目次ページに戻る

セットアップと管理

Dell OpenManage™ Server Administrator バージョン 5.1 ユーザーズガイド

  セキュリティ管理

  ユーザー特権の割り当て

   対応する Windows オペレーティングシステムでゲストアカウントと匿名アカウントを無効にする

  SNMP Agent の設定

  X.509 証明書管理の必要条件

  Red Hat Enterprise Linux オペレーティングシステムを実行中のシステムのファイアウォール設定

セキュリティ管理

Server Administrator は、ウェブベースのインタフェースとコマンドラインインタフェースの両方に対し、ロールベースのアクセス制御（RBAC）、認証、および暗号化を使ってセキュリティを提供します。

ロールベースのアクセス制御

RBAC では、特定の役割の人物によって実行できる操作を決定してセキュリティを管理します。 各ユーザーには 1 つまたは複数の役割が割り当てられ、各役割にはその役割のユーザーに許可される 1 つまたは複数のユーザー特権が割り当てられます。 RBAC では、セキュリティ管理は組織構造と密接に対応しています。

ユーザー特権

Server Administrator は割り当てられたユーザーのグループ特権に応じて、異なるアクセス権を与えます。 ユーザーには、 ユーザー、パワーユーザー、システム管理者の 3 つのレベルがあります。

ユーザーはほとんどの情報を表示できます。

パワーユーザーは警告しきい値の設定、警告またはエラーイベントが発生したときの警告処置を設定できます。

システム管理者はシャットダウン処理の設定と実行、システムでオペレーティングシステムが無応答の場合の自動回復処理の設定、ハードウェア、イベント、およびコマンドログのクリアなどを実行できます。 また、システム管理者は電子メールを送信するシステムも設定可能です。

Server Administrator は、ユーザー特権でログインしたユーザーには読み取り専用アクセス、パワーユーザー特権でログインしたユーザーには読み書きアクセス、システム管理者権限でログインしたユーザーには読み取り、書き込み、および管理アクセスを与えます。 表 3-1 を参照してください。

表 3-1 ユーザー特権 

読み取りアクセスを使用すると、Server Administrator によって報告されたデータを参照できます。 読み取りアクセスでは管理下システムの値を変更したり設定することはできません。

書き込みアクセスでは、管理下システムの値を変更または設定できます。

システム管理者によるアクセスでは管理下システムもシャットダウンできます。

Server Administrator サービスにアクセスするための特権レベル

表 3-2 は、Server Administrator サービスにアクセスして管理できるユーザーレベルをまとめたものです。

表 3-2 Server Administrator ユーザー特権レベル 

表 3-3 では、表 3-2 で使用したユーザー特権レベルの略語を定義します。

表 3-3 Server Administrator ユーザー特権レベルの凡例 

認証

Server Administrator 認証スキームは、正しいアクセスタイプが正しいユーザー特権に割り当てられていることを確認します。 さらに、コマンドラインインタフェース（CLI）を起動したとき、現在のプロセスが実行しているコンテキストを Server Administrator 認証スキームが検証します。 この認証スキームは、アクセス元が Server Administrator ホームページか CLI かを問わず、すべての Server Administrator 機能が正しく認証されていることを確認します。

Microsoft Windows 認証

対応する Microsoft® Windows® オペレーティングシステムでは、Server Administrator 認証に Integrated Windows Authentication（旧名称：NTLM）が使われます。 この認証システムによって、Server Administrator のセキュリティをネットワークの全体的なセキュリティスキームに組み込むことができます。

Red Hat® Enterprise Linux および SUSE® Linux Enterprise Server 認証

対応の Red Hat Enterprise Linux および SUSE Linux Enterprise Server オペレーティングシステムでは、Server Administrator 認証は PAM（Pluggable Authentication Modules）ライブラリに基づいています。 この文書化された関数ライブラリを使うと、管理者は個々のアプリケーションのユーザー認証方法を決定できます。

暗号化

管理下システムの身元を確認して保護するため、Server Administrator には SSL（Secure Socket Layer）技術を使用したセキュア HTTPS 接続を使ってアクセスします。 対応の Microsoft Windows、Red Hat Enterprise Linux、および SUSE Linux Enterprise Server オペレーティングシステムでは、ユーザーが Server Administrator ホームページにアクセスしたときにソケット接続を介して転送されるユーザー資格情報やその他の機密データを JSSE（Java Secure Socket Extension）を使用して保護します。

ユーザー特権の割り当て

重要なシステムコンポーネントのセキュリティを確保するには、Server Administrator をインストールする前に正しくユーザー特権を割り当てる必要があります。

以下の手順は、対応している各オペレーティングシステムに Server Administrator のユーザーを作成してユーザー特権を割り当てる方法を説明しています。

• 対応の Windows オペレーティングシステムでの Server Administrator ユーザーの作成
  
  
• 対応の Red Hat Enterprise Linux および SUSE Linux Enterprise Server オペレーティングシステムでの Server Aministrator ユーザーの作成
  
