InfoPrint Managerセキュリティーについて理解する
SMIT経由で管理する機能のInfoPrint Manager セキュリティーを使用すると、アクセス制御リスト (ACL) とInfoPrint Managerオブジェクトまたは操作を関連付けることで、印刷システムを保護できます。ACLには、操作の実行権限またはオブジェクトで権限を持つユーザーとグループが一覧表示されています。ACLは権限のタイプも参照します。
- 許可のタイプ
-
InfoPrint Managerでは、ユーザーは3つのレベルの読み取り、書き込み、削除の許可を与えることができます。レベルごとに、次のタイプのアクセスがあります。
- 読み取り
- ユーザーは操作を実行できます。サーバーとキューの場合は、ユーザーは属性を表示できます。サーバーやキューへのアクセスを制限すると、そのサーバーやキューに含まれるすべてのオブジェクトへのアクセスが、たとえオブジェクトが明示的に保護されていない場合でも、自動的に制限されます。宛先の場合は、ユーザーは属性を表示し、その宛先にジョブを実行依頼できます。
- 書き込み
- 全オブジェクトにユーザーは属性を表示または変更ができます。
- 削除
- 全オブジェクトにユーザーは属性を表示または変更ができ、オブジェクトを削除できます。
- FSTユーザーとグループ
-
InfoPrint ManagerがFSTモードで実行中のときは、印刷システムのセキュリティーを管理するためにFSTユーザーまたはFSTグループを追加することが必要です。
InfoPrint Managerが最初にインストールされるときには、デフォルトで acl_admin、admin、operという3つのグループが作成されます。InfoPrint Managerインストール中に許可ユーザーに選択されたユーザーはacl_adminグループに入れられます。セキュリティー特性の変更に必要なアクセス権を取得するには、ユーザーは acl_admin グループのメンバーでなければなりません。
adminグループのユーザーには、InfoPrint Managerオブジェクトの作成と削除、InfoPrint Managerオブジェクトに関連付けられたすべてのジョブのクリアなど、operグループのユーザーより多くのデフォルト権限があります。
- フェデレーション認証の概要
-
フェデレーション認証は、外部のIDプロバイダー (IdP) に依存することで、InfoPrint Manager WebマネージメントインターフェースおよびInfoPrint Manager Web アドミニストレーションインターフェースへの安全なアクセスをユーザーに付与する方法です。当社のシステム内でユーザー認証情報を個別に管理する代わりに、フェデレーション認証を使用すると、ユーザーは信頼できるサードパーティーサービスの既存のアカウントを使ってログインできます。
- 重要:
- InfoPrint Managerフェデレーション認証実装は、既存のFSTセキュリティーグループにマッピングされます。
- フェデレーション認証を使用可能にする場合は、FSTまたはLDAPのセキュリティーは以前と同様に機能し続けます。
- フェデレーション認証は、Web マネージメントインターフェースまたはWeb アドミニストレーションインターフェースでのみ使用できます。
- フェデレーション認証は、InfoPrint Manager Web アプリケーションでhttpsを有効にした場合にのみ機能します。
InfoPrint Managerは以下のフェデレーション認証サーバーをサポートしています。
- Active Directory フェデレーションサービス™ (AD FS)
- Common Approach to Identity Assurance (CAIA)
- Okta®
- フェデレーション認証グループをFSTグループにマッピングする
-
フェデレーション認証経由でログインする場合、フェデレーション認証サーバーがユーザーに渡すグループは、既存のInfoPrint Manager FST グループと一致する必要があります。これらのグループは、ユーザーがシステム内で持つアクセス権を特定します。
- LDAPセキュリティー概要
-
Lightweight Directory Access Protocol (LDAP)は分散ユーザーの安全な使用と管理を可能にするアプリケーションです。LDAP管理者は特定の権限を持つグループを作成します。
- 重要:
- InfoPrint ManagerのLDAP実装はFSTセキュリティーの拡張です。LDAPセキュリティーを使用可能にする場合は、FSTセキュリティーは以前と同様に機能し続けます。LDAPセキュリティーのみを使用するには、FSTセキュリティーをLDAPセキュリティーに変換するを参照してください。
- InfoPrint Manager サーバーとツールは、次のディレクトリーでIBMのlibidsldap.aライブラリーを検索します。
/opt/IBM/ldap/V6.X/lib64
。ここで、Xは1から9です。libidsldap.aライブラリーのバージョンが/opt/IBM/ldap/V6.3.1/lib64
のような別のパスにインストールされている場合は、InfoPrint ManagerのLDAP機能を設定する前に、(システム全体で)PD_LDAP_LIBRARY_PATH環境変数をlibidsldap.aのあるディレクトリーに設定してください。
InfoPrint ManagerはLDAP実装をサポートします。
- Active Directory
- IBM Tivoli Directory Server
- OpenLDAP
- NetIQ eDirectory 8.8 SP8 (Novell eDirectory)
LDAPシステムとの通信は、StartTLS暗号化またはSSL暗号化を使用すると、暗号化せずに実行できます。LDAPの実装によっては、柔軟性が実現されます。
LDAPセキュリティー機能を最大限に活用するために、InfoPrint Managerは簡易とダイジェストの2つの認証方法を許可します。また、LDAPシステムで匿名または認証済み検索を実行できます。認証済み検索を実行するには、InfoPrint ManagerにバインドDNと、LDAPシステムで検索を実行できるLDAPユーザーのパスワードを提供する必要があります。
クライアント側では、InfoPrint Managerは2つの認証方法をサポートします。
