JP4174692B2 - Computer system, management method thereof, and recording medium - Google Patents

Computer system, management method thereof, and recording medium Download PDF

Info

Publication number
JP4174692B2
JP4174692B2 JP05491298A JP5491298A JP4174692B2 JP 4174692 B2 JP4174692 B2 JP 4174692B2 JP 05491298 A JP05491298 A JP 05491298A JP 5491298 A JP5491298 A JP 5491298A JP 4174692 B2 JP4174692 B2 JP 4174692B2
Authority
JP
Japan
Prior art keywords
user
request
computer system
command
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP05491298A
Other languages
Japanese (ja)
Other versions
JPH11259426A (en
Inventor
稔久 山田
恵介 寺川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NS Solutions Corp
Original Assignee
NS Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NS Solutions Corp filed Critical NS Solutions Corp
Priority to JP05491298A priority Critical patent/JP4174692B2/en
Publication of JPH11259426A publication Critical patent/JPH11259426A/en
Application granted granted Critical
Publication of JP4174692B2 publication Critical patent/JP4174692B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、コンピュータの管理方法に関し、特に、権限を与えられた管理者のみが実行可能な処理が定められているコンピュータを管理するものであり、例えば、UNIXシステムのワークステーションなどの管理に好適なコンピュータの管理方法に関する。
【0002】
【従来の技術】
コンピュータシステムには、管理者を定め、その定められた管理者のみが実行することができる処理を制限したものがある。例えばオペレーティングシステムにUNIXを備えたコンピュータでは、スーパーユーザと呼ばれる管理者が設定されており、そのスーパーユーザだけが特定のコマンドを実行できる権限を持っている。以下これをスーパーユーザコマンドと記す。従ってUNIXでは、コンピュータを利用する際に利用者が一般のユーザであるのか、スーパーユーザであるのかを予めコンピュータに知らせておく必要がある。これがいわゆるログイン(login)であり、ユーザ名とパスワードを入力してコンピュータが認証作業を行う。
【0003】
スーパーユーザとしてコンピュータを利用するためには、スーパーユーザのユーザ名とパスワードを入力して自分がスーパーユーザである旨コンピュータに知らせる。UNIXの場合通常はスーパーユーザのユーザ名は「root」である。このユーザ名に対してコンピュータがパスワードを尋ねるので、あらかじめ定められたパスワードを入力し、それが認証されるとスーパーユーザとしてコンピュータを利用することができるようになる。
【0004】
また、コンピュータのログイン受付状態以外のときでは、コマンドとして「su」を実行することにより通常の一般ユーザモードからスーパーユーザモードに切り替えることができるが、この時もパスワードを要求されるので、スーパーユーザのパスワードを入力することで認証が行われる。
【0005】