  

注意：重要なシステムコンポーネントのアクセスを保護するには、Server Administrator にアクセスできる各ユーザーアカウントにパスワードを割り当てる必要があります。 また、パスワードを割り当てられていないユーザーは、オペレーティングシステムの制約を受けるため、Windows Server™ 2003 を実行しているシステムで Server Administrator にログインすることはできません。

注意：重要なシステムコンポーネントへのアクセスを保護するには、対応している Microsoft Windows オペレーティングシステムのゲストアカウントを無効にする必要があります。 詳細については、「対応の Windows オペレーティングシステムでゲストアカウントと匿名アカウントを無効にする」を参照してください。

対応する Windows オペレーティングシステムでの Server Administrator ユーザーの作成

メモ：これらの手順を実行するには、管理者権限でログインしている必要があります。

対応する Windows Server 2003 オペレーティングシステムでのユーザーの作成とユーザー特権の割り当て

メモ：ユーザー作成とユーザーグループ特権の割り当てに関する質問や詳細については、オペレーティングシステムのマニュアルを参照してください。

1. スタート ボタンをクリックし、マイコンピュータ を右クリックして、管理 をポイントします。
   
   
2. コンソールツリーで ローカルユーザーとグループ を展開して、ユーザー をクリックします。
   
   
3. 処置 をクリックしてから 新しいユーザー をクリックします。
   
   
4. ダイアログボックスで適切な情報を入力し、チェックボックスを選択または選択解除して 作成 をクリックします。
   
   

注意：重要なシステムコンポーネントのアクセスを保護するには、Server Administrator にアクセスできる各ユーザーアカウントにパスワードを割り当てる必要があります。 また、パスワードを割り当てられていないユーザーは、オペレーティングシステムの制約を受けるため、Windows Server 2003 を実行しているシステムで Server Administrator にログインすることはできません。

5. コンソールツリーの ローカルユーザーとグループ で、グループ をクリックします。
   
   
6. 新しいユーザーを追加するグループを、 ユーザー、パワーユーザー、または 管理者 から選択します。
   
   
7. 動作 をクリックしてから プロパティ をクリックします。
   
   
8. 追加 をクリックします。
   
   
9. 追加しているユーザー名を入力し、名前の確認 をクリックして確認します。
   
   
10. OK をクリックします。
    
    

新しいユーザーは、Server Administrator に割り当てられたグループにユーザー特権でログインできるようになります。

対応する Windows 2000 オペレーティングシステムでのユーザーの作成とユーザー特権の割り当て

メモ：ユーザー作成とユーザーグループ特権の割り当てに関する質問や詳細については、オペレーティングシステムのマニュアルを参照してください。

1. マイコンピュータ を右クリックして 管理 をポイントします。
   
   
2. コンソールツリーで ローカルユーザーとグループ を展開して、ユーザー をクリックします。
   
   
3. 処置 をクリックしてから 新しいユーザー をクリックします。
   
   
4. ダイアログボックスで適切な情報を入力し、チェックボックスを選択または選択解除して 作成 をクリックします。
   
   

注意：重要なシステムコンポーネントのアクセスを保護するには、Server Administrator にアクセスできる各ユーザーアカウントにパスワードを割り当てる必要があります。 また、パスワードを割り当てられていないユーザーは、オペレーティングシステムの制約を受けるため、Windows Server 2003 を実行しているシステムで Server Administrator にログインすることはできません。

5. コンソールツリーの ローカルユーザーとグループ で、グループ をクリックします。
   
   
6. 新しいユーザーを追加するグループを、 ユーザー、パワーユーザー、または 管理者 から選択します。
   
   
7. 動作 をクリックしてから プロパティ をクリックします。
   
   
8. 追加 をクリックします。
   
   
9. 追加するユーザーの名前をクリックして、追加 をクリックします。
   
   
10. 名前の確認 をクリックして、追加するユーザー名を確認します。
    
    
11. OK をクリックします。
    
    

新しいユーザーは、Server Administrator に割り当てられたグループにユーザー特権でログインできるようになります。

ドメインへのユーザーの追加

メモ：ユーザー作成とユーザーグループ特権の割り当てに関する詳細については、オペレーティングシステムのマニュアルを参照してください。

メモ：以下の手順を実行するには、Microsoft® Active Directory® がシステムにインストールされている必要があります。

1. スタート ボタンをクリックし、コントロール パネル®管理ツール®Active Directory ユーザーとコンピュータ をポイントします。
   
   
2. コンソールツリーで、ユーザー または新しいユーザーを追加するコンテナを右クリックして、新規作成®ユーザー をポイントします。
   
   
3. ダイアログボックスに適切なユーザー名を入力して、次へ をクリックします。
   
   

注意：重要なシステムコンポーネントのアクセスを保護するには、Server Administrator にアクセスできる各ユーザーアカウントにパスワードを割り当てる必要があります。 また、パスワードを割り当てられていないユーザーは、オペレーティングシステムの制約を受けるため、Windows Server 2003 を実行しているシステムで Server Administrator にログインすることはできません。

