Cisco CNS Network Registrar Web UI ガイド
グローバル管理
グローバル管理
発行日;2012/02/03 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

グローバル管理

グローバル管理者ロール

ロールの機能

ロールの制限事項

管理者の追加

管理者の編集

管理者の削除

グループの管理

ロールの管理

制約付きロールの追加

ホスト管理者ロールの管理

ゾーン制限のホスト管理者ロールへの割り当て

IP 制限のホスト管理者ロールへの割り当て

ホスト制限のホスト管理者ロールへの割り当て

管理者またはグループのホスト管理者ロールへの割り当て

ゾーン管理者ロールの管理

ゾーン管理者ロールに対するゾーン制限の管理

管理者およびグループのゾーン管理者ロールへの割り当て

非制約ロールの割り当て

ロールの削除

キーの管理

キー データの入力

ランダム キーの生成

アクセス コントロール リストの管理

サーバの管理

データベース変更ログの表示

CCM データベース変更ログおよび変更セットの表示

MCD データベース変更ログおよび変更セットの表示

データベース タスクの表示

CCM タスクの表示

MCD タスクの表示

グローバル管理

グローバル管理者ロールは、他の管理タスクを展開する出発点になるという点で、Cisco CNS Network Registrar の管理において大変重要な役割を果たします。グローバル管理者は、管理ロールとアクセス セキュリティをセットアップして、データベースの変更とデータベース タスクを監視します。こうした責任を負っているため、Network Registrar ネットワーク上でグローバル管理者の数を制限する必要があります。

この章では、グローバル管理者のロールと責任について説明します。取り上げる事項を 表 3-1 に示します。

 

表 3-1 グローバル管理の内容

項目
参照先

グローバル管理者ロール

「グローバル管理者ロール」

管理者の追加

「管理者の追加」

管理者グループ

「グループの管理」

ロール

「ロールの管理」

セキュリティ キー

「キーの管理」

Access control lists

「アクセス コントロール リストの管理」

サーバの管理

「サーバの管理」

データベースへの変更内容の表示

「データベース変更ログの表示」

データベース タスクの表示

「データベース タスクの表示」

グローバル管理者ロール

グローバル管理者は、Web UI のあらゆる状況を制御し、他のすべての管理者を管理します。グローバル管理者のはっきりしているタスク セットの 1 つは、精度の高い管理インフラストラクチャを構成することです。このロールは、Web UI にログインしたときにすべての Web UI 機能を選択して使用できるような、スーパーユーザ特権が自動的に割り当てられるということではありません。しかし、管理者のスーパーユーザ フラグを設定する権限があるため、グローバル管理者は一般にスーパーユーザ ロールとみなされています。

基本的な管理者の種類を 表 3-2 に示します。それぞれに読み取り専用のバリアントもあります。

 

表 3-2 基本的な管理者の種類

管理者の種類
説明

ccm-admin

グローバル管理者:Central Configuration Manager(CCM)データベースを担当します。このロールへのアクセスは制限する必要があります。

host-admin

ホスト管理者:少なくとも 1 つのゾーンのホストを担当します。

zone-admin

ゾーン管理者:少なくとも 1 つのゾーンとそのリソース レコードを担当します。

addrblock-admin

アドレス ブロック管理者:少なくとも 1 つのアドレス ブロックとサブネット、およびそのリースを担当します。

dhcp-admin

DHCP 管理者:DHCP サーバを担当して、スコープ、ポリシー、リースを定義します。

ロールの機能

グローバル管理者は、次の機能を実行できます。

管理者の作成と管理:管理者の追加とリストへの登録を行い、パスワードを設定し、各管理者の基本ロールと各管理者に適した制約を決定します。

グループの作成と管理:類似する機能を持つ管理者をまとめてグループを作成します。

ロールの作成と管理:制約付きロールを定義し、管理者またはグループに割り当てます。

システム アクセス セキュリティ キーの追加と管理:キーを定義することによってアクセス セキュリティを決定します。

ACL の追加と管理:一致リスト値を定義することによって ACL 経由のホスト アクセスを設定します。

サーバの制御:DNS、DHCP、および TFTP サーバをリロード、開始、停止します。

データベース変更内容の表示:CCM サーバ データベースおよび MCD サーバ データベースの変更ログ、変更セット、タスクを表示して、加えられた管理上の変更内容を監視します。

ロールの制限事項

グローバル管理者には、これ以上の制限事項はありません。

管理者の追加

Web UI であらかじめ定義されている管理者は、 admin アカウント 1 つだけです。グローバル管理者は、追加の管理者を作成して、それにホスト、ゾーン、アドレス空間、DHCP サーバ管理責任を割り当てられるようにし、しかも同時にアクセスを制限して管理をクラスタ化する必要があります。「ロールの管理」 でロールを定義する際に、管理者をグループのメンバーにして、そのロールにさらに制約を設定できます。

ページの開き方

Primary Navigation バーの Administration タブをクリックします。Secondary Navigation バーの Administrators タブをクリックします。List/Add Administrators ページが開きます(図 2-1 を参照)。

入力するデータ

List/Add Administrators ページで最初に表示されているのは admin ユーザです。これは、ユーザとライセンス キーの作成と編集を含む、Web UI、CLI、および GUI へのフル アクセスを備えるスーパーユーザです。複数のスーパーユーザを作成することができます。ただし、このアクセスは少数の管理者だけに制限しておきます。


注意 ccm-admin 特権を持つアカウント(スーパーユーザを含む)を削除する場合には、注意が必要です。そのアカウントをすべて削除してしまうと、Web UI、CLI、または GUI で新規ユーザを作成できなくなります。次に、他のアカウントをすべて削除してしまうと、どの Network Registrar ユーザ インターフェイスにもログインできなくなります。その場合には、TAC に連絡して回復の方法を問い合せる必要があります。

NRCMD カラムには、管理者が追加 CLI および GUI ユーザ インターフェイスに フル アクセスできるか、または 限定 アクセスできるかが示されています。フル アクセスでは、ユーザとライセンス キーの作成と編集ができ、およびゾーン、ホスト、DHCP 機能が利用できます。限定アクセスでは、ゾーン、ホスト、DHCP 機能だけが利用できます。このフィールドをブランクにしておくと、管理者は CLI にも GUI にもアクセスできません。

フル NRCMD:Web UI、CLI、GUI への ccm-admin zone-admin , host-admin 、および dhcp-admin アクセス権を持つ管理者にグループを割り当てることに相当します。

限定 NRCMD:Web UI、CLI、GUI への zone-admin host-admin 、および dhcp-admin アクセス権は持つが、 ccm-admin アクセス権は持たない管理者にグループを割り当てることに相当します。

管理者を追加するには、 表 3-3 に示すフィールドで入力または選択を行う必要があります。

 

表 3-3 List/Add Administrators ページのエントリ

エントリ
説明

Name

管理者の名前。大文字と小文字は区別されません。

Password

管理者のパスワード。大文字と小文字は区別されます。

Superuser

この管理者がすべての機能に制限を受けずにアクセスできるようにする場合には、チェックボックスをオンにします。この機能にはユーザとキーの管理が含まれます。

NRCMD

この管理者が、追加 CLI および GUI ユーザ インターフェイスにフル機能または限定機能でアクセスできるようにする場合に選択します。 フル アクセスは、グループに ccm-admin zone-admin host-admin 、および dhcp-admin 特権を割り当てることに相当します。 限定 アクセスは、グループに zone-admin host-admin 、および dhcp-admin 特権を割り当てることに相当します。 このフィールドをブランクにしておくと、管理者は CLI にも GUI にもアクセスできません。

