必要があります。APM リソース クラスごとに関連する権限を指定する必要があります。CA EEM ではこの権限のことをアクションと呼びます。
注:
デフォルトのリソース クラスを含む APM
という名前のアプリケーションを作成する Safex スクリプト コードについては、<EM_Home>
/examples/authenticationディレクトリにある eem.register.app.xml サンプル ファイルを参照してください。Safex ユーティリティを使用して APM リソース クラスを作成する方法
- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、C:\Program Files\CA\SharedComponents\iTechnology\Add_resource_classes.xml となります。
- ドメイン リソース クラスの権限を決定します。
- 読み取りユーザまたはグループは、ドメイン内のすべてのエージェントとビジネス ロジックを表示できます。この権限で実行できるタスクには以下のものがあります。
- Investigator ツリーの表示(ユーザがアクセス権を持つドメイン内のエージェントが表示されます)
- Workstation コンソールでのダッシュボードの表示
- Investigator のプレビュー ペインでのメトリック データとエレメント データの表示(Investigator ツリー内の特定リソースのデフォルト ビューである、上位 N 件を示すフィルタされたビューの表示を含みます)
- 管理モジュール、エージェント、またはエレメントの設定の表示
- アラート メッセージの参照
- 履歴 Data Viewer での履歴データの更新および拡大/縮小表示
- 履歴 Data Viewer の履歴データの範囲に関するオプションの変更
- グラフでのメトリックの表示/非表示の切り替え
- Data Viewer でのメトリックの前面/背面移動
- グループとユーザの基本設定の変更(ホーム ダッシュボードの設定や、管理モジュール名をダッシュボード名と共に表示するかどうかなど)
注:read 権限を持つユーザまたはグループは、Workstation のすべてのコマンドを参照できます。ただし、アクセス権を持たないコマンドは無効になります。 - 書き込みwrite 権限を持つユーザまたはグループは、read 権限を持つユーザまたはグループが実行可能な操作をすべて実行できますが、以下のタスクも行うことができます。
- ドメイン内のすべてのエージェントとビジネス ロジックの表示
- ダッシュボードの作成および編集
- ドメイン内のすべてのモニタリング ロジックの編集
- run_tracerユーザまたはグループは、エージェントについてトランザクション追跡セッションを開始できます。注:この権限には、read 権限も割り当てる必要があります。
- historical_agent_controlユーザまたはグループはエージェント(複数可)をマウントおよびマウント解除できます。注:この権限には、read 権限も割り当てる必要があります。
- live_agent_controlユーザまたはグループは、ドメイン内のメトリック、リソース、およびエージェントの報告をシャットオフできます。注:この権限には、read 権限も割り当てる必要があります。
- dynamic_instrumentationユーザまたはグループは動的インスツルメンテーションを実行できます。動的インスツルメンテーションについては、「CA APM Java エージェント実装ガイド」または「CA APM .NET エージェント実装ガイド」を参照してください。
- fullユーザまたはグループは、ドメインに対するすべての権限を持ちます。
- サーバ リソース クラスの権限を決定します。
- shutdownユーザまたはグループは Enterprise Manager をシャットダウンできます。
- publish_mibユーザまたはグループは SNMP コレクション データを MIB に発行できます。MIB を発行するには、SNMP コレクションを作成する必要があります。このタスクを行うには、SNMP コレクションの保存先のドメインに対する書き込みアクセス権が必要です。
- apm_status_console_controlユーザまたはグループは、APM ステータス アラート アイコンの表示、APM ステータス コンソールの使用、APM ステータス コンソール CLW コマンドの実行を行えます。注:メトリック ブラウザ ツリーでアクティブなクランプのメトリック情報を表示するには、domains.xml のスーパードメイン権限を持っている必要があります。
- fullユーザまたはグループは Enterprise Manager サーバに対するすべての権限を持ちます。
- アプリケーション問題切り分けマップのセキュリティを提供するビジネス サービス リソース クラスの権限を決定します。
- 書き込み、読み取り、および機密データの読み取りIntroscope ユーザおよびグループは、アプリケーション問題切り分けマップにビジネス サービスを表示できます。注:
- 任意の CA EEM 権限を使用してアプリケーション問題切り分けマップにビジネス サービスを表示することができます。この場合、これらの 3 つの権限はデフォルトで使用できます。
- ビジネス サービスを表示するためのユーザ権限を変更する場合、そのような変更は、ユーザが Workstation からいったんログアウトし再度ログインするまで、アプリケーション問題切り分けマップに反映されません。
- フロントエンドに対してアプリケーション問題切り分けマップのセキュリティを提供するビジネス アプリケーション リソース クラスの権限を決定します。
- 書き込みIntroscope ユーザおよびグループは、アプリケーション問題切り分けマップにフロントエンドを表示できます。注:
- CA APM の CA EEM によるセキュリティは、ビジネス アプリケーション リソース クラスを使用して、マップのフロントエンドに対するセキュリティを提供します。