スーパーユーザとしてログインすると、コンピュータのハードウェアの設定、システムソフトウェアのインストール・削除、ネットワークの設定、パスワードの設定、シャットダウン、リブート(再起動)などの処理を実行できる。例えば、ハードウェアの設定では、コンピュータに接続されているハードディスクドライブ、CD−ROMドライブ、プリンタなど様々な機器との接続状態等を設定できる。これらはシステムを熟知した管理者が行うことで障害の少ない運用が可能となる。
【0006】
また、ユーザの登録、パスワードの設定・変更などもスーパーユーザでなければ実行できないようになっている。こうして管理することで部外者の侵入を防ぐことができ、セキュリティが確保される。
【0007】
このように権限を持った管理者だけが特定の処理を行えるようにすることにより、一般ユーザが誤ってハードウェアやソフトウェアの情報を削除してしまったり、或いは部外者などの侵入を防止することができ、コンピュータシステムの運用が円滑に行えるようになっている。
【0008】
【発明が解決しようとする課題】
上述のようにUNIXに代表されるようなコンピュータの管理方法では、権限を持った管理者だけが特定の処理、或いは特定領域へのアクセス権があるので、セキュリティ性を高くすることが可能ではあるが、反面、その管理者が不在の状況では、一部の作業ができなくなるという不都合がある。例えば何らかの障害から、やむなくコンピュータをシャットダウンしなければならないような状況下では、一般ユーザがコンピュータをシャットダウンしようにも、そのコマンド“shutdown”がスーパーユーザにしか利用できないものであるので、スーパーユーザにシャットダウンを依頼してシャットダウン作業を行ってもらうことになる。従って、このような状況下にスーパーユーザが仮に不在であれば、シャットダウンを行える者がいなくなるという事態がおこり得る。
【0009】
このような課題から、特開平3−36656にコンピュータのシステム運用終了時における上記課題を解決する方法が開示されている。この方法によると、オペレーティングシステムのユーザ情報登録ファイル内に直接コマンドを記述して、システムの運用を終了、つまりシャットダウンを行う。ユーザ情報登録ファイルには、1行の中に、システム運用終了用のユーザログイン名、ユーザのパスワード、ユーザのID、コメント、ログイン時に起動されるプログラムのパス名(シェル)等が記載されている。このユーザとは、いわゆる一般的なユーザであって、通常ならシャットダウンは行えない。この発明では、シャットダウンコマンドの実行権限をオペレーティングシステムでサポートされているアクセス制約機構に従い、本システム運用管理終了用ユーザに前もって与えておいて、ユーザ情報登録ファイルに登録されているIDを持ったユーザが、システム運用終了用ユーザログイン名とパスワードでログインすると、認証が行われ、登録されている情報に間違いがないと、同ユーザ情報登録ファイルに登録されているシェルを実行する。このシェルの内容は“/etc/shutdown”であり、自動的に運用が終了するものである。
【0010】
このように、ユーザ情報登録ファイルにシステムの運用終了を行うシェルと、ユーザの情報を登録しておくことにより管理者以外のユーザがシャットダウンを行えるようにするものである。
【0011】
しかしながらこの方法は近年のシステムでは利用できない。近年のUNIXなどでは、“shutdown”などのコマンドが、その実行時に、スーパユーザからの実行であるかを確認するようになっている。つまり、これらのコマンドはオペレーティングシステムのアクセス制約による実行権限とは別に、コマンド内部の実行者確認機構によって、その実行権をスーパユーザにしか許さない。特開平3−36656では、システム運用終了用ユーザログイン名でログインするようになっているため認証が与えられずシャットダウン作業は拒否される。このように近年のシステムでは本当にスーパーユーザとしてログインしない限り、スーパーユーザだけに与えられた権限を実行することができなくなってきている。
【0012】
つまり、従来のシステムと比較してよりセキュリティが高まったと言える。と、同時に、上述のように、止む無くスーパーユーザコマンドを使用する必要があるときに例えばスーパーユーザが不在であればスーパーユーザコマンドを実行することができないという事態が再び起こるようになった。
【0013】