Groups

管理者に対する定義済み管理者グループ。グループ名は、「グループの管理」 で作成します。ドロップダウン リストからグループ名を選択します。複数の名前を選択するには、ブラウザの複数選択機能を使用します。名前の選択を解除するには、ブラウザの選択解除機能を使用します。

Roles

管理者に対する定義済みロール。ロールは、「ロールの管理」 で作成します。ドロップダウン リストからロール名を選択します。複数の名前を選択するには、ブラウザの複数選択機能を使用します。名前の選択を解除するには、ブラウザの選択解除機能を使用します。

実行する処理

フィールドに入力した後、管理者を作成、編集、または削除して、その結果を確認できます。

Add Administrator をクリックして管理者を追加します。これで、管理者が入力フィールドの下にあるリストに表示されます。リストはアルファベット順になっています。

管理者を編集するには、リスト内の名前をクリックします。「管理者の編集」の項を参照してください。

管理者を削除するには、名前の左にある Delete アイコン( )をクリックします。「管理者の削除」 を参照してください。

追加を確認するには、データベース変更ログを表示します。「データベース変更ログの表示」 を参照してください。

管理者の編集

管理者のパスワード、スーパーユーザ特権と NRCMD 特権、およびグループとロールが編集できます。

ページの開き方

Primary Navigation バーの Administration タブをクリックします。Secondary Navigation バーの Administrators タブをクリックします。管理者の名前をクリックします。Edit Administrator ページが開きます(図 2-12 を参照)。

入力するデータ

管理者を編集するには、 表 3-4 に示されているフィールドを修正または再選択します。

 

表 3-4 Edit Administrator ページのエントリ

エントリ
説明

Name

管理者の名前。このフィールドは修正できません。

Password

管理者のパスワード。大文字と小文字は区別されます。

Superuser?

この管理者がすべての管理機能に制限を受けずにアクセスできるようにする場合に、このチェックボックスをオンにします。この機能にはユーザとキーの管理が含まれます。

NRCMD user?

この管理者が、追加 CLI および GUI ユーザ インターフェイスにフル機能または限定機能でアクセスできるようにする場合に選択します。フル アクセスは、グループに ccm-admin zone-admin host-admin 、および dhcp-admin 特権を割り当てることに相当します。限定アクセスは、グループに zone-admin host-admin 、および dhcp-admin 特権を割り当てることに相当します。 このフィールドをブランクにしておくと、管理者は CLI にも GUI にもアクセスできません。

Groups

管理者に対する定義済みグループ。特殊グループ名は、「グループの管理」 で作成します。ブラウザの単一選択または複数選択機能を使用して Available リスト内のグループ名を選択します。次に << を使用して Selected リストに移動します。すべてのグループを選択するには、移動する前に Select All をクリックします。管理者をグループから切り離すには、Selected リスト内の名前をクリックしてから、 >> をクリックして Available リストに移動します。

Roles

管理者に対する定義済みロール。特殊グループ名は、「ロールの管理」 で作成します。ブラウザの単一選択または複数選択機能を使用して Available リスト内のロール名を選択します。次に << を使用して Selected リストに移動します。すべてのロールを選択するには、移動する前に Select All をクリックします。管理者をグループから切り離すには、Selected リスト内の名前をクリックしてから、 >> をクリックして Available リストに移動します。

実行する処理

編集内容を実行するか、または取り消してから、変更内容を確認できます。

編集内容を実行するには、 Modify Administrator をクリックします。

編集内容を取り消すには、 Cancel をクリックします。

編集内容を確認するには、データベース変更ログを表示します。「データベース変更ログの表示」 を参照してください。

ページの下部にユーザの現在のロールが表示されます。この領域を展開して、ロールの詳細を確認します。

管理者の削除

セキュリティのため、または管理者の種類が使用されなくなった場合には、管理者を削除することが必要になる場合もあります。削除が実行される前に、確認ページに答える必要があります。

ページの開き方

Primary Navigation バーの Administration タブをクリックします。Secondary Navigation バーの Administrators タブをクリックします。List/Add Administrators ページが開きます(図 2-1 を参照)。

実行する処理

管理者の削除処理は、アクティブにしてから削除の確認をするという 2 ステップのプロセスです。

1. 管理者名の左にある Delete アイコン( )をクリックします。

2. Delete をクリックして削除を続けるか、または Cancel をクリックして削除を取り消します。

グループの管理

管理者グループの作成は、機能または地域に基づいて管理者ロールをカテゴリに分類する方法です。ロールの概要については、「ロールの概要」 を参照してくださ。グループの使用例の 1 つとして、すべてのロールをまとめて test-grp という名前のグループを作成し、そのグループをテスト領域の管理者すべてに割り当てて、同じロールを各管理者に別々に割り当てる必要がないようにする場合があげられます。 表 3-5 に Web UI の 2 つの定義済みグループを示します。

 

表 3-5 定義済み管理者グループ

グループ
説明

address-mgt-group

グループにまとめられた DHCP、アドレス ブロック、CCM 管理者

dns-mgt-group

グループにまとめられたホスト、ゾーン、CCM 管理者

それぞれのグループに名前と短い説明を加えることで、さらに多くのグループを追加できます。実際の管理者への関連付けは、管理者を作成した時点で発生します。関連付けがなければ、グループは名前でしか存在しません。

グループ名は、そのメンバーの意図されたロールを反映するように工夫して、そのグループ名が正しい管理者に定義できるようにしてください。グループには複数のロールを割り当てることができます。そのため、グローバル管理者が各ロールを別々に割り当てる必要がなくなります。

ページの開き方

Primary Navigation バーの Administration タブをクリックします。Secondary Navigation バーの
Groups
タブをクリックします。List/Add Administrator Groups ページが開きます(図 3-1 を参照)。

図 3-1 List/Add Administrator Groups ページ

 

入力するデータ

グループ名を入力する必要があり、 表 3-6 に示すフィールドを基にしてグループ名に説明を加えることができます。

 

表 3-6 List/Add Administrator Groups ページのエントリ

エントリ
説明

Name*

管理者グループの名前。必須項目です。

Description

管理者グループの簡単な説明。オプションです。

実行する処理

フィールドに入力した後、グループを作成、編集、または削除して、その結果を確認できます。

グループを作成するには、 Add Group をクリックします。グループがリストの一番下に追加されます。ページをリフレッシュする必要はありません。

グループを編集するには、リスト内の名前をクリックします。Edit Administrator Group ページが開きます(図 3-2 を参照)。List/Add Administrator Groups ページで入力したフィールドと同じフィールドを編集します。グループには必ず名前をつけ、しかもそれが固有の名前になるようにしてください。

さらに、このグループのロールを割り当てることもできます。Available フィールドから 1 つまたは複数のロールを選択して、Selected フィールドに移動します。

Modify Group をクリックして変更を送信するか、または Cancel をクリックして取り消し、List/Add Administrator Groups ページに戻ります。

図 3-2 Edit Administrator Group ページ

 

List/Add Administrator Groups ページのグループを削除するには、名前の左にある Delete アイコン( )をクリックします。Confirm Delete ページで削除を確認するか、または取り消します。

変更内容を確認するには、データベース変更ログを表示します。「データベース変更ログの表示」 を参照してください。

ロールの管理

Network Registrar は、基本ロールと制約付きロールを区別します。

「基本ロール」 は、定義済み管理ロール ccm-admin zone-admin host-admin addrblock-admin 、および dhcp-admin の 1 つです。これらはよく非制約ロールと呼ばれます。

