
JP1/AJS3やJP1/IM2などのJP1製品で使用されるユーザーは「JP1ユーザー」ですが、任意のサーバに対してジョブやコマンドを実行する際には、対象のサーバ上の「OSユーザー」の権限が必要になります。
今回は、ジョブやコマンドを実行したいサーバ上でJP1ユーザーとOSユーザーを対応づける「ユーザーマッピング」の考え方をご紹介します。
JP1ユーザーとユーザーマッピングとは
改めて、JP1によりジョブやコマンドを実行する際に必要なユーザーと権限の考え方を説明します。JP1へのログインや、JP1の操作を行うには一部の製品を除き「JP1ユーザー」が必要です。このJP1ユーザーは、あくまでJP1の操作に関してのみ必要となるユーザーです。
では、サーバ上でJP1を通じてコマンドを実行する際には、コマンド実行はどのユーザーの権限で行われるのでしょう?それは、当然OSのユーザー権限です。
そのため、ジョブやコマンドを実行したいサーバ上で、JP1ユーザーと OSユーザーを対応づける必要があります。これを「ユーザーマッピング」といいます。
なお、ユーザーマッピングはジョブを実行するサーバやコマンド実行するサーバすべてで必須ですが、JP1ユーザーの認証を行う「認証サーバ」(※)については任意の1台のみで問題ありません。
※「認証サーバ」はJP1ユーザーのログイン時の認証や、操作権限の管理を行うためのサーバです。システム内の任意の1台を指定します。また、構成によっては予備として「セカンダリ認証サーバ」を設定することも可能です。
<ユーザーマッピングイメージ>
.png)
JP1ユーザーの作成、確認方法
JP1ユーザーは JP1/Baseで作成しますが、Windows版、UNIX/Linux版ともにインストール時に jp1adminというJP1ユーザーが作成されます。jp1adminはWindows版の場合はインストール時に指定したOSユーザー、
UNIX/Linux版の場合はOSの管理者ユーザーがマッピングされます。
デフォルトで作成されるjp1admin以外のJP1ユーザーを手動で作成する場合、「jpsadduser」コマンド、またはGUI(Windows版のみ)より作成できます。以下、JP1ユーザーの作成手順を記載します。
<Windowsの場合(GUI)>
1.スタート→[プログラム]→[JP1_Base]→[JP1_Base Setup]を起動しします。
2.[JP1/Base環境設定]画面よりJP1ユーザーの[追加]をクリックします。

3.表示された画面で、作成するJP1ユーザー名およびパスワードを入力し、[OK]をクリックします。

手順1.~3.をコマンドで実行する場合は下記の通りです。
<Windowsの場合(コマンド)>
> jbsadduser -p パスワード JP1ユーザー名
<UNIXの場合(コマンド)>
#/opt/jp1base/bin/jbsadduser -p パスワード JP1ユーザー名
実行例
>jbsadduser -p p@ssw0rd jp1user01
User Name = jp1user01
正常終了しました
4.[認証サーバ]タブで、作成したJP1ユーザーが登録されていることを確認します。

手順1.~4.をコマンドで実行する場合は下記の通りです。
<Windowsの場合(コマンド)>
> jbslistuser
<UNIXの場合(コマンド)>
#/opt/jp1base/bin/jbslistuser
実行例
>jbslistuser
jp1user account[0]:jp1admin
jp1user account[1]:jp1user01
コマンドのオプションを含む詳細については以下のマニュアルをご参照ください。
JP1 Version 12 JP1/Base 運用ガイド
15.コマンド
jbslistuser
jbsadduser
JP1ユーザーと業務グループの参照・操作制限について
本ブログでの詳細説明は省略しますが、JP1ではJP1各製品のJP1資源に対するアクセス権限および操作権限をJP1ユーザーごとに制限できます。
どのような操作、参照ができるかを「JP1権限レベル」で、グループ単位で権限を指定する場合は「JP1資源グループ」で定義します。
JP1権限レベルとJP1資源グループの詳細につきましては、下記マニュアルをご参照ください。
JP1 Version 12 JP1/Integrated Management 2 - Manager 導入・設計ガイド
4.1.4 業務グループの参照・操作制限の仕組み
7.4.3 業務グループの参照・操作権限
JP1 Version 12 JP1/Automatic Job Management System 3 導入ガイド
7.1.1 JP1/Baseのユーザー認証機能を使ったユーザー管理
JP1 Version 12 JP1/Automatic Job Management System 3 設計ガイド(業務設計編)
6.4.1 アクセス権限についての検討項目
※上記はJP1/IM2およびJP1/AJS3について記載しておりますが、JP1権限レベルはJP1ユーザーを使用する製品毎に設定があります。詳細については各製品のマニュアルをご参照ください。
ユーザーマッピングの設定、確認方法
作成したJP1ユーザーへのOSユーザーのマッピングはGUI(Windows版のみ)または「jbssetumap」コマンドにて行います。
Windowsの場合、事前にパスワード管理情報にOSユーザーとパスワードが登録してある必要があります。以下の手順で、JP1ユーザーにマッピングしたいOSユーザーを事前に登録してください。
<Windowsの場合(GUI)>
1. スタート→[プログラム]→[JP1_Base]→[JP1_Base Setup]を起動し、[ユーザーマッピング]タブを開き、パスワード管理の[設定]をクリックします。