本願はこのような課題に基づきなされたもので、本来は本当の特定管理者しか利用することができないスーパーユーザコマンドの実行などを、セキュリティ性を確保した上で本来は権限のない一般ユーザにも利用できるようにするコンピュータの管理方法を提供することを目的とする。
【0014】
【課題を解決するための手段】
上記目的を解決するためのコンピュータシステムは、特定の管理者だけが使用することのできる命令が設定されたコンピュータシステムにおいて、管理者側プロセスで動作するバックグラウンドプロセス手段と、利用者が様々な要求を入力する入力手段と、少なくとも利用者のIDと、前記要求と、命令のうち要求と対応関係にある利用者に使用を許可する命令の情報とを対応付けて管理する管理手段と、を備え、バックグラウンドプロセス手段は、特定の管理者だけが使用することのできる命令を実行可能な特定の権限を持つプロセスで起動され、入力手段から入力された利用者の要求に対して管理手段の情報を参照し、その要求を入力した利用者のIDを用いて、その利用者に当該要求に対応する命令の使用が許可されているか否かを判断し、当該要求が許可された命令に対応する要求であれば、その利用者の代わりにコンピュータシステムに対して当該要求に対応する命令を発することを特徴とするものである。ここで、バックグラウンドプロセス手段は、コンピュータシステム起動時に起動され、コンピュータシステムが動作中は常に管理者側プロセスで動作するようにしてもよい。
【0015】
本発明のその他の特徴とするところは、利用者のIDには、利用者の個人ID、利用者の所属するグループID、利用者の所属するネットワークID、利用者の利用する端末IDのいずれか1つ以上を含むことを特徴とする。
【0016】
本発明のその他の特徴とするところは、利用者の要求を格納する格納手段を更に有し、入力手段から入力された利用者の要求は、格納手段に格納され、バックグラウンドプロセス手段は、格納手段に格納された利用者の要求を読み取ることを特徴とする。
【0017】
本発明のその他の特徴とするところは、バックグラウンドプロセス手段は、定期的に格納手段にアクセスし格納された情報を監視することを特徴とする。また、バックグラウンドプロセス手段は、格納手段から利用者の要求を読み取った後格納手段に格納された情報を削除してもよい。
【0018】
本発明のその他の特徴とするところは、管理手段は、利用者のIDと、命令のうち要求と対応関係にある利用者に使用を許可する命令の情報を、曜日或いは時間に関する情報或いはそれらを組み合わせた単位に応じて管理することを特徴とする。
【0019】
本発明のその他の特徴とするところは、利用者の要求として、コンピュータシステム内、或いは外部に接続された装置から送信された信号を用いることを特徴とする。
【0020】
本発明のコンピュータシステムの管理方法は、特定の管理者だけが使用することのできる命令が設定されたコンピュータシステムの管理方法であって、管理者側プロセスで動作し、特定の管理者だけが使用することのできる命令を実行可能な特定の権限を持つプロセスで起動されるバックグラウンドプロセスが、利用者が入力した様々な要求について、少なくとも利用者のIDと、前記要求と、命令のうち要求と対応関係にある利用者に使用を許可する命令に関した情報とを対応付けて管理する管理テーブルを参照し、前記要求を入力した利用者のIDを用いて、その利用者に当該要求に対応する命令の使用が許可されているか否かを判断し、当該要求が許可された命令に対応する要求であれば、その利用者の代わりにコンピュータシステムに対して当該要求に対応する命令を発することを特徴とするものである。ここで、バックグラウンドプロセスは、コンピュータシステム起動時に起動され、コンピュータシステムが動作中は常に管理者側プロセスで動作するようにしても良い。
【0021】
本発明のその他の特徴とするところは、利用者のIDには、利用者の個人ID、利用者の所属するグループID、利用者の所属するネットワークID、利用者の利用する端末IDのいずれか1つ以上を含むことを特徴とする。
【0022】
本発明のその他の特徴とするところは、入力された利用者の要求は格納部に格納され、バックグラウンドプロセスは、格納部に格納された利用者の要求を読み取ることを特徴とする。
【0023】
本発明のその他の特徴とするところは、バックグラウンドプロセスは、定期的に格納部にアクセスし格納された情報を監視することを特徴とする。また、バックグラウンドプロセスは、格納部から利用者の要求を読み取った後格納部に格納された情報を削除するようにしてもよい。