- 任意の CA EEM 権限を使用してマップにフロントエンドを表示することができます。この場合、書き込み権限だけがデフォルトで使用できます。
- マップのフロントエンドを表示するためのユーザ権限を変更する場合、そのような変更は、ユーザが Workstation からいったんログアウトし再度ログインするまで、アプリケーション問題切り分けマップに反映されません。
注:マップにフロントエンドを表示するには、任意の CA EEM 権限を使用できます。この場合、書き込み権限だけがデフォルトで使用できます。注:マップのフロントエンドを表示するためのユーザ権限を変更する場合、そのような変更は、ユーザが Workstation からいったんログアウトし再度ログインするまで、アプリケーション問題切り分けマップに反映されません。
- <ResourceClass> で始まり</ResourceClass> で終わるコードを Safex XML ファイルにカット アンド ペーストし、リソース クラスと権限を各自の変数に置き換えて、他の適切な値を構成します。注:CA EEM では、権限はアクションと呼ばれます。<Safex><!-- Attach as global user --><Attach/><!-- register "APM" application --><Register certfile="APM.p12" password="EiamAdmin"><ApplicationInstance name="APM" label="APM"><Brand>Introscope</Brand><MajorVersion>1</MajorVersion><MinorVersion>0</MinorVersion><Description>APM Application</Description><ResourceClass><Name>Domain</Name><Action>read</Action><Action>write</Action><Action>run_tracer</Action><Action>historical_agent_control</Action><Action>dynamic_instrumentation</Action><Action>live_agent_control</Action><Action>Thread_Dump</Action><Action>full</Action></ResourceClass><ResourceClass><Name>Server</Name><Action>shutdown</Action><Action>publish_mib</Action><Action>apm_status_console_control</Action><Action>full</Action></ResourceClass><ResourceClass><Name>Business Service</Name><Action>write</Action><Action>read</Action><Action>read sensitive data</Action></ResourceClass><ResourceClass><Name>Business Application</Name><Action>write</Action></ResourceClass></ApplicationInstance></Register><Detach/></Safex>注:ビジネス サービスおよびビジネス アプリケーション リソース クラスは、アプリケーション問題切り分けマップのユーザ権限を設定するために必要です。権限を設定しない場合は、すべてのユーザがすべてのフロントエンドを表示できます。ビジネス アプリケーション リソース クラスは、特定のフロントエンドを表示するための権限を提供します。
- コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。
- 以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_resource_classes.xmlFIPS モードで CA EEM に統合されているアプリケーションに対して APM リソース クラスを作成する場合は、以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_resource_classes.xml -fips
- CA EEM 内の APM リソースを表示します。
- CA EEM にログインします。
- [アクセス ポリシーの管理]タブをクリックします。
- [ポリシー]リンクをクリックします。
Safex ユーティリティを使用して APM リソース クラスを削除する方法
- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、C:\Program Files\CA\SharedComponents\iTechnology\Remove_Resource_class.xml となります。
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えて、他の適切な値を構成します。<Safex><!-- Attach as global user --><Attach/><!-- remove resource class --><ApplicationInstance name="APM" label="APM"><Remove><ResourceClass><Name>Business Service</Name><Action>write</Action><Action>read</Action><Action>read sensitive data</Action></ResourceClass></Remove></ApplicationInstance><Detach/></Safex>
- コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。