2.パスワード管理の画面が表示されますので、[新規登録]をクリックします。

3.ユーザー名にOSのユーザー名を、パスワードにOSユーザーのパスワードを入力して[OK]をクリックします。

4.OSユーザー登録後、[ユーザーマッピング]タブにて[JP1ユーザー]の[追加]をクリックします。

5.表示された画面に、マッピングしたいJP1ユーザーと、JP1ユーザーがジョブやリモートコマンド(自動アクション)などの操作命令を出すサーバホストを設定します。サーバホストに「*」を指定すると、すべてのサーバホストからの操作が有効になります。

6.[OK]をクリックし、下記画面にてマッピングするOSユーザーを選択し、[追加]をクリックします。


7. [OK]をクリックし、マッピングしたJP1ユーザーが登録されていることを確認します。

<Windowsの場合(コマンド)>
「jbsumappass」コマンドにてOSユーザー名とパスワードをJP1/Baseに登録できます。
【形式】
jbsumappass [-h 論理ホスト名]
-u OSユーザー名
[-p パスワード]
実行例:OSユーザー「osuser01」、パスワード「passwd」を登録する場合
>jbsumappass -u OSユーザー名 -p パスワード
実行例
>jbsumappass -u osuser01 -p passwd
KAVA0735-I jbsumappass を起動しました.ユーザー名 = osuser01
KAVA0813-I osuser01 を登録しました
「jbssetumap」コマンドにてユーザーマッピングを行えます。
【形式】
jbssetumap [-h 論理ホスト名]
{-u JP1ユーザー名 | -ua}
{-sh サーバホスト名 | -sha}
-o OSユーザー名[,OSユーザー名...]
[-no]
実行例:サーバホスト名に「*」を指定する場合
>jbssetumap -u JP1ユーザー名 -sha -o OSユーザー名
実行例
>jbssetumap -u jp1user01 -sha -o osuser01
KAVA0667-I jbssetumap は起動されました. 論理ホスト名 = JP1_DEFAULT.
KAVA0791-I jbssetumap は正常に実行されました.
「jbsgetumap」コマンドにてマッピングしたJP1ユーザとOSユーザー情報を表示します。
【形式】
jbsgetumap [-h 論理ホスト名]
実行例
>jbsgetumap
jp1admin:*:administrator
jp1user01:*:osuser01
上記例では、
JP1ユーザー:jp1adminに、OSユーザー:administratorが、
JP1ユーザー:jp1user01に、OSユーザー:osuser01
というユーザーがマッピングされている状態となります。
<UNIXの場合>
「jbssetumap」コマンドにてユーザーマッピングを行えます。
【形式】
jbssetumap [-h 論理ホスト名]
{-u JP1ユーザー名 | -ua}
{-sh サーバホスト名 | -sha}
-o OSユーザー名[,OSユーザー名...]
[-no]
実行例:サーバホスト名に「*」を指定する場合
#/opt/jp1base/bin/jbssetumap -u JP1ユーザー名 -sha -o OSユーザー名
「jbsgetumap」コマンドにてマッピングしたJP1ユーザとOSユーザー情報を表示します。
実行例:物理ホストの場合
#/opt/jp1base/bin/jbsgetumap
jp1admin:*:root
jp1user01:*:osuser01
上記例では、
JP1ユーザー:jp1adminに、OSユーザー:rootが、
JP1ユーザー:jp1user01に、OSユーザー:osuser01
というユーザーがマッピングされている状態となります。
コマンドでのユーザーマッピングに関する操作や、コマンドのオプションを含む詳細については以下のマニュアルをご参照ください。
JP1 Version 12 JP1/Base 運用ガイド
8. ユーザー管理の設定
15. コマンド
jbssetumap
jbsgetumap
!JP1ユーザーへのOSユーザーマッピング時の注意事項!
JP1ユーザーに管理者権限のあるOSユーザーをマッピングすると、操作権限の設定に関係なく、すべてのJP1資源を操作できます。このため、JP1ユーザーに対してJP1資源に対する操作制御をしたい場合は、JP1ユーザーに「管理者権限以外の権限を持つOSユーザー」をマッピングしてください。
ただし、JP1/AJS3の環境設定パラメーター「ADMACLIMIT」が「yes」に設定されている場合、マッピングするOSユーザーに関係なく、JP1ユーザーに設定されたJP1権限レベルに従ってアクセス制限を行います。(ADMACLIMITのデフォルト値は「no」です)
詳細については前述した 6.4.1 アクセス権限についての検討項目 および下記マニュアルをご参照ください。
JP1 Version 12 JP1/Automatic Job Management System 3 構築ガイド
20.11.2 JP1/AJS3共通情報の環境設定パラメーターの詳細
(4) ADMACLIMIT
ユーザーマッピング時のその他注意事項
ユーザーマッピングの操作を行う際の注意事項をご紹介します。
●Windows環境でJP1/IM - Manager、JP1/IM2 - Managerからリモートコマンドや自動アクションを実行する場合、マッピングするOSユーザーにOSの下記権限が必要です。
「ローカル ログオン」
「サービスとしてログオン」
※OS権限は[ローカル セキュリティ ポリシー]から設定できます。
●Windows環境でJP1/AJS3のジョブを実行する場合やJP1/Baseでローカルアクションを実行する場合、マッピングするOSユーザにOSの下記権限が必要です。
「ローカル ログオン」
※OS権限は[ローカル セキュリティ ポリシー]から設定できます。
UAC機能有効時には下記権限も必要です。
「バッチジョブとしてログオン」
●JP1/AJS3からジョブを実行中にユーザーマッピングの設定を変更すると、ジョブがエラーとなることがあるため、ジョブ実行中はユーザーマッピングの設定変更を行わないでください。
●UNIX/Linux環境でJP1/AJS3からジョブを実行する場合、マッピングするOSユーザーのホームディレクトリは必ず作成してください。ホームディレクトリがない場合、ジョブ実行に失敗します。
●Windows環境でマッピングしたOSユーザーのパスワードを変更した場合、GUIまたはjbsumappassコマンドを実行し、JP1/Baseに登録されているOSユーザーのパスワードを再設定してください。
<GUIで行う場合>
1.スタート→[プログラム]→[JP1_Base]→[JP1_Base Setup]を起動し、[ユーザーマッピング]タブを開き、パスワード管理の[設定]をクリックします。