【0024】
本発明のその他の特徴とするところは、要求には少なくとも一つの引数が付加され、管理手段は前記引数が付加された要求の夫々に対して、利用者に使用を許可する命令の情報を対応付けて管理することを特徴とする。
【0025】
本発明のその他の特徴とするところは、利用者の要求として、コンピュータシステム内、或いは外部に接続された装置から送信された信号を用いることを特徴とする。
【0026】
本発明の記録媒体は、特定の管理者だけが使用することのできる命令が設定されたコンピュータシステムを、管理者側プロセスで動作するバックグラウンドプロセス手段と、利用者が様々な要求を入力する入力手段と、少なくとも利用者のIDと、前記要求と、命令のうち要求と対応関係にある利用者に使用を許可する命令の情報とを対応付けて管理する管理手段として機能させると共に、バックグラウンドプロセス手段が、特定の管理者だけが使用することのできる命令を実行可能な特定の権限を持つプロセスで起動され、且つ、入力手段から入力された利用者の要求に対して管理手段の情報を参照し、前記要求を入力した利用者のIDを用いて、その利用者に当該要求に対応する命令の使用が許可されているか否かを判断し、当該要求が許可された命令に対応する要求であれば、その利用者の代わりにコンピュータシステムに対して当該要求に対応する命令を発するように、コンピュータシステムを動作させるプログラムを記録したことを特徴とする。
【0027】
さらに、利用者が入力した要求を格納しておく格納手段と、バックグラウンドプロセス手段が格納手段から要求を読み出すようにコンピュータシステムを動作させるようにプログラムを記録してもよい。
【0028】
本発明は上記のような技術を用いたので、本来は特定の管理者だけしか使用することができない命令であっても、それに相当する利用者からの要求を、管理者側プロセスで動作するバックグラウンドプロセスが、管理手段を元に許可して良いかを判断し、良ければ当該要求に相当する命令をコンピュータシステムに発することにより、一般の利用者でも許可されていれば管理者用の命令を実行することができるようになる。また、バックグラウンドプロセスは起動後常に動作しているので利用者はいつでも要求を発することができる。
【0029】
本発明の他の特徴によれば、バックグラウンドプロセスが所定の処理を行ってから上記命令を発するので管理者が実際に行う手順のように命令を実行することができる。
【0030】
本発明の他の特徴によれば、利用者の要求としてコンピュータシステム内や外部の装置からの信号を利用するのでコンピュータシステムと他の装置との連携的な動作が可能となる。
【0031】
本発明の記録媒体に記録されたプログラムをコンピュータシステムで実行させることにより、本来は特定の管理者だけしか使用することができない命令であっても、それに相当する利用者からの要求を、管理者側プロセスで動作するバックグラウンドプロセスが、管理手段を元に許可して良いかを判断し、良ければ当該要求に相当する命令を利用者に代わって発するようにコンピュータシステムを動作させることができ、一般の利用者でも許可されていれば管理者用の命令を実行することができるようになる。
【0032】
【発明の実施の形態】
本発明の第一の実施形態を説明する。本実施形態ではオペレーティングシステムにUNIXを備えたシステムを例に説明するが、本実施形態はこれに限られたものではない。
【0033】
UNIXには上述のように、スーパーユーザとしてログインした場合と、一般ユーザとしてログインした場合とでは処理できる作業に違いがある。一般ユーザが処理できる作業は、スーパーユーザであれば全て同様に処理することができるが、スーパーユーザが処理できる作業のうち一部は一般ユーザは処理できないものがある。以下、一般ユーザが利用できるコマンドを一般ユーザコマンドと記す。
【0034】
図1は、本発明のコンピュータの管理方法を説明するためのシステムのブロック図、また、図2は、UNIXシステムにおいて、本発明を適応したときの起動時の流れを説明するフロー図である。
【0035】
