エージェント・コントローラーにアクセス制御を提供するために、 構成ファイル (serviceconfig.xml) は Hosts エレメントと その子エレメント Allow および Deny を提供します。 Hosts エレメントがアクティブ構成にある場合、 子エレメント Allow および Deny が列挙され、 あるホストがエージェント・コントローラーへの接続を認可されるかどうかを判別します。すべての子エレメントが列挙され、どの規則も着信接続と一致しない場合は、 デフォルトで、その接続は拒否されます。 Allow または Deny の規則を記述する方法が 2 つあります。ホスト名による方法と、ネットワーク・マスクによる方法です。
ホスト名の場合、接続を要求しているホストの IP アドレスは、逆 DNS 検索に従います。 名前が完全に一致する場合は、その属性名を基に、その接続は許可または拒否されます。 ホスト名には 2 つのワイルドカード (ALL と LOCAL) があります。ALL の場合、ホスト名と比較すると、常に一致を戻します。 LOCAL は、エージェント・コントローラーへ接続中のホストの IP アドレスが、 ローカル・ホスト上のネットワーク・インターフェースの IP アドレスと一致する場合に、 一致を戻します。
ネットワーク接続規則は、それがネットワークのどこにあるかを基本として、そのマシンのグループからのアクセスを許可または拒否するのに使用されます。 ネットワーク接続規則を使用するために、エージェント・コントローラーは 2 つの数値、 ネットワーク net 属性と サブネット・マスク mask 属性を使用します。ホストから接続が要求されると、 その IP アドレスが mask 属性と論理 AND 演算されます。 論理 AND 演算の結果が net 属性と等しい場合、規則が一致します。
以下の例は、テスト・クライアント・アクセスの構成方法を示したものです。
予備ステップ:
例 1
デフォルトの構成がアクティブであるときに、ネットワーク上の すべてのマシンからエージェント・コントローラーへのアクセスを許可するには、 構成ファイルに以下のフラグメントを追加します。
<Hosts configuration="default">
<Allow host="ALL"/>
</Hosts>
例 2
デバッグ構成がアクティブである場合、ローカル・ホストから エージェント・コントローラーへのアクセスを許可し、 その他の接続をすべて拒否するには、構成ファイルへ以下のフラグメントを追加します。
<Hosts configuration="debug">
<Allow host="LOCAL"/>
</Hosts>
例 3
すべての構成で、192.168.0.0 C-class ネットワーク (192.168.0.1 以外) に 所属するすべてのマシンからのエージェント・コントローラーへのアクセスを許可し、 さらに、ホスト steamboat からのアクセスも許可し、その他のホストは すべて拒否するには、 構成ファイルに以下のフラグメントを追加します。
<Hosts>
<Deny net="192.168.0.1" mask="255.255.255.255"/>
<Allow net="192.168.0.0" mask="255.255.0.0"/>
<Allow host="steamboat"/>
</Hosts>
関連タスク
構成ファイルを見つける
構成を作成してアクティブ構成を設定する
エージェント・コントローラーを管理する
(C) Copyright IBM Corporation 2000, 2003. All Rights Reserved.