「制約付きロール」 は、適用される制約で基本ロールをカスタマイズします。次の 2 つの基本ロールから制約付きロールを作成できます。

host-admin

zone-admin

非制約ホスト管理者は、ゾーン内のすべてのホストとスタティック IP アドレスに対して権限を持っています。非制約ゾーン管理者は、すべてのゾーンに対して権限を持っています。ホスト管理者が、ホストの限定された範囲に責任を負うようにすることもできます。そのために、制約付きロールを作成します。

制約付きロールの追加

制約付きロールを追加するには、次の処理を行う必要があります。

1. ロールの名前を追加し、2 つの基本ロールの 1 つ host-admin または zone-admin を選択します。

2. ロールに読み取り専用特権を持たせるかどうかを決めます。

3. 制約を追加します。

ホスト管理者ロールを特定のゾーン、IP アドレス、ホスト名に狭めることができます。

ゾーン管理者ロールを特定のゾーン(たとえばその所有者に基づいて)に狭めることができます。

グループと管理者をオプションでロールに割り当てることができます。しかし、通常は、グループまたは管理者を作成する場合に、ロールをグループまたは管理者に割り当てるという逆の処理を行います。

ページの開き方

Primary Navigation バーの Administration タブをクリックします。Secondary Navigation バーの Roles タブをクリックします。List/Add Administrator Roles ページが開きます(図 2-9 を参照)。

入力するデータ

ロール名を入力し、定義済み基本ロールのリストから host-admin または zone-admin のいずれかを選択する必要があります。作成したロールは、リストの一番下に表示されます。

実行する処理

フィールドに入力した後、ロールを作成、編集、または削除して、その結果を確認できます。

ロールを作成するには、 Add Role をクリックします。選択した基本ロールの Add Administrator Role ページが開きます。ベースにするロールは次のとおりです。

host-admin「ホスト管理者ロールの管理」 を参照してください。

zone-admin「ゾーン制限のホスト管理者ロールへの割り当て」 を参照してください。

制約を受けない基本ロール( dhcp-admin ccm-admin 、および addrblock-admin ):「非制約ロールの割り当て」 を参照してください。

ロールを編集するには、リスト内の名前をクリックします。選択した基本ロールの Edit Administrator Role ページが開きます。

ロールを削除するには、名前の左にある Delete アイコン( )をクリックします。Confirm Delete ページで削除を確認するか、または取り消します。

変更内容を確認するには、データベース変更ログを表示します。「データベース変更ログの表示」 を参照してください。

ホスト管理者ロールの管理

ホスト管理者は、次のような方法で制約を受けます。

ゾーンのリストによる(リストに挙げてあるゾーンの 1 つにあるホストだけが表示、追加、修正、または削除できます)

ホストに割り当てられる IP アドレス範囲による

ホスト名のパターンによる

ページの開き方


ステップ 1 Primary Navigation バーの Administration タブをクリックします。

ステップ 2 Secondary Navigation バーの Roles タブをクリックします。List/Add Administrator Roles ページが開きます。

ステップ 3 新規ロールを追加する場合は、そのロールに host-admin 基本ロールを割り当てます。

ステップ 4 新しいロールで Add Role をクリックするか、または既存のロールの名前をクリックして編集します。ロールを追加すると Add Host Administrator Role ページが開きます(図 3-3 を参照)。ロールを編集すると Edit Host Administrator Role ページが開きます。この 2 つのページには同じフィールドが含まれています。

図 3-3 Add/Edit Host Administrator Role ページ:General Information

 


 

入力するデータ

ページの General Information 領域には、 表 3-7 に示すフィールドが含まれています。

 

表 3-7 Add/Edit Host Administrator Role ページ:General Information のエントリ

エントリ
説明

Role Name

ロールの名前。このフィールドでロールの名前を修正できます。

Role Type

基本ロールであり、 host-admin であることが分かります。このフィールドは修正できません。ただし、Read Only Role ボックスをオンにすると、このロールに読み取り専用権限を与えることができます。


) 管理者を複数のホスト ロールに割り当て、そのうちの 1 つが読み取り専用になっている場合、読み取り専用機能が優先されます。


 

実行する処理

少なくとも、ホスト管理者ロールに対してゾーンのリストを割り当てる必要があります。割り当てを行わない場合、ロールはデフォルトで空のアクセス リストに設定されます。ホスト管理者は、ゾーンが割り当てられていない状態でログインすると、「Zone list empty」というメッセージが表示され、管理タスクを実行できません。ゾーン制限を割り当てるには、次の項を参照してください。

ゾーン制限のホスト管理者ロールへの割り当て

ホスト管理者ロールに対して、ゾーン制限を追加することも、まだ作成されていないものも含めてすべてのゾーンにアクセスできる All Zones を選択することもできます。特定のゾーンを割り当てるには、そのゾーンがすでに作成されている必要があります(「ゾーン管理」 を参照)。

ページの開き方


ステップ 1 Primary Navigation バーの Administration タブをクリックします。

ステップ 2 Secondary Navigation バーの Roles タブをクリックします。List/Add Administrator Roles ページが開きます。

ステップ 3 新規ロールを追加する場合は、そのロールに host-admin 基本ロールを割り当てます。

ステップ 4 新しいロールで Add Role をクリックするか、または既存のロールの名前をクリックして編集します。ロールを追加すると Add Host Administrator Role ページが開きます。ロールを編集すると Edit Host Administrator Role ページが開きます。

ステップ 5 General Information 領域のすぐ下の Zone Restrictions 領域までスクロールします(図 2-10 を参照)。


 

入力するデータ

ロールは、Selected リストに表示されているゾーンだけに制限されています。すべてのゾーン制限をバイパスする場合は、All Zones ボックスをオンにします。何も選択されていない場合は、ロールは実質的にディセーブルになり、ゾーン データにアクセスできません。

ゾーンを Selected リストに移動するには、Available リストで 1 つまたは複数のゾーンを選択し << をクリックして、Selected リストに移動します。希望するゾーン名が Available リストにない場合は、「ゾーン管理」の手順に従って追加します。

Selected リストに希望するゾーンが得られるまで、必要に応じてゾーンをリスト間で移動させます。たとえば、 exampleboston-hostadmin-role が example.com ゾーンと boston.example.com ゾーンの両方にあるアドレスを管理するようにするとします。Available リストで 2 つのゾーン名を選択し、 << をクリックして Selected リストに移動します。リストにあるゾーンをすべて移動するには、 Select All をクリックしてから << をクリックします。

実行する処理

これ以上ロールの制約を追加しない場合は、 Add Role または Edit Role をクリックします。または Cancel をクリックして取り消します。それ以外の場合は、次の項に進んでロールの IP 制限を追加します。

IP 制限のホスト管理者ロールへの割り当て

ホスト管理者ロールに対して IP アドレス制限を追加するには、ロールが管理できる IP アドレスの範囲を決めます。

ページの開き方


ステップ 1 Primary Navigation バーの Administration タブをクリックします。

ステップ 2 Secondary Navigation バーの Roles タブをクリックします。List/Add Administrator Roles ページが開きます。

ステップ 3 新規ロールを追加する場合は、そのロールに host-admin 基本ロールを割り当てます。

ステップ 4 新しいロールで Add Role をクリックするか、または既存のロールの名前をクリックして編集します。ロールを追加すると Add Host Administrator Role ページが開きます。ロールを編集すると Edit Host Administrator Role ページが開きます。

ステップ 5 ページの IP Restrictions 領域までスクロールします(図 2-11 を参照)。(ページのこの領域は縮小表示されている場合もあります。その場合には、 + 記号をクリックして展開します。)