図1において、中央処理装置1はコンピュータの中枢部でありすべての制御を集中的に管理する部分である。中央処理装置はコンピュータ内部に備えられたプロセッサチップのみを示す場合があるが、本明細書では、下記の各部位を含めて中央処理部と呼ぶことにする。プロセス制御部2はコンピュータを動作させるためのプロセスを扱う部分で、タイムシェアリング等して各プロセスを動作させる。ユーパーユーザプロセス3は、プロセスのうち、特にスーパーユーザにしか利用できない部類のものを管理するものである。スーパーユーザプロセス3には複数のプロセスが同時に起動することが可能で、図1では代理デーモン4a等が起動している。この代理デーモン4aについては後で詳しく説明する。
【0036】
プロセス制御部2にはスーパーユーザプロセス3のほかに、一般ユーザプロセス5があり、この一般ユーザプロセス5に含まれるプロセスは一般ユーザでも利用することができ、ここではusrinitプロセス6等が起動している。usrinitプロセス6については後で説明する。
【0037】
メモリ7はコンピュータが処理時にデータを一時的に格納するDRAMや、読み出し専用のROM等、いわゆる半導体記憶装置を示す。記憶装置8はハードディスクドライブ、CD−ROMドライブ、フロッピーディスクドライブ等を示す。表示部11はCRTなどの画面、ユーザの入力装置であるキーボード12、出力装置のプリンター13、無停電電源装置14なども中央処理装置1に接続されている。また、ネットワーク15により他のコンピュータ16等と接続されている。なお、無停電電源装置14は、コンピュータの電源が直接接続されており、この図1における接続は、その他の制御信号などを伝える信号線がつながれているものとする。
【0038】
次にコンピュータ起動時の動作について図2を用いて説明する。まず電源が投入される(STEP1)と、コンピュータのROM(メモリ7)に記録されたブートプログラムが開始される(STEP2)。このブートプログラムにより通常はハードディスク(記憶装置8)上の第0番目のブロックに記録されたスタートアッププログラムが起動される(STEP3)。UNIXではこのハードディスク上の第0番目のブロックは、通常のファイル格納のコマンドでは直接アクセスできない領域であり、スタートアッププログラムがここに収まっていることにより誤って書き換えられることがなく安全に起動作業を実行することができる。
【0039】
次に、スタートアッププログラムは“/boot”というファイルを起動する(STEP4)。/bootは、コンピュータのメモリ7にあるプログラムで、プロセス制御部2を起動するためのものである。これ以降実際にUNIXシステムが起動する。プロセス制御部2は起動後、メモリ7のエラー検査等を行い、続いてUNIXのプロセスの1つである“/etc/init”(図1 4b)を実行する(STEP5)。これがコンピュータ起動後初めて実行されるUNIXのプロセスである。この“init”プロセス4bはスーパーユーザプロセス3で実行されている。“init”プロセス4bは、シングルスーパーユーザ用のシェルの起動などを行う。つまり、スーパーユーザはここで単独で管理機能を実行することができ、一般ユーザが利用する前に各種設定を行えるようになっている。
【0040】
“init”プロセス4bは次に“/etc/rc”というファイル(以下単にrcファイルと記す)を実行する(STEP6)。rcファイルはコンピュータを円滑に動作させるための設定を行うためのスクリプトが収められている。
【0041】
図3(a)にrcファイルの例を示す。rcファイルはいわゆるスクリプトなので、記載されている順にそれぞれ処理が行われる。例えば、第2行目“PATH”では、階層構造をしたUNIXのファイルシステム上のコマンドの検索経路を設定している。また、“mount −at 4.2”では、コンピュータにローカルディスクがあれば、そこにファイルシステムをマウントすることを示している。また、“quotacheck −a −p”や“quotaon −a”は、ディスククオータのチェック、起動を指定している。ディスククオータは、各ユーザが使用できるディスク空間を制御する機能である。
【0042】
このように、rcファイルが実行されることにより必要なファイルシステムがマウントされたり、必要なファイルを実行したり削除して、主にファイルシステムの準備を行う。このとき、必要なプロセスも起動する。
【0043】
その後、マルチユーザモードの準備を行い(STEP7)ユーザのログインを受け付けることができるようになる(STEP8)。
【0044】
