|
JP1/AJS3やJP1/IM2などのJP1製品で使用されるユーザーは「JP1ユーザー」ですが、任意のサーバに対してジョブやコマンドを実行する際には、対象のサーバ上の「OSユーザー」の権限が必要になります。
今回は、ジョブやコマンドを実行したいサーバ上でJP1ユーザーとOSユーザーを対応づける「ユーザーマッピング」の考え方をご紹介します。
改めて、JP1によりジョブやコマンドを実行する際に必要なユーザーと権限の考え方を説明します。JP1へのログインや、JP1の操作を行うには一部の製品を除き「JP1ユーザー」が必要です。このJP1ユーザーは、あくまでJP1の操作に関してのみ必要となるユーザーです。
では、サーバ上でJP1を通じてコマンドを実行する際には、コマンド実行はどのユーザーの権限で行われるのでしょう?それは、当然OSのユーザー権限です。
そのため、ジョブやコマンドを実行したいサーバ上で、JP1ユーザーと OSユーザーを対応づける必要があります。これを「ユーザーマッピング」といいます。
なお、ユーザーマッピングはジョブを実行するサーバやコマンド実行するサーバすべてで必須ですが、JP1ユーザーの認証を行う「認証サーバ」(※)については任意の1台のみで問題ありません。
<ユーザーマッピングイメージ>
|
JP1ユーザーは JP1/Baseで作成しますが、Windows版、UNIX/Linux版ともにインストール時に jp1adminというJP1ユーザーが作成されます。jp1adminはWindows版の場合はインストール時に指定したOSユーザー、
UNIX/Linux版の場合はOSの管理者ユーザーがマッピングされます。
デフォルトで作成されるjp1admin以外のJP1ユーザーを手動で作成する場合、「jpsadduser」コマンド、またはGUI(Windows版のみ)より作成できます。以下、JP1ユーザーの作成手順を記載します。
<Windowsの場合(GUI)>
1.スタート→[プログラム]→[JP1_Base]→[JP1_Base Setup]を起動しします。
2.[JP1/Base環境設定]画面よりJP1ユーザーの[追加]をクリックします。
|
3.表示された画面で、作成するJP1ユーザー名およびパスワードを入力し、[OK]をクリックします。
|
手順1.~3.をコマンドで実行する場合は下記の通りです。
> jbsadduser -p パスワード JP1ユーザー名
<UNIXの場合(コマンド)>
#/opt/jp1base/bin/jbsadduser -p パスワード JP1ユーザー名
>jbsadduser -p p@ssw0rd jp1user01
User Name = jp1user01
正常終了しました
4.[認証サーバ]タブで、作成したJP1ユーザーが登録されていることを確認します。
|
手順1.~4.をコマンドで実行する場合は下記の通りです。
<Windowsの場合(コマンド)>
> jbslistuser
<UNIXの場合(コマンド)>
#/opt/jp1base/bin/jbslistuser
>jbslistuser
jp1user account[0]:jp1admin
jp1user account[1]:jp1user01
コマンドのオプションを含む詳細については以下のマニュアルをご参照ください。
JP1 Version 12 JP1/Base 運用ガイド
15.コマンド
jbslistuser
jbsadduser
JP1 Version 12 JP1/Integrated Management 2 - Manager 導入・設計ガイド
4.1.4 業務グループの参照・操作制限の仕組み
7.4.3 業務グループの参照・操作権限
JP1 Version 12 JP1/Automatic Job Management System 3 導入ガイド
7.1.1 JP1/Baseのユーザー認証機能を使ったユーザー管理
JP1 Version 12 JP1/Automatic Job Management System 3 設計ガイド(業務設計編)
