Preventive Service Planning
Abstract
[Japanese] IBM® Rational® ClearCase® に関する情報と、ClearCase 管理者グループが Microsoft® Windows® 上で VOB や VOB データ ( エレメントやメタデータ ) を所有したときに起こりうる問題について説明します。
Content
CLEARCASE 管理者グループが CLEARCASE オブジェクトに割り当てられる原因
はじめに
VOB や VOB 内に含まれるオブジェクト (エレメントとメタデータ) が ClearCase 管理者グループによって所有されるとき、非管理者ユーザーがそのオブジェクトに対して何らかの操作を実行すると、多くの場合、パーミッションエラーが発生することが予想されます。
管理者グループは、デフォルトで全ての ClearCase オブジェクトへのアクセスをもつので、明示的に管理者グループを追加する必要はなく、このグループの追加は避けるべきです。
ClearCase 管理者としての認証が必要で、これを確実に行わなければいけない場合、 CLEARCASE_GROUPS 環境変数に ClearCase 管理者グループを含めるように設定し、 CLEARCASE_PRIMARY_GROUP 環境変数に ClearCase ユーザーグループを含めるようにします。
- CLEARCASE_GROUPS 環境変数に関する詳細は 技術情報 1409179 を参照してください。
- CLEARCASE_PRIMARY_GROUP 環境変数に関する詳細は 技術情報 1408994 を参照してください。
誤った保護情報をもつオブジェクトに対するアクセスを可能にするために、全てのユーザーを特権グループに追加することは、それら全てのユーザーが ClearCase 管理者として考慮されるというセキュリティ上のリスクがあるので、避けます。その代わりに、オブジェクトを適切なグループ(任意の ClearCase ユーザーグループ)で再保護します。グループのユーザーは VOB と全ての VOB オブジェクトを所有するグループのメンバーになります。
詳細は ClearCase コマンドリファレンス の permissions (cleartool man permissions) のトピックを参照してください。
CLEARCASE 管理者グループが CLEARCASE オブジェクトに割り当てられる原因
では、どのようにして ClearCase 管理者グループが誤って VOB や VOB オブジェクト (場合によってはビュー) のグループに割り当てられるのでしょうか ?
次のようなケースでの発生が考えられます。
- ユーザーが管理者グループのメンバーであり、Windows のドメインアカウントに、そのユーザーのプライマリーグループとして管理者グループが設定されている場合。
- また、ユーザーのプライマリーグループ ( CLEARCASE_PRIMARY_GROUP 環境変数 ) が設定されていて、 ClearCase 管理者グループが指定されている場合にも起こります。
上記のユーザーによって作成された ClearCase オブジェクトは、結果的にデフォルトでプライマリーグループによって所有されることになります。
例:
下記のいずれかのコマンド実行結果から、プライマリーグループに ClearCase 管理者グループである "MYDOMAIN\CLEARCASE" が設定されていることがわかります。
C:\Documents and Settings\joe>set
...
CLEARCASE_PRIMARY_GROUP=MYDOMAIN\CLEARCASE
...<中略>...
C:\Program Files\Rational\ClearCase\etc\utils>creds
Login name: MYDOMAIN\joe
USID: NT:S-1-5-21-141845252-1443263951-584457872-1606
Primary group: MYDOMAIN\clearcase (NT:S-1-5-21-141845252-1443263951-584457872-1022)
Groups: (8)
MYDOMAIN\user (NT:S-1-5-21-141845252-1443263951-584457872-1023)
Everyone (NT:S-1-1-0)
BUILTIN\Administrators (NT:S-1-5-32-544)
BUILTIN\Users (NT:S-1-5-32-545)
NT AUTHORITY\INTERACTIVE (NT:S-1-5-4)
NT AUTHORITY\Authenticated Users (NT:S-1-5-11)
LOCAL (NT:S-1-2-0)
MYDOMAIN\Domain Users (NT:S-1-5-21-141845252-1443263951-584457872-513)
You have ClearCase administrative privileges.