以上が一般的なUNIXの起動時の流れであり、この時点でコンピュータはユーザのログインを待つ状態にある。スーパーユーザモードでログインする場合は、ログイン名として“root”と、予め定められたパスワードを入力すれば良く、一般ユーザでログインするのであれば、それぞれ決められたログイン名とパスワードでログインできる。このようなコンピュータの起動方法では一般ユーザはスーパーユーザコマンドは実行できない。
【0045】
そこで、本発明では、起動時に実行するSTEP6のrcファイルに以下に示すような設定をしておく。この設定はスーパーユーザがrcファイル内のスクリプトを編集して行っておく。図3(b)のrcファイルのこの部分は常時起動させておくプロセスを起動させるための設定が記載されているところで、例えば、“update”はメモリ7の内容を定期的にハードディスク(記憶装置8)に記憶させるように動作するプロセスであり、“cron”は図示しない/usr/lib/crontabというタイムテーブルのファイルに沿って定められたプロセスを実行させるためのプロセスである。ここで起動されるプロセスはいわゆるバックグラウンドプロセスであり、コンピュータが起動中は常にバックグラウンドで動作し続けるものである。
【0046】
このバックグラウンドプロセスとして本発明では、更に代理デーモン4aと呼ぶプロセス“dummy”を起動するように設定しておく。代理デーモン4aはスーパーユーザプロセスで起動されているのでスーパーユーザコマンドを実行することができる。代理デーモン4aは、ユーザから入力される要求を監視し、もし、その要求がスーパーユーザコマンドを意味するものであれば、この要求を実行して良いかを判断し、ユーザに代わってスーパーユーザコマンドを実行する働きをする。この判断には後述する管理テーブル9を用いる。
【0047】
ユーザからはあらゆる要求がコマンドとして入力されるが、すでに述べたようにコマンドにはスーパーユーザコマンドと一般ユーザコマンドがあり、スーパーユーザコマンドであるか一般ユーザコマンドであるかの判断はシステムが行う。本発明のシステムでもスーパーユーザコマンドと一般ユーザコマンドの判断は従来と同じようにシステムが行う。つまり、一般ユーザは、スーパーユーザコマンドを入力しても実行は拒否される。
【0048】
本発明では、一般ユーザは“shutdown”を行いたいときは例えば“usrshut”という代理スーパーユーザコマンドを入力する。“usrshut”は元々UNIXで持っているコマンドではなく、このコンピュータのスーパーユーザが設定したもので、一般ユーザが、シャットダウンしたいときに入力するコマンドという定義がされているものとする。ユーザから代理スーパーユーザコマンド“usrshut”の要求があると、予めrcファイルから起動されている代理デーモン4aは、代理スーパーユーザコマンドを入力したユーザのユーザ名を管理テーブル9で照会し、そのユーザが“shutdown”コマンドを許可されているかどうかを判断する。判断の結果、コマンド実行が許可されていると、本来はスーパーユーザコマンドである“shutdown”を代理デーモン4aが実行する。
【0049】
管理テーブル9はスーパーユーザが予め作成しておくもので、どの一般ユーザにはどのような処理(要求)を許可するかという情報が定義されている。図4(a)の管理テーブル9では、各行に1つのスーパーユーザコマンドが記載されており、続いてそのスーパーユーザコマンドを実行できるユーザ名が記載されている。1行目は“shutdown”で、このコマンドはユーザA、ユーザB、ユーザDが実行できることを意味している。
【0050】
一方、図示しない定義ファイルには、スーパーユーザコマンドとそれに対応する代理スーパーユーザコマンドとの対応が定義されており、代理デーモン4aは代理スーパーユーザコマンドの意味を解釈し、管理テーブル9で判断を行う。なお、本実施形態では管理テーブル9と定義ファイルを別にした例を述べているが、例えば、図4(a)において、各スーパーユーザコマンドに対応する代理スーパーユーザコマンドを対応付けたカラムを設け、1つのテーブル内で管理しても良い。
【0051】