4. 次へ をクリックして、完了 をクリックします。
   
   
5. 今作成したユーザーを表すアイコンをダブルクリックします。
   
   
6. 所属するグループ タブをクリックします。
   
   
7. 追加 をクリックします。
   
   
8. 適切なグループを選択して、追加 をクリックします。
   
   
9. OK をクリックしてから、再度 OK をクリックします。
   
   

新しいユーザーは、Server Administrator に割り当てられたグループとドメインにユーザー特権でログインできるようになります。

注意：Active Directory では、別のドメインからユニバーサルグループを追加する場合、ユニバーサルスコープで関連オブジェクトを作成する必要があります。 Dell Schema Extender Utility によって作成されたデフォルトの関連オブジェクトは、ドメインローカルグループであり、他のドメインからのユニバーサルグループとは連動しません。

対応の Red Hat Enterprise Linux および SUSE Linux Enterprise Server オペレーティングシステムでの Server Aministrator ユーザーの作成

管理者権限は、root でログインしているユーザーに割り当てられます。 ユーザー特権とパワーユーザー特権を持つユーザーを作成するには、以下の手順に従います。

メモ：これらの手順を実行するには、root でログインする必要があります。

メモ：これらの手順を実行するには、システムに useradd ユーティリティがインストールされている必要があります。

ユーザーの作成

メモ：ユーザー作成とユーザーグループ特権の割り当てに関する詳細については、オペレーティングシステムのマニュアルを参照してください。

ユーザー特権を持つユーザーの作成

1. コマンドラインから次のコマンドを実行します。
   
   

useradd -d <ホームディレクトリ> -g <グループ> <ユーザー名>

<グループ> は root ではありません。

メモ：<グループ> が存在しない場合は、groupadd コマンドを使ってグループを作成してください。

2. passwd <ユーザー名> を入力し、<Enter> を押します。
   
   
3. プロンプトで、新しいユーザーのパスワードを入力します。
   

注意：重要なシステムコンポーネントのアクセスを保護するには、Server Administrator にアクセスできる各ユーザーアカウントにパスワードを割り当てる必要があります。

新しいユーザーはユーザーというグループ特権を使って Server Administrator にログインできます。

パワーユーザー特権を持つユーザーの作成

1. コマンドラインから次のコマンドを実行します。
   
   

useradd -d <ホームディレクトリ> -g root <ユーザー名>

メモ：ルートをプライマリグループとして設定する必要があります。

2. passwd <ユーザー名> を入力し、<Enter> を押します。
   
   
3. プロンプトで、新しいユーザーのパスワードを入力します。
   

注意：重要なシステムコンポーネントのアクセスを保護するには、Server Administrator にアクセスできる各ユーザーアカウントにパスワードを割り当てる必要があります。

新規ユーザーはパワーユーザーというグループ特権を使って Server Administrator にログインできます。

対応する Windows オペレーティングシステムでゲストアカウントと匿名アカウントを無効にする

メモ：この手順を実行するには、管理者権限でログインする必要があります。

1. システムで Windows Server 2003 を実行している場合は、スタート ボタンをクリックし、マイコンピュータ を右クリックして 管理 をポイントします。 システムで Windows 2000 を実行している場合は、マイコンピュータ を右クリックし 管理 をポイントします。
   
   
2. コンソールツリーで ローカルユーザーとグループ を展開して、ユーザー をクリックします。
   
   
3. ゲスト または IUSR_システム名ユーザーアカウントをクリックします。
   
   
4. 処置 をクリックして、プロパティ をポイントします。
   
   
5. アカウントは無効 を選択して、OK をクリックします。
   
   

X が付いた赤い丸印がユーザー名の上に表示されます。 このアカウントが無効になります。

SNMP Agent の設定

Server Administrator は、対応するすべてのオペレーティングシステムで管理ネットワーク管理プロトコル（SNMP）システム管理規格をサポートしています。 SNMP サポートは、オペレーティングシステム、またオペレーティングシステムのインストール方法によってインストールされている場合とされていない場合があります。 ほとんどの場合、SNMP はオペレーティングシステムのインストールの過程でインストールされています。 SNMP などのインストールされている対応システム管理プロトコル規格は、Server Administrator をインストールする前に必要です。 詳細については、「インストール要件」を参照してください。

SNMP エージェントを設定すると、コミュニティ名を変更したり、Set 操作を有効にしたり、管理ステーションにトラップを送ることができます。 Dell OpenManage™ IT Assistant や Array Manager などの管理アプリケーションと正しく相互作用するように SNMP エージェントを設定するには、次項で説明する手順に従ってください。