6.4.1 アクセス権限についての検討項目
※上記はJP1/IM2およびJP1/AJS3について記載しておりますが、JP1権限レベルはJP1ユーザーを使用する製品毎に設定があります。詳細については各製品のマニュアルをご参照ください。
作成したJP1ユーザーへのOSユーザーのマッピングはGUI(Windows版のみ)または「jbssetumap」コマンドにて行います。
<Windowsの場合(GUI)>
|
2.パスワード管理の画面が表示されますので、[新規登録]をクリックします。
|
3.ユーザー名にOSのユーザー名を、パスワードにOSユーザーのパスワードを入力して[OK]をクリックします。
|
4.OSユーザー登録後、[ユーザーマッピング]タブにて[JP1ユーザー]の[追加]をクリックします。
|
5.表示された画面に、マッピングしたいJP1ユーザーと、JP1ユーザーがジョブやリモートコマンド(自動アクション)などの操作命令を出すサーバホストを設定します。サーバホストに「*」を指定すると、すべてのサーバホストからの操作が有効になります。
|
6.[OK]をクリックし、下記画面にてマッピングするOSユーザーを選択し、[追加]をクリックします。
|
|
7. [OK]をクリックし、マッピングしたJP1ユーザーが登録されていることを確認します。
|
<Windowsの場合(コマンド)>
「jbssetumap」コマンドにてユーザーマッピングを行えます。
【形式】
jbssetumap [-h 論理ホスト名]
{-u JP1ユーザー名 | -ua}
{-sh サーバホスト名 | -sha}
-o OSユーザー名[,OSユーザー名...]
[-no]
実行例:サーバホスト名に「*」を指定する場合
>jbssetumap -u JP1ユーザー名 -sha -o OSユーザー名
>jbssetumap -u jp1user01 -sha -o osuser01
KAVA0667-I jbssetumap は起動されました. 論理ホスト名 = JP1_DEFAULT.
KAVA0791-I jbssetumap は正常に実行されました.
「jbsgetumap」コマンドにてマッピングしたJP1ユーザとOSユーザー情報を表示します。
【形式】
jbsgetumap [-h 論理ホスト名]
>jbsgetumap
jp1admin:*:administrator
jp1user01:*:osuser01
上記例では、
JP1ユーザー:jp1adminに、OSユーザー:administratorが、
JP1ユーザー:jp1user01に、OSユーザー:osuser01
というユーザーがマッピングされている状態となります。
<UNIXの場合>
「jbssetumap」コマンドにてユーザーマッピングを行えます。
【形式】
jbssetumap [-h 論理ホスト名]
{-u JP1ユーザー名 | -ua}
{-sh サーバホスト名 | -sha}
-o OSユーザー名[,OSユーザー名...]
[-no]
実行例:サーバホスト名に「*」を指定する場合
#/opt/jp1base/bin/jbssetumap -u JP1ユーザー名 -sha -o OSユーザー名
「jbsgetumap」コマンドにてマッピングしたJP1ユーザとOSユーザー情報を表示します。
#/opt/jp1base/bin/jbsgetumap
jp1admin:*:root
jp1user01:*:osuser01
上記例では、
JP1ユーザー:jp1adminに、OSユーザー:rootが、
JP1ユーザー:jp1user01に、OSユーザー:osuser01
というユーザーがマッピングされている状態となります。
コマンドでのユーザーマッピングに関する操作や、コマンドのオプションを含む詳細については以下のマニュアルをご参照ください。
JP1 Version 12 JP1/Base 運用ガイド
8. ユーザー管理の設定
15. コマンド
jbssetumap
jbsgetumap
!JP1ユーザーへのOSユーザーマッピング時の注意事項!