- 以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_Resource_class.xmlFIPS モードで CA EEM に統合されているアプリケーションに対して APM リソース クラスを削除する場合は、以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_Resource_class.xml -fips
- CA EEM 内の APM リソースを表示します。
- CA EEM にログインします。
- [アクセス ポリシーの管理]タブをクリックします。
- [ポリシー]リンクをクリックします。
CA EEM のアクセス ポリシーについて
CA EEM のアクセス ポリシーは、ドメイン、サーバ、フロントエンド、ビジネス サービスなどの特定のリソースに対して特定のアクションを実行するためにグループに与えられる権限を反映しています。つまり、ビジネス サービスとフロントエンド(CA EEM ではビジネス アプリケーションと呼びます)のアクセス ポリシーを提供するビジネス セキュリティは、エージェントではなく、アプリケーション問題切り分けマップに影響します。ただし、ドメイン セキュリティは、アプリケーション問題切り分けマップではなく、エージェントに影響します。
グローバル ユーザがアプリケーション固有のユーザ グループに追加されると、そのユーザはグループに与えられるリソース権限を取得します。
例として、グローバル ユーザ Admin をアプリケーション固有の CEM System Administrator ユーザ グループのメンバにする CA APM Safex スクリプトのコード断片を示します。
<User folder="/APM" name="cemadmin"><GroupMembership>CEM System Administrator</GroupMembership><GroupMembership>Admin</GroupMembership></User>
CA APM Safex スクリプトの後半には、CA EEM アプリケーション リソース アクセス ポリシーを設定する以下のコード断片があります。
<Policy name="Business Application write" folder="/Policies"><Description>CEM System Administrator Group and CEM Configuration Administrator Group have write permission for all Business Applications.</Description><ResourceClassName>Business Application</ResourceClassName><Action>write</Action><Identity>ug:CEM Configuration Administrator</Identity><Identity>ug:CEM System Administrator</Identity></Policy>
ポリシー定義内の以下の行は、CEM System Administrator ユーザ グループに対し、アプリケーション リソースにアクセスするための権限を付与します。
ug:CEM System Administrator
Admin は CEM System Administrator ユーザ グループのメンバであるので、Admin には、アプリケーション問題切り分けマップにフロントエンドを表示する権限も与えられます。
フロントエンドに対するセキュリティは、問題切り分けマップ ツリーに適用されます。つまり、権限を持っていないユーザの問題切り分けマップ ツリーには、フロントエンド ノードが表示されません。ただし、マップ セキュリティはメトリック ブラウザ ツリーには適用されません。このツリーでは、ユーザはフロントエンドとメトリックをすべて表示できます。
CA EEM APM ドメイン リソース アクセス ポリシーの作成と削除
このトピックでは、CA EEM で CA APM ドメインのセキュリティを保護する方法について説明します。たとえば、スーパードメインやユーザ定義のドメインがこれに該当します。ドメイン セキュリティを提供するには、スーパードメインおよびユーザ定義ドメインの CA EEM アクセス ポリシーを、ドメイン権限を設定するための CA EEM ドメイン リソースとして追加する必要があります。
注:
- ローカル セキュリティの場合、ドメイン権限は domains.xml ファイルで設定されます。
- CA EEM によるセキュリティの場合、domains.xml 内のドメイン権限は無視され、CA EEM 内で代わりに設定されます。
- ドメイン リソース用のデフォルトのアクセス ポリシーを含むAPMという名前のアプリケーションを作成する Safex スクリプト コードについては、<EM_Home>/examples/authenticationディレクトリにあるeem.register.app.xmlサンプル ファイルを参照してください。
- EEM インターフェースを使用してドメインを作成するには、[設定]タブで[リソース クラスの追加]をクリックします。リソース クラス名およびアクションを指定します。これらはドメイン名および権限になります。
Safex ユーティリティを使用して、CA EEM APM ドメイン リソース アクセス ポリシーを作成する方法
- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、C:\Program Files\CA\SharedComponents\iTechnology\Add_domains.xml となります。
