Introscope のセキュリティ保護 › CA EEM による Introscope のセキュリティ保護 › CA EEM による許可の構成

CA EEM による許可の構成

許可領域として CA EEM を使用する場合は、APM アプリケーションおよび APM のユーザ、グループおよび権限で CA EEM サーバを構成する必要があります。 これには、以下のいずれかの方法を使用できます。

• CA EEM Safex ユーティリティ

  Safex は、CA EEM に付属するコマンド ライン インターフェース（CLI）ユーティリティです。 Safex は、XML スクリプトを実行して CA EEM にアプリケーションを登録し、ユーザとグループを作成します。

  CA APM では、デフォルトの APM グローバル ユーザ、リソース、および権限を使用して APM アプリケーションを作成する Safex のサンプル スクリプトを用意しています。
  また、Safex スクリプトを使用して CA EEM から XML ファイルにデータをエクスポートすることもできます。 詳細については、「CA Embedded Entitlements Manager Programming Guide」を参照してください。

• CA EEM インターフェース

  CA EEM インターフェースの使用については、「CA Embedded Entitlements Manager Getting Started Guide」および「CA Embedded Entitlements Manager Online Help」を参照してください。

  サンプルのデプロイについては、ナレッジ ベース（KB）の記事 TEC534188 「CA Wily APM security example: Setting up CA Wily APM users, groups, and resources in CA EEM」を参照してください。

CA EEM インターフェースにアクセスする方法

アクセス権がある場合は、CA EEM にログインして APM アプリケーションおよび APM のユーザ、グループおよび権限を設定することができます。

• CA EEM 内の APM アプリケーションにログインします。
  1. CA EEM ログイン ページで、APM または登録済みアプリケーションの名前を［アプリケーション］ドロップダウン リストでクリックします。
  2. ログイン名とパスワードを入力します。

  APM アプリケーションのデフォルト ログイン名は EiamAdmin です。

非 FIPS モードで APM-CA EEM 統合を設定する方法

注： EEM のインストール場所にある igateway.conf ファイルで <FIPSMode>OFF</FIPSMode> を使用して FIPS モードを OFF に設定して、非 FIPS モードで EEM サーバを設定します。 このファイルのデフォルトのインストール場所は、C:¥ProgramFiles¥CA¥SharedComponents¥iTechnology です。

1. eiam.config ファイルと eiam.log4j.config ファイルを設定します。
   • <EM install>¥config ディレクトリ内の eiam.config および eiam.log4j.config ファイルを開きます。
   • FIPS モードが OFF に設定され、<FIPSMode>OFF</FIPSMode> と表示されていることを確認します。 デフォルトのモードは OFF です。
2. ダイジェスト アルゴリズムを以下のいずれかのアルゴリズムに設定します。
   • MD5 （デフォルト）
   • SHA1
   • SHA256
   • SHA384
   • SHA512

   APM-EEM 統合が非 FIPS モードで設定されます。

FIPS モードで APM-CA EEM 統合を設定する方法

注： EEM のインストール場所にある igateway.conf ファイルで <FIPSMode>ON</FIPSMode> を使用して FIPS モードを ON に設定して、FIPS モードで EEM サーバを設定します。 このファイルのデフォルトのインストール場所は、C:¥Program Files¥CA¥SharedComponents¥iTechnology です。

1. eiam.config ファイルと eiam.log4j.config ファイルを設定します。
   • <EM install>¥config ディレクトリ内の eiam.config および eiam.log4j.config ファイルを開きます。
   • <FIPSMode>OFF</FIPSMode> を <FIPSMode>ON</FIPSMode> に変更することにより、FIPS モードを ON に設定します。
2. ダイジェスト アルゴリズムを以下のいずれかのアルゴリズムに設定します。
   • SHA1
   • SHA256
   • SHA384
   • SHA512

   APM-EEM 統合が FIPS モードで設定されます。

CA EEM による許可を構成する方法

重要： CA EEM を許可に使用する場合、Enterprise Manager は CA EEM 内の 1 つ以上のアプリケーションに接続する必要があります。 CA EEM では、権限を定義するアクセス ポリシーおよびリソース クラスを格納するためにアプリケーションを使用しています。

重要： CA EEM サーバを LDAP または SiteMinder などの外部ユーザ ディレクトリに接続すると、CA EEM 内でグローバル ユーザを作成または追加することができません。 認証のために、CA EEM サーバが LDAP サーバまたは SiteMinder サーバに統合されている場合は、CA EEM ではなく LDAP または SiteMinder 内でユーザとグループを設定します。あるいは、LDAP または SiteMinder 内でユーザとグループの CA EEM アクセス ポリシーを変更します。

重要： eem.register.app.xml スクリプトには、認証のために LDAP または SiteMinder を使用して構成された CA EEM を設定するためのサンプル コードが含まれません。