管理テーブルはユーザ名と要求とを関連付けているものなので図4(a)とは逆に図4(b)のようにユーザ名に対して許可されているコマンドを羅列するように作成しても良いし、或いは、図4(c)、4(d)のように、曜日や時刻で制限することも可能である。時刻で制限をするときは、「何時から何時までは、誰が、どのコマンドを実行することができる」というような記載をすることで、細かな設定が可能である。管理テーブルはこれらの制約条件を組み合わせることにより様々に設定できる。また、図4ではユーザ名として単にユーザIDが記載されているが、例えば利用者の所属するグループのID、利用者の所属するネットワークのID、利用者の利用する端末のIDなどを用いてもよい。
【0052】
これが本願の基本的な起動時、及び代理デーモン4aのコマンドを受け付けるときの流れである。このように、予め定められた代理スーパーユーザコマンドをユーザが要求すると、代理デーモン4aがコマンド内容とユーザ名を解釈し、許可されたユーザからの要求であれば、代理デーモン4aが一般ユーザに代わって所定のスーパーユーザコマンドを実行する。
【0053】
次に、代理スーパーユーザコマンドを受け付けたあとの処理について説明する。代理デーモン4aは、代理スーパーユーザコマンドに対応するスーパーユーザコマンドを実行する際に、所定の作業をバッチ処理的に行う。例えば、代理スーパーユーザコマンドとして“usrshut”を受け付け、対応するスーパーユーザコマンド“shutdown”を実行する際は、まず、“shutdown”を開始するにあたり、ログファイルに処理履歴を残す。これは、誰が、いつ、どのコマンドを実行したか、などの情報を記録しておき、どういう処理が行われたかを確認するときに使われる。
【0054】
つぎに、プレスクリプトを実行する。これはデータベースなどが起動されているときにシャットダウンする前にデータを更新しておいたり、起動中のプログラムを終了させる処理が記載されたスクリプトである。あるいは、ネットワーク15などで接続された他のコンピュータ16のユーザにシャットダウンをする旨のメッセージを出す。
【0055】
次いでユーザから代理デーモン4aへと渡された代理スーパーユーザコマンドを消去する。これは、次回起動されたときに誤って同コマンドが再度実行されてしまうことを防止するためである。一連の処理が完了すると実際の停止作業へと移る。
【0056】
なお、一般ユーザはシャットダウンするために“usrshut”という代理スーパーユーザコマンドを代理デーモン4aに渡すが、この代理スーパーユーザコマンドに引数を用いることもできる。
【0057】
例えば、usrinitプロセス6は代理デーモン4aに各種の命令を要求するためのもので、このプロセスを実行するには“usrinit”というコマンドをユーザが入力する。ここで、“usrinit”の引数として0,1,2,...を与え、それぞれ引数によって要求内容を異なるようにする。例えば、“usrinit 0”はシャットダウン、“usrinit 6”はリブートなど、同じ“usrinit”でも引数によって命令を変えることができる。
【0058】
ソフトウェアをインストールする時に使うコマンド“pkgadd”で、例えば、フロッピーディスクのパッケージにアクセスして、ソフトをインストール
する時には、“pkgadd −d/dev/rfd0a”というコマンドと引数を入力する。ここで、このコマンドに対応した代理スーパーユーザコマンド“usrpkgadd”というコマンドを設定し、このコマンドで、“usrpkgadd −d/dev/rfd0a”という命令を要求すると、代理デーモン4aは一般ユーザの代わりにスーパーユーザコマンド“pkgadd −d/dev/rfd0a”を実行する。
【0059】
引数を用いた方式で命令を与えることのメリットは、引数を複数付加することによって幾つかの処理を一度に命令できる点である。UNIXのコマンドには元々引数を利用できるものが多いが、それらのうち比較的使用頻度の高いコマンドと引数の組み合わせで、上記引数1つに割り当てることもできる。例えば、UNIXで“shutdown +10”という引数を伴った命令は、10分後にシャットダウン処理を開始させるものである。或いは、“shutdown 21:00”と指定すると21時にシャットダウン処理が開始される。このように、シャットダウン作業は、すぐに行わずにある時間をおいてから開始することがしばしばある。更に、“shutdown −h now”のように引数を複数伴う場合もある。これらを、それぞれ、“usrinit 3”、“usrinit 4”、“usrinit 5”などと設定しておけば所定の引数の処理を行わせることができる。引数の設定はスーパーユーザによって管理テーブル9にて設定され、代理デーモン4aはこれを参照して処理を実行する。