 

入力するデータ

ロールは、Selected リストに表示されている IP アドレス範囲だけに制限されています。使用可能な IP 範囲を、まだ作成されていないものも含めてすべて受け入れる場合は、 All IPRanges ボックスをオンにします。何も選択されていない場合は、IP アドレスの割り当ては制約を受けません。

IP アドレス範囲がすでに Available リストにある場合は、1 つまたは複数のアドレス範囲を選択し、 << をクリックして Selected リストに移動します。IP 範囲がない場合は、「アドレス範囲の編集またはサブネットへの追加」の手順に従い、サブネット範囲を作成して追加します。Selected リストに希望するゾーンが得られるまで、必要に応じてアドレスをリスト間で移動させます。

たとえば、 range65-120-hostadmin-role に 192.168.50.65 ~ 192.168.50.120 というアドレス範囲を管理するようにするとします。Available リストでこの範囲をクリックし、 << をクリックして Selected リストに移動します。リストにある範囲を全部移動するには、 Select All をクリックしてから << をクリックします。

実行する処理

これ以上ロールの制約を追加しない場合は、 Add Role または Edit Role をクリックします。または Cancel をクリックして取り消します。それ以外の場合は、次の項に進んでホスト制約をロールに割り当てます。

ホスト制限のホスト管理者ロールへの割り当て

ホスト管理者ロールに対してホスト名制限を追加するには、ロールが管理できるホスト名の種類を決めます。

ページの開き方


ステップ 1 Primary Navigation バーの Administration タブをクリックします。

ステップ 2 Secondary Navigation バーの Roles タブをクリックします。List/Add Administrator Roles ページが開きます。

ステップ 3 新規ロールを追加する場合は、そのロールに host-admin 基本ロールを割り当てます。

ステップ 4 新しいロールで Add Role をクリックするか、または既存のロールの名前をクリックして編集します。ロールを追加すると Add Host Administrator Role ページが開きます。ロールを編集すると Edit Host Administrator Role ページが開きます。

ステップ 5 ページの Host Restrictions 領域までスクロールします(図 3-4 を参照)。(ページのこの領域は縮小表示されている場合もあります。その場合には、 + 記号をクリックして展開します。)

図 3-4 Add/Edit Host Administrator Role ページ:Host Restrictions

 


 

入力するデータ

Host Name Regular Expression フィールドには、管理するホスト名のワイルドカード表現を含めることができます。正規表現メタキャラクタ(ワイルドカード)構文は POSIX 1003.2 に基づくもので、 表 3-8 に示します。一致の場合、大文字と小文字は区別されますが、サーバは、ホスト名には大文字と小文字の区別がないものとみなします。

 

表 3-8 正規表現メタキャラクタ構文

メタキャラクタ
説明

( chars ) (丸カッコ)

カッコで囲まれた文字を 1 つのテキスト ブロック として扱います。ブロックを使用するグループ化の例については、バックスラッシュ( \ )の使用方法を参照してください。

. (ドット)

任意の 1 文字と一致します。たとえば、 host. は、 host1 のように host で始まり、1 文字の語尾で終わる名前と一致します。ドットを実際の文字として含めるには、 .*\.com のように \ を使用してエスケープします(バックスラッシュを参照)。

*(アスタリスク)

直前の文字またはブロックがない場合および 1 回以上ある場合と一致します。たとえば、 host1* は、 host host1 host11 host111 、などと一致します。

? (疑問符)

直前の文字またはブロックがない場合および 1 つある場合と一致します。たとえば、 host1? は、 host および host1 だけと一致します( * と比較してください)。

+ (プラス記号)

直前の文字またはブロックが 1 回以上ある場合と一致します。たとえば、 host1+ は、 host1 host11 host111 、などと一致しますが、 host とは一致しません( * と比較してください)。

[ chars ] (大カッコ)

大カッコ内に囲まれた文字(または文字の範囲)あるいはブロックと一致します。たとえば、 host[19]* は、 host host1 host19 host9199 、などと一致します。範囲文 [a-z] はすべての小文字と一致します。

[^ chars ] (大カッコに囲まれたカレット)

大カッコ内に囲まれた文字(または文字の範囲)あるいはブロックを一致から除外します。たとえば、 host[^0].* は、 host で始まる名前と一致しますが、直後にゼロが続く場合(つまり host0101 )は除外されます。

^ (カレット)

行の始まり。たとえば、 ^[^0-9].* は数字で始まっていない名前と一致します。

$ (ドル記号)

行の終わり。たとえば、 .*[^9]$ は末尾が 9 でない名前と一致します。

{ x , y } (中カッコ)

最後の文字またはブロックが x 回以上 y 回まである場合と一致する制限構文。たとえば、 host[123]{1,3} は、 host1 host11 、および host123 と一致します。

chars | chars

演算子の前または後のテキストと一致します。たとえば、 ([a-z] | [A-Z])+ は、任意の文字数の小文字または大文字の名前と一致します。

\ (バックスラッシュ
= エスケープ文字)

文字 ( ) [ ] . * ? + ^ 、および $ は特殊記号なので、バックスラッシュ(これも特殊記号)を使用してそれぞれエスケープする必要があります。たとえば、 host(\([1-999]\))?\\?[a-z]? は、 host(1) から host(999)\z までと一致します。

実行する処理

現時点でロールを管理者またはグループに割り当てない場合は、 Add Role または Edit Role をクリックします。または Cancel をクリックして取り消します。それ以外の場合は、次の項に進んで管理者またはグループをロールに割り当てます。

管理者またはグループのホスト管理者ロールへの割り当て

Edit Host Administrator Role ページの Admins and Groups 部は、管理者またはグループをロールに割り当てるためのものです。

ページの開き方


ステップ 1 Primary Navigation バーの Administration タブをクリックします。

ステップ 2 Secondary Navigation バーの Roles タブをクリックします。List/Add Administrator Roles ページが開きます。

ステップ 3 新規ロールを追加する場合は、そのロールに host-admin 基本ロールを割り当てます。

ステップ 4 新しいロールで Add Role をクリックするか、または既存のロールの名前をクリックして編集します。ロールを追加すると Add Host Administrator Role ページが開きます。ロールを編集すると Edit Host Administrator Role ページが開きます。

ステップ 5 ページの Admins and Groups 領域までスクロールします(図 3-5 を参照)。ページのこの領域は縮小表示されている場合もあります。その場合には、 + 記号をクリックして展開します。

図 3-5 Add/Edit Host Administrator Role ページ:Admins and Groups

 

入力するデータ

このページには、 表 3-9 に示すフィールドが含まれています。

 

表 3-9 Add/Edit Host Administrator Role ページ:Admins and Groups のエントリ

エントリ
説明

Administrators

このロールに割り当てる必要のある管理者。Available リストで定義済み管理者のドロップダウン リストから選択し、適切なボタンをクリックしてその名前を Selected リストに移動します。Selected リストに希望どおりの管理者名が含まれるまで、必要に応じて項目を行き来させます。

たとえば、 exampleboston-hostadmin-role example-zone-admin および
example-host-admin に適用するようにします。両方の名前を複数選択し、 << をクリックして Selected リストに移動します(しかし、グループを使用してこれらの複数の管理者エントリを処理することもできます。Groups フィールドの説明を参照してください)。

Groups

管理者がグループにまとめられている場合は、これらのグループの 1 つまたは複数をこのロールに割り当てることができます。Available リストから希望する定義済みグループを選択して、Selected リストに移動します。Selected リストに希望どおりのグループ名が含まれるまで、必要に応じて項目を移動させます。