以下の手順に従います。

1. CA EEM による許可のための realms.xml ファイルを構成します。
   1. <EM_Home>/config ディレクトリの realms.xml ファイルを開きます。
   2. appname プロパティが、Enterprise Manager が CA EEM 内で接続している APM アプリケーションの名前に設定されていることを確認します。 たとえば、APM となります。

      以下の手順 2a で CA EEM サーバを構成するときに使用するものと同じアプリケーション名を使用します。

   3. enableAuthorization プロパティが True に設定されていることを確認します。
   4. realms.xml ファイルを保存します。
   5. Enterprise Manager を再起動して realms.xml への変更を適用します。
2. 1 つ以上の Safex スクリプトを作成、実行して、APM アプリケーション、グループ、ユーザ、リソース クラス、およびドメインとサーバのリソースをロードします。

   CA Technologies では、<EM_Home>/examples/authentication ディレクトリに、これらの Safex サンプル スクリプトを用意しています。

   eem.register.app.xml

   デフォルトの APM アプリケーションを登録します。

   eem.unregister.app.xml

   デフォルトの APM アプリケーションを登録解除します。

   eem.add.global.identities.xml

   デフォルトの APM グローバル ユーザを追加します。

   eem.remove.global.identities.xml

   デフォルトの APM ユーザを削除します。

   注： CA EEM による許可のデプロイを設定するためのベース スクリプトとして使用する eem.register.app.xml および eem.add.global.identities.xml に変更を加えることをお勧めします。 これらのスクリプトを実行すると、CA EEM による許可を設定するための要件が満たされます。

   1. Safex スクリプト内でこれらの CA EEM によるセキュリティのエレメントを構成します。
      • アプリケーション。 「CA EEM でのアプリケーションの登録」を参照してください。
      • グループ。 「CA EEM での APM グループの作成と削除」を参照してください。
      • ユーザ。 「CA EEM での APM ユーザの作成と削除」を参照してください。

      注： CA EEM は空のパスワードをサポートしません。したがって、CA EEM でユーザを作成するたびに、パスワードを指定する必要があります。

      • リソース クラス。 「CA EEM での APM リソース クラスの作成と削除」を参照してください。
      • ドメイン リソース権限。 「CA EEM での APM リソース クラスの作成と削除」を参照してください。
      • サーバ リソース権限。 「CA EEM APM サーバ リソース アクセス ポリシーの作成と削除」を参照してください。
   2. オプション： CA EEM 構成スクリプトのベースとして eem.register.app.xml ファイルを使用しない場合は、 CA EEM インターフェースを使用して、これらの条件が満たされるように CA EEM サーバを構成します。
   • ドメイン リソース クラスとサーバ リソース クラスの 2 つのリソース クラスを作成します。

     リソース クラスには、Introscope で利用可能な権限と一致するアクションのリストが含まれている必要があります。 たとえば、サーバ権限の場合、Introscope のアクションは、shutdown、publish_mib、および full です。 詳細については、「CA EEM APM ドメイン リソース アクセス ポリシーの作成と削除」および「CA EEM APM サーバ リソース アクセス ポリシーの作成と削除」を参照してください。

   • ポリシー セットを作成します。 ポリシーによって、リソース クラス、1 つ以上のアクション、1 つ以上の ID、およびゼロまたは 1 つ以上のリソースが定義されます。
     • リソースは特定のリソースの名前です（スーパードメインなど）。 リソースが指定されない場合、ポリシーはそのリソース クラスのすべてのインスタンスに適用されます。 サーバ リソース クラスはシングルトンなので、そのポリシーにリソースが含まれていてはいけません。
     • ID はグループの名前です。
   • アプリケーション固有のユーザ グループを指定するには、プレフィックス ug: を使用します。また、組織のデプロイ環境に応じて、グローバル ユーザ グループを指定するには、gug: を使用します。
3. <EEM_Server> ディレクトリに移動します。このディレクトリは通常、以下の場所にあります。

   C:¥Program Files¥CA¥SharedComponents¥iTechnology
   

4. コマンド プロンプトで、以下のコマンドを実行します。

   C:¥Program Files¥CA¥SharedComponents¥iTechnology¥safex.exe -h hostname -u username -p password -f <Safex スクリプト名>.xml
   

   たとえば、以下のようになります。

   C:¥Program Files¥CA¥SharedComponents¥iTechnology¥safex.exe -h hostname -u username -p password -f eem.register.app.xml
   

   スクリプトが実行され、定義した構成値が CA EEM にロードされます。

5. CA EEM にログインし、APM アプリケーション、グループ、ユーザ、リソース クラス、ドメインとサーバのリソース、および関連する権限を表示します。
   1. APM アプリケーションのリストを表示するには、［設定］タブをクリックします。
   2. APM グループおよびユーザを表示するには、［ID の管理］タブをクリックします。
   3. APM リソース クラスおよびドメインとサーバのリソースを表示するには、［アクセス ポリシーの管理］タブをクリックします。