「JP1ユーザ設計で大事なコト - あしのあしあと」で書いた内容に、2点補足がある。
1. ジョブ実行制御コマンド使用時のユーザ設定
前回引用した次の部分について。
ジョブ実行制御のコマンドを使用してジョブを実行・操作する場合,コマンドを実行するOSユーザーと同名のJP1ユーザーを登録しておく必要があります。
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3S0531/AJSX0142.HTM
この部分だけではわからないのだが、jpqjobsubコマンドなどのジョブ実行制御コマンドを用いる場合には、次の絵のようにしなければならない。
ちょっと絵がわかりにくくなったのだが、左からエージェント、マネージャ(ホストM)、エージェント(ホストA)の3台のサーバがあって、次のような処理を行っている。
- 左のサーバで、点線枠内のjpqjobsubコマンドを(OSユーザ jpq_op で)実行
- まん中のサーバ*1で、権限の確認をし、ジョブをキューイング
- キューの接続先は右のサーバで、そこの「プログラムp1」を(OSユーザ batch_app で)実行
で、JP1ユーザに関して設定するのは次の内容。
2. 管理者権限のあるOSユーザのマッピング
前回引用した次の部分について。
JP1ユーザーに,管理者権限のあるOSユーザーをマッピングすると,操作権限の設定に関係なく,すべてのJP1資源を操作できます。このため,JP1ユーザーに対してJP1資源に対する操作制御をしたい場合は,JP1ユーザーに管理者権限以外の権限を持つOSユーザーをマッピングしてください。
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R7130/BASE0012.HTM
これは、認証サーバ上でのユーザマッピングの話みたいだ。認証サーバではないサーバ(上の絵で言えば、まん中以外のサーバ)では、root ユーザや Administrator ユーザとマッピングしたところで、JP1ユーザのアクセス制御はきちんと効く。なので、結論、次の3つを同時に満たそうとする場合のみ、色々と困ることになる可能性があるってこと。
- 認証サーバのOSがWindows
- 資源グループと権限設定により、JP1ユーザのアクセス制御を行いたい
- JP1ジョブ管理により、認証サーバのシステム管理系のジョブを実行したい
*1:認証サーバ。JP1ジョブ管理では、マネージャサーバ上に構築する。