メモ：IT Assistant で Server Administrator を実行中のシステムから管理情報を取得するには、IT Assistant で使用するコミュニティ名が Server Administrator を実行中のシステムのコミュニティ名と一致する必要があります。 IT Assistant で Server Administrator を実行しているシステムの情報を変更したり処置を実行するには、IT Assistant で使用するコミュニティ名が Server Administrator を実行中のシステムで Set 操作を許可するコミュニティ名と一致する必要があります。 IT Assistant で Server Administrator を実行中のシステムからトラップ（非同期イベント通知）を受け取るには、Server Administrator を実行中のシステムが IT Assistant を実行中のシステムにトラップを送信できるように設定する必要があります。

以下の手順は、対応している各オペレーティングシステムで SNMP エージェントを設定する方法を説明しています。

• 対応 Microsoft Windows オペレーティングシステム環境のシステムでの SNMP エージェントの設定
  
  
• 対応 Red Hat Linux オペレーティングシステム環境のシステムでの SNMP エージェントの設定
  
  
• 対応 SUSE Linux Enterprise Server オペレーティングシステム環境のシステムでの SNMP エージェントの設定
  
  

Microsoft Windows オペレーティングシステム環境のシステムでの SNMP エージェントの設定

Server Administrator は、Windows SNMP エージェントによって提供される SNMP サービスを使用します。 SNMP エージェントを設定すると、コミュニティ名を変更したり、Set 操作を有効にしたり、管理ステーションにトラップを送ることができます。 IT Assistant などの管理アプリケーションと正しく相互作用するように SNMP エージェントを設定するには、次項で説明する手順に従ってください。

メモ：SNMP 設定の詳細については、オペレーティングシステムのマニュアルを参照してください。

リモートホストによる SNMP アクセスを有効にする

Windows Server 2003 はデフォルトではリモートホストからの SNMP パケットを受け入れません。 Windows Server 2003 を実行しているシステムでリモートホストから SNMP 管理アプリケーションを使ってシステムを管理したい場合は、リモートホストから SNMP パケットを受け入れるように SNMP サービスを設定する必要があります。

Windows Server 2003 オペレーティングシステムを実行しているシステムでリモートホストから SNMP パケットを受け取れるようにするには、次の手順を実行してください。

1. スタート ボタンをクリックし、マイコンピュータ を右クリックして、管理 をポイントします。
   
   

コンピュータの管理 ウィンドウが表示されます。

2. 必要であればウィンドウの コンピュータの管理 アイコンを展開します。
   
   
3. サービスとアプリケーション アイコンを展開して、サービス をクリックします。
   
   
4. リストを下にスクロールして SNMP サービス を見つけ、SNMP サービス を右クリックして、プロパティ をクリックします。
   
   

SNMP サービスプロパティ ウィンドウが表示されます。

5. セキュリティ タブをクリックします。
   
   
6. 任意のホストから SNMP パケットを受け入れる を選択するか、リモートホストを これらのホストの SNMP パケットを受け入れる リストに追加します。
   
   

SNMP コミュニティ名の変更

SNMP コミュニティ名の設定によって、SNMP を使ってシステムを管理するシステムが決まります。 管理アプリケーションが Server Administrator から管理情報を取得するには、管理アプリケーションで使用される SNMP コミュニティ名が、Server Administrator システムで設定されている SNMP コミュニティ名と一致する必要があります。

1. システムで Windows Server 2003 を実行している場合は、スタート ボタンをクリックし、マイコンピュータ を右クリックして 管理 をポイントします。 システムで Windows 2000 を実行している場合は、マイコンピュータ を右クリックし 管理 をポイントします。
   
   

コンピュータの管理 ウィンドウが表示されます。

2. 必要であればウィンドウの コンピュータの管理 アイコンを展開します。
   
   
3. サービスとアプリケーション アイコンを展開して、サービス をクリックします。
   
   
4. リストを下にスクロールして SNMP サービス を見つけ、SNMP サービス を右クリックして、プロパティ をクリックします。
   
   

SNMP サービスプロパティ ウィンドウが表示されます。

5. セキュリティ タブをクリックして、コミュニティ名を追加または編集します。
   
   
   1. コミュニティ名を追加するには、受け付けるコミュニティ名 リストの 追加 をクリックします。
      
      

SNMP サービス構成 ウィンドウが表示されます。

2. システムを管理できるコミュニティ名（デフォルトは public）を コミュニティ名 テキストボックスに入力して、追加 をクリックします。
   
   

SNMP サービスプロパティ ウィンドウが表示されます。

3. コミュニティ名を変更するには、受け付けるコミュニティ名 リストのコミュニティ名を選択して、編集 をクリックします。
   
   

SNMP サービス構成 ウィンドウが表示されます。

4. コミュニティ名 テキストボックスで、システムを管理できるシステムのコミュニティ名を変更し、OK をクリックします。
   
   

SNMP サービスプロパティ ウィンドウが表示されます。

6. OK をクリックして変更を保存します。
   
   

SNMP Set 操作の有効化

IT Assistant を使って Server Administrator アトリビュートを変更するには、Server Administrator で SNMP Set 操作が有効になっている必要があります。

1. システムで Windows Server 2003 を実行している場合は、スタート ボタンをクリックし、マイコンピュータ を右クリックして 管理 をポイントします。 システムで Windows 2000 を実行している場合は、マイコンピュータ を右クリックし 管理 をポイントします。
   