前のフィールドの説明にある例を拡張するために、 example-host-admin および example-zone-admin という管理者の両方をロールに割り当てる代わりに、両方の管理者を含む example-group というグループを作成して、後で他の管理者をそのグループに追加できるようにすることもできます。Available リストで example-group をクリックし、 << をクリックして Selected リストに移動します。

実行する処理

Add/Edit Host Administrator Role ページの情報の入力を終えたら、 Add Role Edit Role をクリックします。または Cancel をクリックして取り消します。List/Add Administrator Roles ページに戻ります。

ゾーン管理者ロールの管理

新しいゾーン管理者ロールを作成すると、これにさらに制約を設定できます。ゾーン管理者には、ゾーンまたは所有者のリストによって制約を課すことができます。次のガイドラインが適用されます。

ゾーンによって制約を受ける場合、ゾーン管理者はゾーンまたはゾーン テンプレートを追加できません。

所有者によって制約を受ける場合、ゾーンの作成に使用されたゾーン テンプレートが有効な所有者に所有されている場合に限り、ゾーン管理者はゾーンを追加できます。

制約を受けるゾーン管理者は、セカンダリ サーバを修正、追加、または削除することができません。

ページの開き方


ステップ 1 Primary Navigation バーの Administration タブをクリックします。

ステップ 2 Secondary Navigation バーの Roles タブをクリックします。List/Add Administrator Roles ページが開きます。

ステップ 3 新規ロールを追加する場合は、このロールに zone-admin 基本ロールを割り当てます。

ステップ 4 新しいロールで Add Role をクリックするか、または既存のロールの名前をクリックして編集します。ロールを追加すると Add Zone Administrator Role ページが開きます(図 3-6 を参照)。ロールを編集すると Edit Zone Administrator Role ページが開きます。この 2 つのページには同じフィールドが含まれています。

図 3-6 Add/Edit Zone Administrator Role ページ:General Information

 


 

入力するデータ

このページの General Information 領域には、 表 3-10 に示すフィールドが含まれています。

 

表 3-10 Add/Edit Zone Administrator Role ページ:General Information のエントリ

エントリ
説明

Role Name

ロールの名前。このフィールドでロールの名前を修正できます。

Role Type

基本ロールであり、 zone-admin であることが分かります。このフィールドは修正できません。しかし、Read Only Role ボックスをオンにすると、読み取り専用権限を指定できます。


) 管理者を複数のゾーン ロールに割り当て、そのうちの 1 つが読み取り専用になっている場合、読み取り専用機能が優先されます。


 

実行する処理

少なくとも、ロールに対してゾーンまたは所有者のリストを割り当てる必要があります。割り当てを行わないと、ロールはデフォルトで空のアクセス リストに設定されます。ゾーン管理者は、ゾーンも所有者も割り当てられていない状態でログインすると、空のゾーン リストが表示され、新規ゾーンを追加できません。ゾーン制約を追加するには、次の項を参照してください。

ゾーン管理者ロールに対するゾーン制限の管理

ゾーン管理者ロールに対してゾーンまたは所有者制限を追加するか、またはすべてのゾーンまたはすべての所有者を選択できます。ゾーン制限は、次の基準に基づいて行うことができます。

ゾーン名の正規表現

定義済みのゾーンまたはその所有者

ページの開き方


ステップ 1 Primary Navigation バーの Administration タブをクリックします。

ステップ 2 Secondary Navigation バーの Roles タブをクリックします。List/Add Administrator Roles ページが開きます。

ステップ 3 新規ロールを追加する場合は、そのロールに zone-admin 基本ロールを割り当てます。

ステップ 4 新しいロールで Add Role をクリックするか、または既存のロールの名前をクリックして編集します。ロールを追加すると Add Zone Administrator Role ページが開きます。ロールを編集すると Edit Zone Administrator Role ページが開きます。この 2 つのページには同じフィールドが含まれています。

ステップ 5 ページの Zone Restrictions 領域までスクロールします(図 3-7 を参照)。

図 3-7 Add/Edit Host Administrator Role ページ:Zone Restrictions

 


 

入力するデータ

このページの Zone Restrictions 領域の 3 つの部分は、ゾーン名正規表現によって、または既存のゾーンあるいはゾーン所有者によってゾーンを制限できることを示しています。ゾーンまたは所有者によって制限できますが、その両方で制限することはできません。 表 3-11 図 3-7 のフィールドを示します。

 

表 3-11 Add/Edit Host Administrator Role ページ:Zone Restrictions のエントリ

エントリ
説明

Zone Name Regular Expression

ワイルドカードを含む名前文字列を入力して、ゾーン名の種類が管理者に見分けられるようにします。たとえば、名前に文字列 example を含むゾーンすべてを管理するためには、 .*example.* という文字列を入力します。正規表現の構文については、表 3-8 を参照してください。一致の場合、大文字と小文字は区別されますが、サーバは、ゾーン名に大文字と小文字の区別がないものとみなします。

Edit Owners

ロールがゾーン所有者を編集できるようにする場合は、このボックスをオンにします。このボックスがオフの場合、ロールは所有者を編集できません。「ゾーン所有者の管理」 を参照してください。

Access Secondary Zones

ロールがセカンダリ ゾーンにアクセスできるようにする場合は、このボックスをオンにします。このボックスがオフの場合、ロールはセカンダリ ゾーンにアクセスできません。「セカンダリ ゾーンの管理」 を参照してください。

Access Reverse Zones

ロールが逆ゾーンにアクセスできるようにする場合は、このボックスをオンにします。このボックスがオフの場合、ロールは逆ゾーンにアクセスできません。「逆ゾーンの管理」 を参照してください。

By Zones

ロールを特定のゾーンに制限する場合は、このボックスをオンにします。このボックスをオンにすると、By Owner ボックスは同時にオンにできません。

ゾーン名がすでに Available リストにある場合は、1 つまたは複数のゾーン名を選択し、 << をクリックして Selected リストに移動します。ゾーン名がない場合は、「ゾーンの管理」 の手順に従って追加します。Selected リストに希望どおりのゾーンが得られるまで、必要に応じてゾーンをリスト間で行き来させます。

すべてのゾーン制限をバイパスするには、All Zones ボックスをオンにします。たとえば、 exampleboston-role が example.com ゾーンと
boston.example.com ゾーン、さらに新規作成されたゾーンを管理するようにする場合です。

By Owner

ロールを特定の所有者に所有されているゾーンに制限する場合は、このボックスをオンにします。このボックスをオンにすると、同時に By Zones ボックスもオンにすることはできません。

ゾーン所有者がすでに Available リストにある場合は、1 つまたは複数のゾーン所有者を選択し、 << をクリックして Selected リストに移動します。ゾーン所有者がない場合は、「ゾーン所有者の管理」 の手順に従って追加します。Selected リストに希望どおりのゾーン所有者が得られるまで、必要に応じてゾーン所有者をリスト間で行き来させます。すべてのゾーン所有者制限をバイパスするには、All Owners ボックスをオンにします。

実行する処理

現時点でロールを管理者またはグループに割り当てない場合は、 Add Role または Edit Role をクリックします。または Cancel をクリックして取り消します。それ以外の場合は、次の項を参照して管理者とグループをロールに割り当てます。

管理者およびグループのゾーン管理者ロールへの割り当て

Add/Edit Zone Administrator Role ページの Admins and Groups 領域は、管理者とグループにロールを割り当てるためのものです(この領域は Add/Edit Host Administrator Role ページの Admins and Groups 領域と同じです。図 3-5 を参照してください)。