影響
- エレメントとメタデータ
エレメントやメタデータのように、VOB オブジェクトが単一のグループによって所有されている場合、グループに管理者グループが設定されていると、一般ユーザーによるそのオブジェクトへの特定の ClearCase の操作は拒否されます。これは、グループアクセスの権限をチェックするための、いくつもの ClearCase の操作を介して発生します。
例:
以下のエレメントは ClearCase 管理者グループによって所有されています。
M:\def\new-vob>cleartool describe -l ccgroup.txt
version "ccgroup.txt@@\main\1"
作成 2007-07-09T16:18:04-04 作成者 Joe Mac (joe.clearcase@myhost)
エレメント保護:
ユーザー: MYDOMAIN\joe : r--
グループ: MYDOMAIN\clearcase : r--
そのs他: : r--
element type: text_file
祖先のバージョン: \main\0
ClearCase 管理者ではないユーザーでログイン、また上記エレメントの所有者ではない場合に、このエレメントに対してチェックアウトを行おうとしたときには、以下のエラーがレポートされます。
cleartool checkout -nc ccgroup.txt
cleartool: エラー: 操作 "checkout" を実行する権限がありません。
cleartool: エラー: 次のいずれかである必要があります: エレメント グループのメンバー,エレメント所有者,VOB 所有者,ClearCase グループのメンバー
cleartool: エラー: "ccgroup.txt" をチェックアウトできません
詳細については ClearCase コマンドリファレンス checkout (cleartool man checkout) の見出し 「制限」 を参照してください。
- VOB オブジェクト
以下は、先の例でエレメントを作成したユーザーが、VOB を作成したときの VOB に対する describe コマンドの出力です。VOB は ClearCase 管理者によって所有されています。ClearCase 管理者ではないユーザーがこの VOB に ClearCase のデータを追加しようとすると、パーミッションのエラーが発生します。
C:\Documents and Settings\joe>cleartool describe -l vob:\new-vob
versioned object base "\new-vob"
作成 2007-07-06T18:46:48-04 作成者 Joe Mac (joe.clearcase@myhost)
VOB ファミリ機能レベル: 5
VOB 記憶ホスト: パス名 "myhost:D:\clearcase_storage\vobs\new-vob.vbs"
VOB 記憶グローバル パス名 "D:\clearcase_storage\vobs\new-vob.vbs"
データベース スキーマ バージョン: 54
権限を持つリモート ユーザーによる変更: 許可
VOB の所有者:
所有者 MYDOMAIN\joe
グループ MYDOMAIN\clearcase
属性:
FeatureLevel = 5
ClearCase 管理者グループを VOB のグループリストに追加することは許可されていません。追加しようとすると次のようなエラーが出力されます。
C:\Documents and Settings\joe>cleartool protectvob -add_group clearcase \\myhost\clearcase_storage\vobs\june2007.vbs
このコマンドは、バージョン付きオブジェクト ベースの保護に影響します。
このコマンドの実行中は VOB へのアクセスが制限されます。
プール "sdft" は正しく保護されているようです。
プール "ddft" は正しく保護されているようです。
プール "cdft" は正しく保護されているようです。
バージョン付きオブジェクト ベース "\\myhost\clearcase_storage\vobs\june2007.vbs" を保護しますか ? [no] y
保護が不要と考えられる場合でもプールを保護しますか ? [no] y
cleartool: エラー: バージョン付きオブジェクト ベース "\\myhost\clearcase_storage\vobs\june2007.vbs" の保護中に問題が発生しました。
- ビュー
以下の cleartool lsview コマンドの出力は、ビューのプロパティーを表示しています。このビューは管理者グループによって所有されているため、非特権ユーザーはチェックアウトを実行できません。これはデフォルトでは、「その他」 のグループにはビューに対する書き込み権限が付与されていないからです。
M:\def\new-vob>cleartool lsview -properties new-view
* new-view \\myhost\clearcase_storage\views\new-view.vws
2007-07-06T18:49:20-04 に MYDOMAIN\joe.MYDOMAIN\clearcase@myhost により作成 されました
最終変更日時: 2007-07-06T18:49:20-04、 変更ユーザー: MYDOMAIN\joe.MYDOMAIN\clearcase@myhost
最終アクセス日時: 2007-07-06T18:49:20-04、 アクセスユーザー: MYDOMAIN\joe.MYDOMAIN\clearcase@myhost
所有者: MYDOMAIN\joe : rwx (all)
グループ: MYDOMAIN\clearcase : rwx (all)
その他: : r-x (read)
- Interop:
(ClearCase 4.1 の時点から) セキュリティーの問題を避けるために、 UNIX では、ClearCase 管理者グループは nobody にマップされるように設計されています。そのため、ユーザーのプライマリーグループに管理者グループを設定することは、UNIX 上では常に nobody のグループで認証を受けることになり、これが原因でパーミッションエラーの発生へとつながります。
詳細は ClearCase コマンドリファレンス の credmap (cleartool man credmap) のページを参照してください。
- MultiSite:
ClearCase 管理者グループによって所有されているオブジェクトは、インポートやエクスポートで下記のようなエラーが発生することがあります。
multitool: エラー: VOB "\idunn" にコンテナを作成できません。グループ "SERVER2\clearcase" が VOB のグループリストにありません。
問題の修正方法
- VOB:
cleartool protectvob コマンドを実行し、 VOB のグループを変更します。
詳細は ClearCase コマンドリファレンス の protectvob (cleartool man protectvob) のページを参照してください。
- VOB オブジェクト (エレメントとメタデータ):
- ビュー:
Windows 上のビューのグループは変更ができません。ビューは再作成する必要があります。
データの再保護の手順は 技術情報 1146535 と 1405579 を参照してください。
注意: 誤って ClearCase 管理者グループが VOB オブジェクトのグループに設定されている場合、グループの変更に vob_sidwalk を使用することはできません。
ドキュメント
- IBM Publications Center からハードコピーが注文できます。
- オンラインドキュメント
About the ClearCase Information Center
Related Information
Was this topic helpful?
Document Information
Modified date:
29 September 2018
UID
swg21459547