   

コンピュータの管理 ウィンドウが表示されます。

2. 必要であればウィンドウの コンピュータの管理 アイコンを展開します。
   
   
3. サービスとアプリケーション アイコンを展開して、サービス をクリックします。
   
   
4. SNMP サービス が見つかるまでサービスのリストをスクロールし、SNMP サービス を右クリックして、プロパティ をクリックします。
   
   

SNMP サービスプロパティ ウィンドウが表示されます。

5. セキュリティ タブをクリックして，コミュニティのアクセス権を変更します。
   
   
6. 受け付けるコミュニティ名 リストでコミュニティ名を選択して、編集 をクリックします。
   
   

SNMP サービス構成 ウィンドウが表示されます。

7. コミュニティの権利 を 読み取り書き込み または 読み取り作成 に設定して、OK をクリックします。
   
   

SNMP サービスプロパティ ウィンドウが表示されます。

8. OK をクリックして変更を保存します。
   
   

SNMP トラップを管理ステーションに送信するシステム設定

Server Administrator は、センサーやその他のモニタパラメータの状態変化に応じて SNMP トラップを生成します。 SNMP トラップが Management Station に送信されるためには、Server Administrator のトラップ送信先を 1 つまたは複数設定する必要があります。

1. システムで Windows Server 2003 を実行している場合は、スタート ボタンをクリックし、マイコンピュータ を右クリックして 管理 をポイントします。 システムで Windows 2000 を実行している場合は、マイコンピュータ を右クリックし 管理 をポイントします。
   
   

コンピュータの管理 ウィンドウが表示されます。

2. 必要であればウィンドウの コンピュータの管理 アイコンを展開します。
   
   
3. サービスとアプリケーション アイコンを展開して、サービス をクリックします。
   
   
4. SNMP サービス が見つかるまでサービスのリストをスクロールし、SNMP サービス を右クリックして、プロパティ をクリックします。
   
   

SNMP サービスプロパティ ウィンドウが表示されます。

5. トラップ タブをクリックしてトラップのコミュニティを追加するか、トラップコミュニティのトラップ送信先を追加します。
   
   
   1. トラップのコミュニティを追加するには、コミュニティ名 ボックスにコミュニティ名を入力し、コミュニティ名 ボックスの横にある リストに追加 をクリックします。
      
      
   2. トラップコミュニティのトラップ送信先を追加するには、コミュニティ名 ドロップダウンボックスからコミュニティ名を選択して、トラップ送信先 ボックスの中の 追加 をクリックします。
      
      
   3. SNMP サービス構成 ウィンドウが表示されます。
      
      

トラップ送信先を入力して、追加 をクリックします。

SNMP サービスプロパティ ウィンドウが表示されます。

6. OK をクリックして変更を保存します。
   
   

対応 Red Hat Linux オペレーティングシステム環境のシステムでの SNMP エージェントの設定

Server Administrator は ucd-snmp または net-snmp SNMP エージェントによって提供された SNMP サービスを使用します。 SNMP エージェントを設定すると、コミュニティ名を変更したり、Set 操作を有効にしたり、管理ステーションにトラップを送ることができます。 IT Assistant などの管理アプリケーションと正しく相互作用するように SNMP エージェントを設定するには、次項で説明する手順に従ってください。

メモ：SNMP 設定の詳細については、オペレーティングシステムのマニュアルを参照してください。

SNMP エージェントのアクセス制御の設定

Server Administrator によって実装されている管理情報ベース（MIB）ブランチは、1.3.6.1.4.1.674 の OID で識別されます。 Server Administrator を実行しているシステムを管理するには、管理アプリケーションがこの MIB ツリーのブランチへのアクセス権を確保している必要があります。

Red Hat Enterprise Linux オペレーティングシステムの場合、デフォルトの SNMP エージェント設定では、MIB ツリーの MIB-II「システム」ブランチ（1.3.6.1.2.1.1 の OID で識別）にのみ「パブリック」コミュニティへの読み取り専用アクセスが与えられます。 この設定では、管理アプリケーションを使用して、Server Administrator や MIB-II 「システム」ブランチ外の他の Systems Management 情報を取得したり変更することはできません。

Server Administrator SNMP エージェントのインストール処置

インストール中に Server Administrator がデフォルトの SNMP 設定を検知すると、SNMP エージェント設定を変更して、「パブリック」コミュニティの MIB ツリー全体に読み取り専用アクセスを与えようとします。 Server Administrator は、/etc/snmp/snmpd.conf SNMP エージェント設定ファイルを 2 つの方法で変更します。