JP1ユーザーに管理者権限のあるOSユーザーをマッピングすると、操作権限の設定に関係なく、すべてのJP1資源を操作できます。このため、JP1ユーザーに対してJP1資源に対する操作制御をしたい場合は、JP1ユーザーに「管理者権限以外の権限を持つOSユーザー」をマッピングしてください。
ただし、JP1/AJS3の環境設定パラメーター「ADMACLIMIT」が「yes」に設定されている場合、マッピングするOSユーザーに関係なく、JP1ユーザーに設定されたJP1権限レベルに従ってアクセス制限を行います。(ADMACLIMITのデフォルト値は「no」です)
詳細については前述した 6.4.1 アクセス権限についての検討項目
および下記マニュアルをご参照ください。
JP1 Version 12 JP1/Automatic Job Management System 3 構築ガイド
20.11.2 JP1/AJS3共通情報の環境設定パラメーターの詳細
(4) ADMACLIMIT
ユーザーマッピングの操作を行う際の注意事項をご紹介します。
●Windows環境でJP1/IM - Manager、JP1/IM2 - Managerからリモートコマンドや自動アクションを
実行する場合、マッピングするOSユーザーにOSの下記権限が必要です。
「ローカル ログオン」
「サービスとしてログオン」
※OS権限は[ローカル セキュリティ ポリシー]から設定できます。
●Windows環境でJP1/AJS3のジョブを実行する場合やJP1/Baseでローカルアクションを実行する場合、
マッピングするOSユーザにOSの下記権限が必要です。
「ローカル ログオン」
※OS権限は[ローカル セキュリティ ポリシー]から設定できます。
UAC機能有効時には下記権限も必要です。
「バッチジョブとしてログオン」
●JP1/AJS3からジョブを実行中にユーザーマッピングの設定を変更すると、ジョブがエラーとなることが
あるため、ジョブ実行中はユーザーマッピングの設定変更を行わないでください。
●UNIX/Linux環境でJP1/AJS3からジョブを実行する場合、マッピングするOSユーザーのホーム
ディレクトリは必ず作成してください。ホームディレクトリがない場合、ジョブ実行に失敗します。
●Windows環境でマッピングしたOSユーザーのパスワードを変更した場合、GUIまたはjbsumappass
コマンドを実行し、JP1/Baseに登録されているOSユーザーのパスワードを再設定してください。
<GUIで行う場合>
1.スタート→[プログラム]→[JP1_Base]→[JP1_Base Setup]を起動し、[ユーザーマッピング]タブを
開き、パスワード管理の[設定]をクリックします。
|
2. パスワード管理の画面が表示されますので、パスワードを変更したいOSユーザーを選択し、
[パスワード変更]をクリックします。
|
3. 変更後のパスワードを入力し、[OK]をクリックします。
|
>jbsumappass -u administrator -p p@ssw0rd!
KAVA0735-I jbsumappass を起動しました.ユーザー名 = administrator
KAVA0825-I administrator のパスワードを変更しました
※UNIX/Linux版の場合、OSパスワード変更時の対応は不要です。
ユーザーマッピング関連の「KAVU4571-W エージェント(エージェントホスト名)でユーザーマッピング(JP1ユーザー名)に失敗しました」メッセージはJP1サポートセンターで1、2を争うよくあるお問い合わせの一つです。
こちらはユーザーマッピングしたOSユーザーのパスワードが変更されていなかったり、必要なOS権限が付与されていない場合等に出るものとなります。
本ブログにて、JP1ユーザーとユーザーマッピングについて、基本的な内容からよくお問い合わせいただく注意点などについてご紹介いたしました。JP1からジョブやコマンドを実行する際は、ユーザーマッピングされたOSユーザーで実行されますので、実行するジョブやコマンドで問題があった際はマッピングされたOSユーザーの観点でも一度御確認いただければと思います。
尚、サポートセンターではJP1ユーザーに関するFAQも含め、多くのFAQを揃えておりますので、併せて御確認いただければと思います。
製品正式名称(略称表記)
JP1/Automatic Job Management System 3 (JP1/AJS3)
JP1/Integrated Management - Manager (JP1/IM)
JP1/Integrated Management 2 - Manager (JP1/IM2)
2023年6月29日にリリースされたJP1の新バージョン「Version 13」の新機能一覧および、製品名も新たに大幅に機能拡張されたJP1/IM3の新機能についてご紹介します。
バージョン5から25年間サポートを行っているアシストJP1サポートセンターが、お客様にご満足いただくために心がけていることや、活動内容をご紹介します。