入力するデータ

このページの Admins and Groups 領域には、 表 3-12 に示すフィールドが含まれています。

 

表 3-12 Add/Edit Zone Administrator Role ページ:Admins and Groups のエントリ

エントリ
説明

Administrators

このロールに割り当てる必要のある管理者。Available リストで定義済み管理者のドロップダウン リストから選択し、適切なボタンをクリックして Selected リストに移動します。Selected リストに希望どおりの管理者名が含まれるまで、必要に応じて項目を行き来させます。

たとえば、 exampleboston-role example-host-admin および example-zone-admin に適用するようにします。両方の名前を複数選択し、 << をクリックして Selected リストに移動します(しかし、グループを使用してこれらの複数の管理者エントリを処理することもできます。この表の Groups フィールドの説明を参照してください。)

Groups

管理者がグループにまとめられている場合は、これらのグループの 1 つまたは複数をこのロールに割り当てることができます。Available リストから希望する定義済みグループを選択して、Selected リストに移動します。Selected リストに希望どおりのグループ名が含まれるまで、必要に応じて項目を行き来させます。

前のフィールドの説明にある例を拡張するために、 example-host-admin example-zone-admin の両方をロールに割り当てる代わりに、両方の管理者を含む example-group というグループを作成して、後で他の管理者をそのグループに追加できるようにすることもできます。Available リストで example-group をクリックし、 << をクリックして Selected リストに移動します。

実行する処理

Add/Edit Zone Administrator Role ページの情報の入力を終えたら、 Add Role または Edit Role をクリックします。または Cancel をクリックして取り消します。List/Add Administrator Roles ページに戻ります。

非制約ロールの割り当て

次の基本ロールには制約を加えることはできません。

dhcp-admin

ccm-admin

addrblock-admin

つまり、これらのロールを持つようにセットアップされた管理者またはグループはそれ以上制約を受けることはありません。List/Add Administrator Roles ページで名前をクリックしてこれらのロールの 1 つを編集すると、Edit Administrator Role ページが表示されます。図 3-8 に DHCP 管理者ロールのページを示します。Role Name と Role Type(基本ロール)は変更できません。しかし、このページを使用して管理者とグループをロールに割り当てることができます。

図 3-8 非制約ロールの Edit Administrator Role ページ

 

管理者またはグループをロールに割り当てるには、Selected フィールドで 1 つまたは複数の管理者またはグループを選択して Available フィールドに移動します。ほとんどの場合、グループまたは管理者のいずれかを割り当てますが、両方を割り当てることはできません。

Modify Role をクリックしてロール定義を変更するか、または Cancel をクリックして変更を取り消します。List/Add Administrator Roles ページに戻ります。

ロールの削除

必要なくなった場合、ロールを削除することが必要になります。基本ロールはシステムに必要なため、削除することはできません。

ページの開き方

Primary Navigation バーの Administration タブをクリックします。Secondary Navigation バーの Roles タブをクリックします。List/Add Administrator Roles ページが開きます。

実行する処理

ロールを削除するには、リストで名前の左にある Delete アイコン( )をクリックします。確認ページが表示されます。削除を続けるには Delete をクリックし、削除を取り消すには Cancel をクリックします。

キーの管理

キーを使用することで、ダイナミック DNS 更新をセキュアに行うことができます。これによって、適切に設定されていれば DNS サーバと DHCP サーバは、要求と応答が許可された送信元からのものであることを確認できます。DNS サーバと DHCP サーバはいずれも、Network Registrar または他のサーバからの transaction signature(TSIG)データを読み取って処理することができます。TSIG は RFC 2845 に基づいています。TSIG は、共通秘密キーを共有するパーティ間でオープン ネットワークを介して伝送されるデータの整合性確認に HMAC-MD5(または keyed-MD5)アルゴリズムを使用します。TSIG は、比較的簡単に設定でき、軽量でリゾルバとネームサーバが使用でき、しかも DNS メッセージのセキュリティに十分な柔軟性を備えています。

キー データの入力

Network Registrar では、キー名は秘密情報の値に関連付けられています。キー名は、このキーを使用するホストの名前を反映している必要があり、ホスト ペアごとに別個のキーが必要です。名前の入力にも秘密情報が必要になります。この項では、キー データを入力するにあたっての規則とアドバイスをいくつか紹介します。

ページの開き方

Primary Navigation バーの Administration タブをクリックします。Secondary Navigation バーの Keys タブをクリックします。List/Add Encryption Keys ページが開きます(図 3-9 を参照)。

図 3-9 List/Add Encryption Keys ページ

 

入力するデータ

キーを入力するには、 表 3-13 に示すフィールドに値を入力する必要があります。アスタリスク(*)の付いたフィールドは必須項目です。

 

表 3-13 List/Add Encryption Keys ページのエントリ

エントリ
説明

Name*

キーの名前で、ドメイン名の形式になっています。 host-a.host-b.example.com のように、そのキーを共有しているホストの名前を反映している必要があります。必須項目です。

Algorithm*

常に HMAC-MD5 です。このフィールドは修正できません。

Security Type*

常に TSIG です。このフィールドは修正できません。

Time Skew

このキーで署名されたパケットのタイムスタンプとローカル システム時間との差に許容される時間。この要因には、5 分というデフォルト値(RFC 2845 で規定)と、2 秒~ 1 時間という範囲があります。時間、分、秒で表される時間の値にそれぞれ、 h m 、および s というタグ文字を使用することができます。このタグを省略すると、値は分で表わされ、 5m 300 が同じ値になります。オプションです。


) DNS サーバと DHCP サーバの間のシステム クロックが、必ずタイム スキュー時間の範囲内に入るようにしてください。タイム スキューが短いほど、それに応じてトランザクションのセキュリティも高くなります。


 

Secret*

共有秘密情報で、Base64 エンコード文字列として入力されます。少なくともキー付きメッセージ ダイジェストと同じ長さである必要があります
(HMAC-MD5 は 16 バイト)。必須項目です。

共有秘密情報の値は Base64 エンコード文字列として入力する必要があります。つまり、許容される文字は Base64 アルファベットの文字と 1 つまたは 2 つの終了埋め込み文字(=)だけです。Base64 エンコード以外の文字列を入力すると、エラー メッセージが表示されます。


ヒント Network Registrar には、ランダム キー生成ユーティリティ cnr_keygen が用意されています。詳細については、「ランダム キーの生成」 を参照してください。


共有秘密情報は機密データであり、このデータが公開されるとセキュリティが損なわれるため、次の規則とガイドラインが適用されます。

バッチ コマンドを使用してキーを追加または修正してはならない。

頻繁に(たとえば 2 か月ごとに)共有秘密キーを変更する。Network Registrar では、明示的には強制してはいませんが、そうすることを推奨します。

共有秘密情報の長さは、少なくともキー付きメッセージ ダイジェストと同じ長さである必要がある(HMAC-MD5 は 16 バイト)。RFC 2845 はこの規則を推奨していますが、Network Registrar は、明示的には強制せず、共有秘密情報が有効な Base64 エンコード文字列であることをチェックするだけです。

実行する処理

これらの値を追加した後は、キーを追加、編集、または削除できます。

キーを追加するには、 Add をクリックします。List/Add Encryption Keys ページにキー項目が追加されます。

キーを編集するには、リスト内の名前をクリックします。Edit Encryption Key ページが開きます。このページで修正または設定を解除できるのは、Time Skew フィールドと Secret フィールドだけです。フィールドの設定を解除するには、その Unset? ボックスをオンにして Unset Fields をクリックします。 Modify Key をクリックして変更を送信するか、または Cancel をクリックして取り消します。