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えて、ID、リソース クラス、および権限の値を構成します。ドメイン権限については、「CA EEM での APM リソース クラスの作成と削除」の手順 2 (「各リソース クラスについて許可する権限を決定します」)を参照してください。注:CA EEM では、権限はアクションと呼ばれます。<Safex><Attach label="APM"/><!-- add policies --><Add><Policy name="Domain Admin" folder="/Policies"><Description>Admin group has full permission for all domains</Description><Identity>gug:Admin</Identity><Action>full</Action><ResourceClassName>Domain</ResourceClassName><Resource>SuperDomain</Resource></Policy></Add><Detach/></Safex>
- コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。
- 以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_domains.xmlFIPS モードで CA EEM に統合されているアプリケーションに対して Safex ユーティリティを使用して CA EEM APM ドメイン リソース アクセス ポリシーを作成する場合は、以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_domains.xml- fips
- CA EEM 内の APM ドメインを表示します。
- CA EEM にログインします。
- [アクセス ポリシーの管理]タブをクリックします。
- [ポリシー]リンクをクリックします。
- [ポリシーの検索]ウィンドウで、[リソースに一致するポリシーを表示]をクリックします。次に、[リソース クラス名]ドロップダウン リストから[ドメイン]を選択し、[実行]をクリックします。
Safex ユーティリティを使用して、CA EEM APM ドメイン リソース アクセス ポリシーを削除する方法
- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、C:\Program Files\CA\SharedComponents\iTechnology\Remove_domain.xml となります。
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えて、ID、リソース クラス、および権限の値を構成します。ドメイン権限については、「CA EEM での APM リソース クラスの作成と削除」の手順 2 (「各リソース クラスについて許可する権限を決定します」)を参照してください。注:CA EEM では、権限はアクションと呼ばれます。<Safex><Attach label="APM"/><Remove><Policy name="Domain Guest" folder="/Policies"/></Remove><Detach/></Safex>
- コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。通常は、C:\Program Files\CA\SharedComponents\iTechnologyです。
- 以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_domain.xmlFIPS モードで CA EEM に統合されているアプリケーションに対して Safex ユーティリティを使用して CA EEM APM ドメイン リソース アクセス ポリシーを削除する場合は、以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_domain.xml -fips
- CA EEM 内の APM ドメインを表示します。
- CA EEM にログインします。
- [アクセス ポリシーの管理]タブをクリックします。
- [ポリシー]リンクをクリックします。
- [ポリシーの検索]ウィンドウで、[リソースに一致するポリシーを表示]をクリックします。次に、[リソース クラス名]ドロップダウン リストから[ドメイン]を選択し、[実行]をクリックします。
CA EEM APM サーバ リソース アクセス ポリシーの作成と削除
サーバ権限を設定するには、CA EEM APM サーバ リソースのアクセス ポリシーを追加する必要があります。
注:
サーバ リソースのデフォルトのアクセス ポリシーを含む APM という名前のアプリケーションを作成する Safex スクリプト コードについては、<EM_Home>
/examples/authentication ディレクトリにある eem.register.app.xml サンプル ファイルを参照してください。Safex ユーティリティを使用して CA EEM APM サーバ リソース アクセス ポリシーを作成する方法
- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、C:\Program Files\CA\SharedComponents\iTechnology\Add_server.xml となります。
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えて、ID、リソース クラス、および権限の値を構成します。サーバ権限については、「CA EEM での APM リソース クラスの作成と削除」の手順 2 (「各リソース クラスについて許可する権限を決定します」)を参照してください。注:CA EEM では、権限はアクションと呼ばれます。<Safex><Attach label="APM"/><!-- add policies --><Add><Policy name="Server Admin" folder="/Policies"><Description>Admin group has full permission for the server</Description><Identity>gug:Admin</Identity><Action>full</Action><ResourceClassName>Server</ResourceClassName></Policy></Add><Detach/></Safex>
- コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。
- 以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_server.xmlFIPS モードで CA EEM に統合されているアプリケーションに対して Safex ユーティリティを使用して CA EEM APM サーバ リソース アクセス ポリシーを作成する場合は、以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_server.xml -fips
- CA EEM 内の APM サーバ リソースを表示します。
- CA EEM にログインします。
- [アクセス ポリシーの管理]タブをクリックします。
- [ポリシー]リンクをクリックします。
- [ポリシーの検索]ウィンドウで、[リソースに一致するポリシーを表示]をクリックします。次に、[リソース クラス名]ドロップダウン リストから[サーバ]を選択し、[実行]をクリックします。CA EEM の[ポリシー テーブル]ウィンドウに APM サーバ リソース アクセス ポリシーのリストが表示されます。
- サーバ アクセス ポリシー名のリンクをクリックすると、APM サーバ リソースに関する詳細情報がポリシー詳細のウィンドウに表示されます。
Safex ユーティリティを使用して、CA EEM APM サーバ リソース アクセス ポリシーを削除方法
- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、C:\Program Files\CA\SharedComponents\iTechnology\Remove_server.xml となります。
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えて、ID、リソース クラス、および権限の値を構成します。サーバ権限については、「CA EEM での APM リソース クラスの作成と削除」の手順 2 (「各リソース クラスについて許可する権限を決定します」)を参照してください。注:CA EEM では、権限はアクションと呼ばれます。<Safex><Attach label="APM"/><Remove><Policy name="Server Admin" folder="/Policies"><Description>Admin group has full permission for the server</Description><Identity>gug:Admin</Identity><Action>full</Action><ResourceClassName>Server</ResourceClassName></Policy></Remove><Detach/></Safex>
- コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。
- 以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_server.xmlFIPS モードで CA EEM に統合されているアプリケーションに対して Safex ユーティリティを使用して CA EEM APM サーバ リソース アクセス ポリシーを削除する場合は、以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_server.xml -fips
- CA EEM 内の APM サーバ リソースを表示します。
- CA EEM にログインします。
- [アクセス ポリシーの管理]タブをクリックします。
- [ポリシー]リンクをクリックします。
- [ポリシーの検索]ウィンドウで、[リソースに一致するポリシーを表示]をクリックします。次に、[リソース クラス名]ドロップダウン リストから[サーバ]を選択し、[実行]をクリックします。
CA EEM APM フロントエンドおよびビジネス サービス リソース アクセス ポリシーの作成と削除
アプリケーション問題切り分けマップ権限を設定するには、フロントエンド(CA EEM ではビジネス アプリケーションと呼びます)とビジネス サービスのアクセス ポリシーを CA EEM APM アプリケーション リソースとして追加する必要があります。
Safex ユーティリティを使用して CA EEM APM フロントエンドまたはビジネス サービス リソース アクセス ポリシーを作成する方法
- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、C:\Program Files\CA\SharedComponents\iTechnolog\Add_application_policy.xml となります。
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えて、ID、リソース、および権限の値を構成します。アプリケーション権限については、「CA EEM での APM リソース クラスの作成と削除」の手順 2 (「各リソース クラスについて許可する権限を決定します」)を参照してください。注:
- CA EEM では、権限はアクションと呼ばれます。
- 以下のサンプル コードは、アプリケーション問題切り分けマップに Banking Application という名前のアプリケーションを表示する権限を Guest ユーザに付与します。