まず、次の行がない場合は、それを追加して MIB ツリー全体の表示を作成します。

view all included .1

次に、デフォルトの「アクセス」行を変更して、「パブリック」コミュニティの MIB ツリー全体に読み取り専用アクセス権を与えます。 Server Administrator は次の行を探します。

access notConfigGroup "" any noauth exact systemview none none

Server Administrator で上の行が見つかると、次のように変更されます。

access notConfigGroup "" any noauth exact all none none

デフォルト SNMP エージェント設定をこのように変更すると、「パブリック」コミュニティの MIB ツリー全体に読み取り専用アクセス権が与えられます。

メモ：Server Administrator が確実に SNMP エージェント設定を変更し、System Management データに正しくアクセスできるようにするには、Server Administrator のインストール後にその他の SNMP エージェント設定を変更することをお勧めします。

Server Administrator SNMP は、SNMP Multiplexing（SMUX）プロトコルを使った SNMP エージェントと通信を行います。 Server Administrator SNMP は SNMP エージェントに接続するとき、SNMP エージェントを SMUX ピアとして識別するオブジェクト識別子を SNMP エージェントに送信します。 オブジェクト識別子は SNMP エージェントとともに設定される必要があるため、Server Administrator はインストール中、SNMP エージェント設定ファイルに /etc/snmp/snmpd.conf が存在しない場合、これを追加します。

smuxpeer .1.3.6.1.4.1.674.10892.1

SNMP コミュニティ名の変更

SNMP コミュニティ名の設定によって、SNMP を使ってシステムを管理するシステムが決まります。 管理アプリケーションが Server Administrator から管理情報を取得するには、管理アプリケーションで使用される SNMP コミュニティ名が、Server Administrator システムで設定されている SNMP コミュニティ名と一致する必要があります。

Server Administrator を実行中のシステムから管理情報を取得するのに使う SNMP コミュニティ名を変更し、SNMP エージェント設定ファイル /etc/snmp/snmpd.conf を編集するには、次の手順を実行します。

1. 次の行を探します。
   
   

com2sec publicsec default public 

または

com2sec notConfigUser default public 

2. public の部分を SNMP コミュニティに置き換えてこの行を編集します。 編集後の行は次のようになります。
   
   

com2sec publicsec default コミュニティ名 

または

com2sec notConfigUser default コミュニティ名

3. SNMP 設定の変更を有効にするには、次のように入力して SNMP エージェントを再起動します。
   
   

service snmpd restart

SNMP Set 操作の有効化

IT Assistant を使って Server Administrator アトリビュートを変更するには、Server Administrator を実行しているシステムで SNMP Set 操作が有効になっている必要があります。

Server Administrator を実行中のシステムで SNMP Set 操作を有効にするには、SNMP エージェント設定ファイル、/etc/snmp/snmpd.conf を編集して、次の手順を実行します。

1. 次の行を探します。
   
   

access publicgroup "" any noauth exact all none none

または

access notConfigGroup "" any noauth exact all none none

2. 最初の none を all に置き換えて行を編集します。 編集後の行は次のようになります。
   
   

access publicgroup "" any noauth exact all all none

または

access notConfigGroup "" any noauth exact all all none

3. SNMP 設定の変更を有効にするには、次のように入力して SNMP エージェントを再起動します。
   
   

service snmpd restart

SNMP トラップを管理ステーションに送信するシステム設定

Server Administrator は、センサーやその他のモニタパラメータの状態変化に応じて SNMP トラップを生成します。 SNMP トラップが管理ステーションに送信されるためには、Server Administrator のトラップ送信先を 1 つまたは複数設定する必要があります。

Server Administrator を実行しているシステムで管理ステーションにトラップを送信するように設定するには、SNMP エージェント設定ファイル、 /etc/snmp/snmpd.conf を編集して次の手順を実行します。

1. 次の行をファイルに追加します。
   
   

trapsink IP アドレス コミュニティ名

「IP アドレス」は 管理ステーションの IP アドレスを、「コミュニティ名」 は、SNMP コミュニティ名を表します。

2. SNMP 設定の変更を有効にするには、次のように入力して SNMP エージェントを再起動します。
   
   

service snmpd restart

対応 SUSE Linux Enterprise Server オペレーティングシステム環境のシステムでの SNMP エージェントの設定

Server Administrator は ucd-snmp または net-snmp エージェントによって提供された SNMP サービスを使用します。 リモートホストから SNMP アクセスを有効にするための SNMP エージェントの設定、コミュニティ名の変更、セット操作の有効化、および管理ステーションへのトラップの送信が可能です。 IT Assistant などの管理アプリケーションと正しく相互作用するように SNMP エージェントを設定するには、次項で説明する手順に従ってください。

メモ：SUSE Linux Enterprise Server（バージョン 9）では、SNMP エージェントの設定ファイルは /etc/snmpd.conf に配置されています。 SUSE Linux Enterprise Server（バージョン 10）では、SNMP エージェントの設定ファイルは /etc/snmp/snmpd.conf に配置されています。