キーを削除するには、List/Add Encryption Keys ページで名前の横にある Delete アイコン( )をクリックして、削除を確認するか、または取り消します。

ランダム キーの生成

Network Registrar cnr_keygen ユーティリティを使用してランダム キー秘密情報を生成し、List/Add Encryption Keys ページの Secret フィールドに追加することができます(図 3-9 を参照)。 cnr_keygen キー生成ユーティリティは、DOS プロンプトあるいは Solaris または Linux のシェルで実行します。

Windows の場合、このユーティリティはデフォルトで C:\Program Files\Network Registrar\bin フォルダにあります。

Solaris および Linux の場合、このユーティリティはデフォルトで /opt/nwreg2/usrbin ディレクトリにあります。

> /opt/nwreg2/usrbin/cnr_keygen -n host-a.host-b.example.com. -b 16 -s 300
key "host-a.host-b." {
algorithm hmac-md5;
secret "xGVCsFZ0/6e0N97HGF50eg==";
# cnr-time-skew 300;
# cnr-security-type TSIG;
};
 

入力する必要があるのはキー名だけです。 表 3-14 にコマンド オプションを示します。

 

表 3-14 cnr_keygen ユーティリティのオプション

オプション
説明

-n name

キー名。必須項目です。最大長は 255 バイトです。

-a hmac-md5

アルゴリズム。オプションです。現在サポートされているのは hmac-md5 だけです。

-b bytes

秘密情報のバイト サイズ。オプションです。デフォルトは 16 バイトです。有効な範囲は 1 ~ 64 バイト。

-s skew

キーのタイム スキュー、つまりこのキーで署名されたパケットのタイムスタンプとローカル システム時間との差に許容される時間。オプションです。デフォルトは 5 分です。範囲は 1 秒から 1 時間です。


) DNS サーバと DHCP サーバの間のシステム クロックが、必ずタイム スキュー時間の範囲内に入るようにしてください。


 

-t tsig

使用されるセキュリティの種類。オプションです。現在サポートされているのは TSIG だけです。

-h

ヘルプ。オプションです。ユーティリティの構文とオプションを表示します。

-v

バージョン。オプションです。ユーティリティのバージョンを表示します。

この結果生成される秘密情報は、ランダム文字列として Base64 にコード化されています。この値を List/Add Encryption Keys ページの Secret フィールドに入力します。

コマンド行の末尾に > または >> インジケータを使用すると、出力をファイルにリダイレクトすることもできます。> は所定のファイルに書き込みまたは上書きし、>> は既存のファイルに付加します。

> /opt/nwreg2/usrbin/cnr_keygen -n example.com > keyfile.txt
> /opt/nwreg2/usrbin/cnr_keygen -n example.com >> addtokeyfile.txt
 

次に CLI を使用してそのキー ファイルを Network Registrar にインポートし、ファイルにキーを生成することができます。キーのインポートでは、インポート ファイルにあるキーと同数のキーを生成できます。次の CLI コマンドを使用してキー ファイルをインポートします。

nrcmd> import keys keyfile.txt
 

ヒント キーのインポートに CLI を使用した場合は、Refresh アイコン()を使用して暗号キーのリストをリフレッシュします。


 

アクセス コントロール リストの管理

Access control lists は、セキュリティ キーを DNS サーバまたは個々のゾーンに割り当てる方法を提供します。ACL はまた、ダイナミック更新制限を、許可されたネットワークとホストの多目的リストを使用して、容易に管理できる方法も提供します。次の種類の ACL が設定できます。

キー

IP アドレス

ネットワーク アドレス(そのマスクを含む)

他の ACL

ページの開き方

Primary Navigation バーの Administration タブをクリックします。Secondary Navigation バーの ACLs タブをクリックします。List/Add Access Control Lists ページが開きます(図 3-10 を参照)。

図 3-10 List/Add Access Control Lists ページ

 

入力するデータ

ACL を入力するには、 表 3-15 に示すフィールドに値を入力する必要があります。Name の値は必須項目です。

 

表 3-15 List/Add Access Control Lists ページのエントリ

エントリ
説明

Name*

ACL の固有の名前で、英数字で構成します。IP アドレスと類似した名前は使用しないでください。必須項目です。

Match List

ACL の一致リストで、キーでも、IP アドレスとマスクでも、他の ACL でもかまいません。次の値を 1 つ以上、カンマで区切って組み合わせることができます。

キー:値は key name という形式で、キーワード key の後にキーの名前を続ける(引用符で囲まずに)必要があります。「キーの管理」 を参照してください。

IP アドレス:192.168.1.2 という形式。

ネットワーク アドレス(マスクを含む):192.168.1.0/24 という形式。

他の ACL:その ACL はあらかじめ定義されている必要があります。他の ACL の一致リストで参照されている ACL は削除しないでください。

実行する処理

これらの値を追加した後は、ACL を追加、編集、または削除できます。

ACL を追加するには、 Add をクリックします。ACL ページに ACL エントリが追加されます。

ACL を編集するには、ACL ページでその名前をクリックします。Edit Access Control List ページが開きます。このページで修正できるのは、Match List フィールドだけです。 Modify ACL をクリックして変更を送信するか、または Cancel をクリックして取り消します。

ACL を削除するには、ACL ページで名前の横にある Delete アイコン( )をクリックして、削除を確認するか、または取り消します。


) ゾーンの update-acl アトリビュートによって、または他の ACL で参照されている ACL は削除しないようにしてください。


サーバの管理

Network Registrar プロトコル サーバ(DNS、DHCP、TFTP)、MCD サーバ、およびローカル サーバ エージェントは Web UI から管理できます。これらのサーバの管理には、その現在の状態と安定度を判断し、必要に応じてプロトコル サーバの開始、停止、またはリロードを行う作業が含まれます。


) サーバのエラーを発見した場合には、設定エラーがないかサーバ ログ ファイルを調べ、エラーを修正してこのページに戻り、ページをリフレッシュします。


ページの開き方

Primary Navigation バーの Administration タブをクリックします。Secondary Navigation バーの Servers タブをクリックします。Manage Servers ページが開きます(図 3-11 を参照)。

図 3-11 Manage Servers ページ

 

実行する処理

表 3-16 にこのページのカラムを示します。

 

表 3-16 Manage Servers ページのカラム

カラム
説明

Name

各サーバの説明(ローカルの場合)または名前(リモートの場合)

IP Address

サーバのアドレス、つまり localhost

Type

サーバの種類:DNS、DHCP、TFTP、MCD、およびローカル エージェント

State

サーバの状態: initialized running 、または disabled 。Web UI が状態を判断できない場合は、疑問符(?)が表示されます。

Health

サーバの相対的な安定度で、カラー インジケータによって表示されます。( )は最適安定の状態、( )は安定度が最適より劣る状態、( )は停止状態を示します。カッコ内の数値は、0(停止)~ 10(最適安定)の範囲になります。Web UI がサーバの状態を判断できない場合は、疑問符(?)が表示されます。DHCP サーバは、アドレスのスコープが最低 1 つ存在する場合に限り正常です。

Statistics

Report( )アイコンをクリックして、プロトコル サーバの統計情報を表示します。サーバに関連する統計情報を表示する Statistics for Server ページが開きます。統計情報は Refresh アイコン( )を使用してリフレッシュできます。サーバの管理に戻るには、そのページの Return to Manage Servers をクリックします。項目名をクリックすると、ヘルプ ウィンドウに各統計項目の説明が表示されます。