<Safex><Attach label="APM"/><!-- add policies --><Add><Policy name="Business Application Write to a banking application" folder="/Policies"><Description>Guest Group has write permission for a Banking Application.</Description><ResourceClassName>Business Application</ResourceClassName><Resource>Banking Application</Resource><Action>write</Action><Identity>ug:Guest</Identity></Policy></Add><Detach/></Safex> - コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。
- 以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_application_policy.xmlFIPS モードで CA EEM に統合されているアプリケーションに対して Safex ユーティリティを使用して CA EEM APM フロントエンドまたはビジネス サービス リソース アクセス ポリシーを作成する場合は、以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Add_application_policy.xml -fips
- CA EEM 内の APM アプリケーション リソース ポリシーを表示します。
- CA EEM にログインします。
- [アクセス ポリシーの管理]タブをクリックします。
- [ポリシー]リンクをクリックします。
- [ポリシーの検索]ウィンドウで、[リソースに一致するポリシーを表示]をクリックします。次に、[リソース クラス名]ドロップダウン リストからアプリケーション ポリシー名を選択し、[実行]をクリックします。CA EEM の[ポリシー テーブル]ウィンドウに APM アプリケーション リソース アクセス ポリシーのリストが表示されます。
- アプリケーション リソース アクセス ポリシー名のリンクをクリックすると、APM アプリケーション リソースに関する詳細情報がポリシー詳細のウィンドウに表示されます。
Safex ユーティリティを使用して CA EEM APM フロントエンドまたはビジネス サービス リソース アクセス ポリシーを削除する方法
- <EEM_Server>ディレクトリ内に Safex XML ファイルを作成します。たとえば、C:\Program Files\CA\SharedComponents\iTechnology\Remove_application_policy.xml となります。
- Safex XML ファイルに以下のコードをカット アンド ペーストし、引用符内の変数を各自の変数に置き換えて、ID、リソース、および権限の値を構成します。アプリケーション権限については、「CA EEM での APM リソース クラスの作成と削除」の手順 2 (「各リソース クラスについて許可する権限を決定します」)を参照してください。注:CA EEM では、権限はアクションと呼ばれます。<Safex><Attach label="APM"/><Remove><Policy name="Business Application Write to a banking application" folder="/Policies"><Description>Guest Group has write permission for a Banking Application.</Description><ResourceClassName>Business Application</ResourceClassName><Resource>Banking Application</Resource><Action>write</Action><Identity>ug:Guest</Identity></Policy></Remove><Detach/></Safex>
- コマンド プロンプトを開き、<EEM_Server>ディレクトリに移動します。通常は、C:\Program Files\CA\SharedComponents\iTechnologyです。
- 以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xmlたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_application_policy.xmlFIPS モードで CA EEM に統合されているアプリケーションに対して Safex ユーティリティを使用して CA EEM APM フロントエンドまたはビジネス サービス リソース アクセス ポリシーを削除する場合は、以下のコマンドを実行して Safex スクリプトを実行します。>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fipsたとえば、以下のようになります。>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_application_policy.xml -fips
- CA EEM 内の APM アプリケーション リソースを表示します。
- CA EEM にログインします。
- [アクセス ポリシーの管理]タブをクリックします。
- [ポリシー]リンクをクリックします。
- [ポリシーの検索]ウィンドウで、[リソースに一致するポリシーを表示]をクリックします。次に、[リソース クラス名]ドロップダウン リストからアプリケーション ポリシー名を選択し、[実行]をクリックします。
クラスタ内での CA EEM のセットアップ
クラスタ内で CA EEM によるセキュリティを提供するには、すべての Enterprise Manager が CA EEM 内の同じアプリケーションに接続するように realms.xml ファイルを構成します。また、クラスタに新しいコレクタを追加してエージェントまたは TIM の数を増やすときは、以下の手順に従います。
以下の手順に従います。
重要:
CA EEM を許可に使用する場合、Enterprise Manager は CA EEM 内の 1 つ以上のアプリケーションに接続する必要があります。その理由は、CA EEM では、権限を定義するアクセス ポリシーおよびリソース クラスを格納するためにアプリケーションを使用するからです。- Enterprise Manager (コレクタ、MOM、または CDV)で、CA EEM による許可のための realms.xml ファイルを構成します。
- <EM_Home>/config ディレクトリの realms.xml ファイルを開きます。
- appnameプロパティを、Enterprise Manager が CA EEM 内で接続するアプリケーションの名前に設定します。たとえば、APMとなります。この名前は、CA EEM サーバを構成するときに使用するのと同じ APM アプリケーション名です。
- enableAuthorization プロパティをTrueに設定します。
- realms.xml ファイルを保存します。
- Enterprise Manager を再起動して realms.xml への変更を適用します。
- クラスタ内の各 Enterprise Manager について上記の手順 1 を繰り返します。クラスタ内のすべての Enterprise Manager が CA EEM 内の同じアプリケーションに接続すると、CA EEM によるセキュリティがクラスタ全体で有効になります。
ローカルから CA EEM によるセキュリティへの移行
これまでローカルによる認証および許可を使用して Introscope を実行していて、これから CA EEM ベースの認証および許可をデプロイする場合は、以下の手順に従います。
- CA EEM のインストール
- 認証用の CA EEM の構成
- 許可用の CA EEM の構成
また、CA EEM ベースの認証と、ローカル許可をデプロイすることもできます。詳細については、「ローカル許可を使用するための CA EEM の構成」を参照してください。
CA EEM によるセキュリティ デプロイについて十分に理解するには、「CA EEM による Introscope のセキュリティ保護」のトピックを最初からお読みください。
LDAP から CA EEM によるセキュリティへの移行
これまで LDAP による認証およびローカル許可を使用して Introscope を実行していて、これから CA EEM ベースの認証および許可をデプロイする場合は、以下の手順に従います。
- CA EEM のインストール
- 認証用の CA EEM の構成
- 許可用の CA EEM の構成
CA EEM によるセキュリティ デプロイについて十分に理解するには、「CA EEM による Introscope のセキュリティ保護」のトピックを最初からお読みください。
ローカル許可を使用するための CA EEM の構成
CA APM ユーザの認証が EEM によるセキュリティの領域で行われる場合、デフォルトでは、その CA APM ユーザの許可も EEM 領域で行われます。ただし、realms.xml 内の enableAuthorization フラグが
false
に設定されている場合、CA APM ユーザに対しては、CA EEM で認証が行われた後、CA EEM による許可ではなくローカル許可が使用されます。この場合、許可のアクセス ポリシーは、CA EEM によるセキュリティのユーザ グループのメンバであるこの CA APM ユーザのローカル領域に基づきます。たとえば、LDAP または SiteMinder で構成された CA EEM を認証に使用すると同時に、権限をローカル領域に維持する場合は、ローカル許可を使用することもできます。Introscope の場合、ローカル領域の権限は domains.xml および server.xml ファイルで定義します。
CA CEM の場合、ローカル領域のアクセス ポリシーはセキュリティ ユーザ グループのメンバシップに基づきます。
CA APM が CA EEM による認証の後にローカル許可を実行するには、CA EEM 内で APM のセキュリティ ユーザ グループにユーザを割り当てる必要があります。ただし、この場合、CA EEM 内でアクセス ポリシーを作成する必要はありません。
許可にローカルによるセキュリティを使用することは、以下を意味します。
- realms.xml 内の enableAuthorization フラグがfalseに設定されます。
- Introscope の場合、CA EEM 内にユーザとグループを作成し、domains.xml ファイルで権限を割り当てる必要があります。
- CA CEM の場合、CA EEM 内でユーザおよび 4 つのデフォルト セキュリティ グループすべてを作成する必要があります。たとえば、CA EEM 内で cemadmin ユーザと CEM システム管理者セキュリティ グループを作成します。次に、CEM システム管理者セキュリティ グループのメンバとして cemadmin を割り当てます。これによって、cemadmin に CEM システム管理者セキュリティ グループの権限を付与します。CA CEM の 4 つのデフォルト セキュリティ グループについては、「デフォルトの CA CEM のセキュリティ ユーザ グループに関連付けられるメニュー項目と権限」を参照してください。
以下の手順に従います。
- <EM_Home>/config ディレクトリの realms.xml ファイルを開きます。
- enableAuthorization プロパティをfalseに設定します。この値をfalseに設定した場合、CA EEM は認証だけを実行し、許可にはローカル セキュリティ領域を使用します。詳細については、「realms.xml での CA EEM による認証の構成」を参照してください。ローカル許可の詳細については、「ローカルによるセキュリティを使用した Introscope のセキュリティ保護」を参照してください。
- realms.xml ファイルを保存します。
- ドメイン権限を構成します。「domains.xml での Introscope ドメイン権限の構成」を参照してください。
- Enterprise Manager サーバ権限を構成します。「Enterprise Manager サーバ権限の構成」を参照してください。