メモ：SNMP 設定の詳細については、オペレーティングシステムのマニュアルを参照してください。

Server Administrator SNMP インストール処置

Server Administrator SNMP は、SNMP Multiplexing（SMUX）プロトコルを使った SNMP エージェントと通信を行います。 Server Administrator SNMP は SNMP エージェントに接続するとき、SNMP エージェントを SMUX ピアとして識別するオブジェクト識別子を SNMP エージェントに送信します。 このオブジェクト識別子は SNMP エージェントとともに設定される必要があるため、Server Administrator はインストール中、SNMP エージェント設定ファイル（/etc/snmpd.conf または /etc/snmp/snmpd.conf）が存在しない場合、これを追加します。

smuxpeer .1.3.6.1.4.1.674.10892.1

リモートホストからのSNMP アクセスを有効にする

SUSE Linux Enterprise Server オペレーティングシステムのデフォルトの SNMP エージェント設定は、「パブリック」コミュニティに対してローカルホストからのみによる MIB ツリー全体へ読み取り専用のアクセスを与えます。 Server Administrator システムを正しく検知し、管理するために、この設定では他のホストで実行される IT Assistant などの SNMP 管理アプリケーションが許可されていません。 インストール中、Server Administrator がこの設定を検知すると、メッセージをオペレーティングシステムのログファイル /var/log/messages にログし、ローカルホストへの SNMP アクセスの制約を指示します。 リモートホストから SNMP 管理アプリケーションを使ってシステムを管理する場合は、リモートホストからの SNMP アクセスを有効にするために、SNMP エージェントを設定する必要があります。

メモ：セキュリティ上の理由から、SNMP のアクセスを可能な限り特定のリモートホストに制限することをお勧めします。

　特定のリモートホストから Server Administrator を実行中のシステムへの SNMP アクセスを有効にするには、SNMP エージェント設定ファイル /etc/snmpd.conf または /etc/snmp/snmpd.conf を編集し、次の手順を実行してください。

1. 次の行を探します。
   
   

rocommunity public 127.0.0.1

2. 127.0.0.1 をリモートホストの IP アドレスに書き換えてこの行を編集またはコピーします。 編集後の行は次のようになります。
   
   

rocommunity public IP_address

メモ：各リモートホストに対し rocommunity 指令を追加することにより複数の特定リモートホストからの SNMP アクセスを有効にできます。

3. SNMP 設定の変更を有効にするには、次のように入力して SNMP エージェントを再起動します。
   
   

/etc/init.d/snmpd restart

すべてリモートホストから Server Administrator を実行中のシステムへの SNMP アクセスを有効にするには、SNMP エージェント設定ファイル /etc/snmpd.conf または /etc/snmp/snmpd.conf を編集し、次の手順を実行してください。

1. 次の行を探します。
   
   

rocommunity public 127.0.0.1

2. 127.0.0.1 を削除してこの行を編集します。 編集後の行は次のようになります。
   
   

rocommunity public

3. SNMP 設定の変更を有効にするには、次のように入力して SNMP エージェントを再起動します。
   
   

/etc/init.d/snmpd restart

SNMP コミュニティ名の変更

SNMP コミュニティ名の設定によって、SNMP を使ってシステムを管理できる管理ステーションが決まります。 管理アプリケーションが Server Administrator から管理情報を取得するには、管理アプリケーションで使用される SNMP コミュニティ名が、Server Administrator システムで設定されている SNMP コミュニティ名と一致する必要があります。

Server Administrator を実行中のシステムから管理情報の取得に使うデフォルトの SNMP コミュニティ名を変更するには、SNMP エージェント設定ファイル /etc/snmpd.conf または /etc/snmp/snmpd.conf を編集し、次の手順を実行してください。

1. 次の行を探します。
   
   

rocommunity public 127.0.0.1

2. public の部分を SNMP コミュニティに置き換えてこの行を編集します。 編集後の行は次のようになります。
   
   

rocommunity community_name 127.0.0.1

3. SNMP 設定の変更を有効にするには、次のように入力して SNMP エージェントを再起動します。
   
   

/etc/init.d/snmpd restart

SNMP Set 操作の有効化

IT Assistant を使って Server Administrator アトリビュートを変更するには、Server Administrator を実行しているシステムで SNMP Set 操作が有効になっている必要があります。 IT Assistant からシステムのリモートシャットダウンを有効にするには、SNMP Set 操作が有効化されている必要があります。

メモ：管理機能を変更するためにシステムを再起動する場合、SNMP Set 操作は不要です。

Server Administrator を実行中のシステムにおいて SNMP Set 操作を有効にするには、SNMP エージェント設定ファイル /etc/snmpd.conf または /etc/snmp/snmpd.conf を編集し、次の手順を実行してください。

1. 次の行を探します。
   
   

rocommunity public 127.0.0.1

2. rocommunity を rwcommunity に置き換えてこの行を編集します。 編集後の行は次のようになります。
   
   

rwcommunity public 127.0.0.1

3. SNMP 設定の変更を有効にするには、次のように入力して SNMP エージェントを再起動します。
   
   