View Log

Logs( )アイコンをクリックして、サーバのログ ファイルを表示します。Log for Server ページが開き、特定のサーバのログ項目を日付と時刻順に配列したリストが表示されます。矢印キーを使用してログの中を移動することも、 Change Page Size をクリックして表示される項目の数を変更することもできます。ログ項目は、表形式とログ ファイル形式(テキスト ファイルへのカットアンドペーストに使用できる)の 2 つの方法で表示できます。この 2 つの表示モードを切り替えるには、Log for Server ページの Logs( )アイコンを使用します。サーバの管理に戻るには、そのページの Return to Manage DNS Server をクリックします。

Start/Stop/Reload

Start アイコン( )をクリックしてプロトコル サーバを開始または再始動するか、Stop アイコン( )をクリックしてサーバを停止するか、または Refresh アイコン( )をクリックしてサーバをリロードします。機能が正常に動作しなかった場合は、カラムに赤い X が表示されます。

データベース変更ログの表示

次の 2 つのデータベースに対して行ったエントリの変更ログを表示できます。

Central Configuration Manager(CCM)データベース

Network Registrar サーバ(MCD)データベース

変更ログは、日付の逆順で配列されています。ログ エントリごとに変更セットを表示することもできます。

CCM データベース変更ログおよび変更セットの表示

CCM データベース変更ログは、Web UI 管理者が CCM データベースに加えた変更内容を表示します。変更セットは、最新の変更をリストの先頭にして日付の逆順に並べたリストです。すべての変更ログには、いくつかの変更セット エントリがあります(ない場合もあります)。変更セット エントリは S 式フォーマットで、オブジェクト クラスとアトリビュート値のペアをカッコで囲んで表示します。変更セットの式にスペースがある場合は、大カッコで囲まれています。

ページの開き方

Primary Navigation バーの Administration をクリックします。Secondary Navigation バーの CCM Change Log をクリックします。View CCM Change Log ページが開きます(図 3-12 を参照)。

図 3-12 View CCM Change Log ページ

 

実行する処理

このページでは、変更ログとその変更セットが表示できます。

変更ログを表示:各データベース変更ログ エントリを表示します。各エントリには、database sequence number(DBSN; データベース シーケンス番号)、入力した日付、管理責任者、変更セット内にあるエントリの数が明示されます。ページの下にある Change Page Size の値を変更しない限り、リストにはデフォルトで最新のエントリが 10 件表示されます。

変更ログ項目の変更セットを表示:DBSN カラムの変更セット番号をクリックします。View CCM Change Set ページが開きます(図 3-13 を参照)。ページの先頭には変更ログ項目が表示されます。その下には、ログ項目の変更セット エントリのリストが表示されます。DBSN カラムの見出しの右側にある左矢印ボタンと右矢印ボタンをクリックして、各変更ログ項目内を自由に移動できます。

図 3-13 View CCM Change Set ページ

 

View CCM Change Log ページに戻るには、 Return to Change Set List をクリックします。

変更セットは S 式フォーマットで表示されます。各変更エントリの下には、変更セットに対して作成された CCM タスクが表示されます。CCM タスクの詳細については、「CCM タスクの表示」 を参照してください。

MCD データベース変更ログおよび変更セットの表示

MCD データベース変更ログは、管理者が Network Registrar サーバ(MCD)データベースに加えた変更内容を表示します。変更セットは、最新の変更をリストの先頭にして日付の逆順に並べたリストです。すべての変更ログには、いくつかの変更セット エントリがあります(ない場合もあります)。変更セット エントリは S 式フォーマットで、オブジェクト クラスとアトリビュート値のペアをカッコで囲んで表示します。変更セットの式にスペースがある場合は、大カッコで囲まれています。

ページの開き方

Primary Navigation バーの Administration をクリックします。Secondary Navigation バーの MCD Change Log をクリックします。View MCD Change Log ページが表示されます(図 3-12 に示す View CCM Change Log ページとほとんど同じです)。

実行する処理

このページでは、MCD データベース変更ログとその変更セットが表示できます。

変更ログを表示:各データベース変更ログ エントリを表示します。各エントリには、database sequence number、入力した日付、管理責任者、変更セット内にあるエントリの数が明示されます。ページの下にある Change Page Size の値を変更しない限り、リストにはデフォルトで最新のエントリが 10 件表示されます。

変更ログ項目の変更セットを表示:DBSN カラムの変更セット番号をクリックします。View MCD Change Set ページが表示されます(図 3-13 に示す View CCM Change Set ページとほとんど同じです)。ページの先頭には変更ログ項目が表示されます。その下には、ログ項目の変更セット エントリのリストが表示されます。DBSN カラムの見出しの右側にある左矢印ボタンと右矢印ボタンをクリックして、各変更ログ項目内を自由に移動できます。

View MCD Change Log ページに戻るには、 Return to Change Set List をクリックします。

変更セットは S 式フォーマットで表示されます。各変更エントリは、変更セットに対して作成された MCD タスクを表示します。MCD タスクの詳細については、「MCD タスクの表示」 を参照してください。

データベース タスクの表示

Network Registrar データベースは、CCM データベースおよび MCD データベースに対する特定の作業に対して 1 つまたは複数のタスクを作成します。両方のデータベースについてこれらのタスクを表示できます。タスクは 表 3-17 に記載されている作業に対して作成されます。タスクは、表に記載されていない作業に対しては作成されません。

 

表 3-17 タスクを作成するデータベース作業

CCM データベース作業
MCD データベース作業

アドレス ブロックまたはサブネットの修正

スコープの追加または削除

ソース レコード セットの追加、修正、または削除

ネットワークの追加または削除

ホストの追加、修正、または削除

フェールオーバー ペアの追加または修正

ゾーンの追加、修正、または削除

 

タスクは、変更ログの変更セット DBSN 番号に戻って参照します(「データベース変更ログの表示」 を参照)。変更ログのツリーを展開および縮小して、List CCM Tasks ページと List MCD Tasks ページでそれぞれのタスクを表示できます。

CCM タスクの表示

CCM タスクは、List CCM Tasks ページに表示されます。

ページの開き方

Primary Navigation バーの Administration をクリックします。Secondary Navigation バーの CCM Tasks をクリックします。List CCM Tasks ページが開きます(図 3-14 を参照)。

図 3-14 List CCM Tasks ページ

 

実行する処理

DBSN エントリ番号の横にある + 記号をクリックして、そのエントリのタスクを表示します。すべてのエントリを展開するには、 Expand All をクリックします。すべてのエントリを縮小表示するには、 Collapse All をクリックします。DBSN 番号をクリックすると、その変更エントリの View CCM Change Set(図 3-13 を参照)ページが開きます。Task Description カラムには、タスクの説明が追加されたオブジェクトの種類とオブジェクトの名前という簡単なエントリとして表示されます。

MCD タスクの表示

MCD タスクは、List MCD Tasks ページに表示されます。

ページの開き方

Primary Navigation バーの Administration をクリックします。Secondary Navigation バーの MCD Tasks をクリックします。List MCD Tasks ページが開きます(図 3-15 を参照)。

図 3-15 List MCD Tasks ページ

 

実行する処理

DBSN エントリ番号の横にある + 記号をクリックして、そのエントリのタスクを表示します。すべてのエントリを展開するには、 Expand All をクリックします。すべてのエントリを縮小表示するには、 Collapse All をクリックします。DBSN 番号をクリックすると、その変更エントリの View MCD Change Set ページが開きます。

Task Description カラムには、タスクの説明が追加されたオブジェクトの種類とオブジェクトの名前という簡単なエントリとして表示されます。