- LDAP (PAM)/Active Directoryシステム認証セッションで実行し、他の資格情報確認が実行されないかどうかをクライアントが決定します。LDAP(PAM)/Active
Directoryシステム認証セッションから取り込まれるLDAPユーザーは、InfoPrint Managerユーザー関連の属性に使用されます。
この方法を使用するクライアント:LDAPなしのInfoPrint Select、Java GUI、SAPクライアント、コマンドラインクライアント。
- クライアントはLDAP資格情報を要求し、そのLDAP視覚情報を使用してLDAPサーバーへの検証を行います。認証の後、クライアントはInfoPrint Managerユーザー関連属性のLDAPを使用します。
この方法を使用するクライアント:Web GUIとLDAPを使用したInfoPrint Select。
LDAP認証を使用しないクライアント:Submit Express、MVS Download、DPF Receiver、LPD、ホットフォルダーのコマンドラインクライアント。
- 注意:
-
デフォルトのWindowsログインは、LDAPをサポートせず、Active Directoryのみをサポートします。つまり、InfoPrint Select、CLC、JAVA GUI、SAPクライアントは、LDAPのActive Directory実装を使用している場合にのみ、WindowsでLDAP対応クライアントとして動作します。
-
InfoPrint Managerクライアントが認証でLDAPを使用する場合、次のInfoPrint Manager属性にはusername@computername情報の代わりにLDAPログイン属性が含まれます。
- user-name
- job-owner
- job-originator
- name-of-last-accessor
- results-profile
- LDAPユーザーとグループ
- InfoPrint ManagerがLDAPモードで実行中のときには、印刷システムのセキュリティーを管理するためにLDAPユーザーまたはLDAPグループを追加することが必要です。
LDAPユーザー/グループは、セキュリティー強化のため任意のFETグループに追加するか、直接ACLに追加できます。ユーザー/グループがInfoPrint Managerセキュリティーで定義されると、LDAP認証を使用したクライアントがLDAPシステムに対して検証されます。つまり、同じ名前の2つのユーザーがあります。1つはFSTセキュリティーを使用し、もう1つはLDAPセキュリティーを使用します。LDAPグループをIPMセキュリティーに追加する場合、LDAPシステムでグループメンバーシップのLDAPクライアントログインが確認されます。
- LDAPキャッシュメカニズム
- LDAPクエリ実行数を最小化するために、InfoPrint ManagerにはLDAPキャッシュメカニズムがあります。このキャッシュはコンピューター固有であり、ユーザー、グループ、LDAPログイン属性の情報があります。ユーザーが最初にInfoPrint Manager サーバーに接続するときには、サーバーがキャッシュに対してユーザー資格情報を確認します。ユーザーがキャッシュに存在する場合、サーバーはセキュリティー目的でローカル情報を使用します。ユーザーが存在しない場合、LDAPシステムが問い合わせられ、ユーザー情報が今後の使用のためキャッシュに保存されます。
キャッシュメカニズムの使用には2つの重要な利点があります。
- LDAP検索数が最小化されるため、InfoPrint Managerのパフォーマンスに影響しません。
- LDAP接続は機能を失わずに少し中断できます(ユーザーはシステムを操作できます)。
重要: LDAPキャッシュメカニズムを手動で有効にするには、/etc/rc.lcd
を編集します。- 注意:
- 複数のInfoPrint Manager サーバーがクリーンアップコマンドが実行されるシステムで開始する場合は、すべてのサーバーのキャッシュがクリアされます。
- サーバーが相互運用可能な場合は、クリーンアップコマンドがすべてのサーバーキャッシュをクリアします。
- FSTセキュリティーをLDAPセキュリティーに変換する
- FSTセキュリティーをLDAPのみのセキュリティーに変換するには、pd_adminとpd_operator の2つのLDAPグループを作成し、これらのグループをadminとoperのFSTグループにマッピングすることを推奨します。必要に応じて既存のLDAPグループを使用できます。pd_adminグループとpd_operatorグループは必要条件を十分に満たしています。これらの2つのグループのメンバーはシステムのすべての管理者タスクとオペレータータスクを実行できます。各グループに必要なアクセス権に応じて、別の権限を持つ他のLDAPグループを作成し、対応するInfoPrint Manager FSTグループまたは直接InfoPrint Manager ACLにマッピングする必要があります。LDAPグループを作成し、InfoPrint Managerセキュリティーシステムにマッピングすると、InfoPrint ManagerのLDAPセキュリティーを使用可能にします。FSTからLDAPへのセキュリティー変換の最後のステップは、FSTグループまたはInfoPrint Manager ACLからFSTユーザーを削除することです。この処理はFSTユーザーのアクセスをInfoPrint Managerオブジェクトに制限します。
- LDAPセキュリティーをFSTセキュリティーに変換する
- LDAPセキュリティーをFSTのみのセキュリティーに変換するには、FSTユーザー(username@hostnameの形式)をadminおよびoperのFSTグループに追加する必要があります。アクセスレベルを制限するには、特定のユーザーを直接InfoPrint Manager ACLに追加できます。すべてのFSTユーザーをInfoPrint Managerセキュリティーシステムに追加すると、InfoPrint ManagerのLDAPセキュリティーを無効にします。LDAPからFSTへの変換の最後のステップは、FSTグループまたはInfoPrint Manager ACLからLDAPユーザーまたはグループを削除することです。この処理はLDAPユーザーのアクセスをInfoPrint Managerオブジェクトに制限します。