/etc/init.d/snmpd restart

SNMP トラップを管理ステーションに送信するシステム設定

Server Administrator は、センサーやその他のモニタパラメータの状態変化に応じて SNMP トラップを生成します。 SNMP トラップが管理ステーションに送信されるためには、Server Administrator のトラップ送信先を 1 つまたは複数設定する必要があります。

トラップを管理ステーションに送信できるよう Server Administrator を実行中のシステムを設定するには、SNMP エージェント設定ファイル /etc/snmpd.conf または /etc/snmp/snmpd.conf を編集し、次の手順を実行してください。

1. 次の行をファイルに追加します。
   
   

trapsink IP アドレス コミュニティ名

「IP アドレス」は 管理ステーションの IP アドレスを、「コミュニティ名」 は、SNMP コミュニティ名を表します。

2. SNMP 設定の変更を有効にするには、次のように入力して SNMP エージェントを再起動します。
   
   

/etc/init.d/snmpd restart

X.509 証明書管理の必要条件

リモートシステムの身元を確認して、リモートシステムとやり取り情報を他の人が閲覧または変更できないようにするには、Web 証明書が必要です。

この項では、対応している各オペレーティングシステムで、新規 X.509 証明書の生成、既存の X.509 証明書の再利用、証明機関（CA）からのルート証明書や証明書チェーンのインポートなどを確実に行うための管理必要条件について説明します。

X.509 証明書管理は、対応オペレーティングシステムに対して Server Administrator ホームページから提供されています。

Red Hat Enterprise Linux オペレーティングシステムを実行中のシステムのファイアウォール設定

Red Hat Enterprise Linux をインストールしているときにファイアウォールセキュリティを有効にすると、デフォルトではすべての外部ネットワークインタフェースが閉じます。 IT Assistant などの SNMP 管理アプリケーションを有効にして Server Administrator からの情報を検出して取得するには、少なくとも 1 つの外部ネットワークインタフェースの SNMP ポートが開いている必要があります。 Server Administrator によって外部ネットワークインタフェースの SNMP ポートがファイアウォールで開かれていないことが検出されたら、Server Administrator は警告メッセージを表示してメッセージをシステムログに記録します。

SNMP ポートを開くには、ファイアウォールを無効にし、ファイアウォールの外部ネットワークインタフェース全体を開くか、ファイアウォールで少なくとも 1 つの外部ネットワークインタフェースの SNMP ポートを開きます。 この処理は、Server Administrator が起動する前か後で行うことができます。

前に説明した方法のいずれかを使用して SNMP ポートを開くには、次の手順を実行します。

1. Red Hat Enterprise Linux コマンドプロンプトで setup と入力して <Enter> を押し、テキストモードセットアップユーティリティを起動します。
   
   

メモ：このコマンドは、オペレーティングシステムでデフォルトのインストールを実行した場合にのみ使用できます。

Choose a Tool（ツールの選択）メニューが表示されます。

2. 下矢印を使用して Firewall Configuration（ファイアウォール設定）を選択し、<Enter> を押します。
   
   

Firewall Configuration（ファイアウォール選択）画面が表示されます。

3. <Tab>を押して Security Level（セキュリティレベル）を選択してからスペースバーを押して希望のセキュリティレベルを選択します。 選択したセキュリティレベルにアスタリスクが付きます。
   
   

メモ：firewall security の詳細については、<F1> を押してください。 デフォルトの SNMPポート番号は 161 です。 X Window System グラフィカルユーザーインタフェースを使用している場合は、新しいバージョンの Red Hat Enterprise Linux では <F1> を押してもファイアウォールのセキュリティレベルに関する情報が表示されないことがあります。

1. ファイアウォールを無効にするには、No firewall（ファイアウォールなし）か Disabled（無効）を選択して手順 7 に進みます。
   
   
2. ネットワークインタフェース全体または SNMP ポートを開くには、High, Medium（高、中）または Enabled （有効） を選択して手順 4 に進みます。
   
   
4. <Tab> を押して Customize（カスタマイズ）へ移動し、<Enter>を押します。
   
   

Firewall Confguration - Customize（ファイアウォールの設定-カスタマイズ）画面が表示されます。

5. ネットワークインタフェース全体を開くか、すべてのネットワークインタフェースの SNMP ポートだけを開くかを選択します。
   
   
   1. ネットワークインタフェース全体を開くには、<タブ>を押して信頼できるデバイスの 1 つに進んでスペースバーを押します。 デバイス名の左側のボックスにアスタリスクが付いていたら、インタフェース全体が開くことを示します。
      
      
   2. すべてのネットワークインタフェースの SNMP ポートを開くには、<タブ> を押して Other ports（他のポート）に進んで snmp:udp と入力します。
      
      
6. <Tab> を押して OK を選択し、<Enter> を押します。
   
   

Firewall Configuration（ファイアウォール選択）画面が表示されます。

7. <Tab> を押して OK を選択し、<Enter> を押します。
   
   

Choose a Tool（ツールの選択）メニューが表示されます。

8. <Tab>押して Quit（解除）を選択し、<Enter> を押します。
   
   

目次ページに戻る