2. パスワード管理の画面が表示されますので、パスワードを変更したいOSユーザーを選択し、[パスワード変更]をクリックします。

3. 変更後のパスワードを入力し、[OK]をクリックします。

<Windowsの場合(コマンド)>
【形式】
jbsumappass [-h 論理ホスト名]
-u { OSユーザー名 | 情報検索用ユーザー名 }
[-p パスワード]
実行例:物理ホストの場合
>jbsumappass -u administrator -p p@ssw0rd!
KAVA0735-I jbsumappass を起動しました.ユーザー名 = administrator
KAVA0825-I administrator のパスワードを変更しました
※UNIX/Linux版の場合、OSパスワード変更時の対応は不要です。
まとめ
ユーザーマッピング関連の「KAVU4571-W エージェント(エージェントホスト名)でユーザーマッピング(JP1ユーザー名)に失敗しました」メッセージはJP1サポートセンターで1、2を争うよくあるお問い合わせの一つです。
こちらはユーザーマッピングしたOSユーザーのパスワードが変更されていなかったり、必要なOS権限が付与されていない場合等に出るものとなります。
本ブログにて、JP1ユーザーとユーザーマッピングについて、基本的な内容からよくお問い合わせいただく注意点などについてご紹介いたしました。JP1からジョブやコマンドを実行する際は、ユーザーマッピングされたOSユーザーで実行されますので、実行するジョブやコマンドで問題があった際はマッピングされたOSユーザーの観点でも一度御確認いただければと思います。
尚、サポートセンターではJP1ユーザーに関するFAQも含め、多くのFAQを揃えておりますので、併せて御確認いただければと思います。
製品正式名称(略称表記)
JP1/Automatic Job Management System 3 (JP1/AJS3)
JP1/Integrated Management - Manager (JP1/IM)
JP1/Integrated Management 2 - Manager (JP1/IM2)
JP1ブログをご覧いただいているみなさまへご案内
いつもJP1サポート技術者ブログをご覧いただきありがとうございます。
本ブログの執筆を担当しているアシストJP1サポートセンターは、「JP1認定技術者」の資格を持つサポート技術者の対応が支持され、お客様満足度は10年連続90%以上を維持しています。
紹介サイトでは、サポートセンターが誇る3つの特徴とJP1の最新情報満載の提供サービスを、お客様の声とともにご紹介しています。是非ご覧ください。
また、アシストとJP1保守契約を締結されている方は、Webサポートセンター「AWSC-2」をご利用いただけます。本ブログサイトではご紹介しきれない2,000件以上のFAQを公開していますので、是非ご利用ください。詳細は、下記リンクよりご確認ください。
ページトップへ戻る
この記事を書いたスタッフ
西尾 高治
西尾 高治