【0060】
上記の説明では、一般ユーザからの要求は代理スーパーユーザコマンドとして入力され、それらは直接代理デーモン4aが受け取っていた。この一般ユーザからの要求を代理デーモン4aが受け取る別の方法を説明する。ここでは、入力された命令は一旦一般ユーザ側プロセス5によって記憶領域に記憶される。例えば記憶装置8の/tmp/usrinit_fileというファイル10に書き込まれる。
【0061】
一方、スーパーユーザプロセス3の代理デーモン4aは、記憶装置8に記憶されている/tmp/usrinit_fileファイル10を定期的に監視する。例えば10秒毎にファイル10の中身を確認し、一般ユーザからの要求が記憶されていればそれを読み出し、管理テーブル9を参照して許可されたものであれば実行する。
【0062】
或いは、これはメモリ7に記憶しても良い。ファイルは他のユーザから比較的見ることや書き換えることが容易であるが、メモリ7の特定領域に記憶された情報にアクセスすることは困難であり、よりセキュリティ性が高められる。また、メモリ7であれば再起動時までにデータが消去される可能性が高い。上述のように、代理スーパーユーザコマンドは代理デーモン4aに解釈された後削除されて誤動作を防ぐようにしているが、ファイル10にシャットダウン要求が書き込まれてシャットダウンする場合、このファイル10の中身が万が一削除されないと、再起動されたときに再度シャットダウンが開始されてしまうということがありえる。メモリ7は通常再起動時にはクリアされているのでこのような不具合は起こりにくい。
【0063】
このように代理スーパーユーザコマンドを一般ユーザが要求すると、代理デーモン4aがコマンド内容とユーザ名を解釈し、許可されたユーザからの許可された要求であれば、代理デーモン4aが一般ユーザに代わって所定のスーパーユーザコマンドを実行することができるようになる。
【0064】
なお、本実施形態では、1台のコンピュータ内でスーパーユーザプロセス3と一般ユーザプロセス5が動作しており、ユーザからの要求はコンピュータ内で処理されていたが、ネットワーク15で接続された他のコンピュータ16からネットワーク15を介してユーザが要求を出すようにしても良い。
【0065】
次に第2の実施形態を説明する。図1において無停電電源装置14は停電時に備え、内部に電力を貯えておき、停電が発生したときでも貯えた電力でコンピュータを一定期間動かし続け、シャットダウン作業などを行えるようにするものである。これにより停電時にも不整な終了を防ぎ安全性を高めることができる。この無停電電源装置14をコンピュータの電源に接続しておくことは近年多くなっているが、この場合でも依然としてスーパーユーザ不在時のコンピュータのシャットダウンができないという不都合は解消されていない。
【0066】
そこで、本実施の形態では、無停電電源装置14から制御信号を取り出し、コンピュータに送信する機構を設けている。通常、コンピュータの電源は無停電電源装置14から電力が供給されるだけである。無停電電源装置14は正常時には蓄電部に電力を蓄電する動作を続けるが、停電が発生すると電源が接続された他装置に電力を供給するように機能が切り替わる。この時他装置側から見ればその動作の切り替えもほとんど認識されない。一方本実施形態では、この無停電電源装置14側の機能が切り替わるときに無停電電源装置14からその旨の信号を発するようにしておく。無停電電源装置14から発せられた停電を知らせる信号はコンピュータの代理デーモン4aが受け取り、例えばシャットダウン作業を開始する。つまり第一の実施形態では一般ユーザからの代理スーパーユーザコマンドに応じて代理デーモン4aがスーパーユーザコマンドを実行していたが、本実施形態では、無停電電源装置14からの信号を代理デーモン4aが解釈してスーパーユーザコマンドを実行できるものである。
【0067】
このように、突発的に発生する停電等でも、本発明のコンピュータシステムに無停電電源装置14を組み合わせ、その制御信号を用いることによって安全性を格段に高めることができるようになる。
【0068】
なお、本発明は、実際の実施形態としてはコンピュータに上記動作を行わせるのはソフトウェアであり、このソフトウェアをコンピュータにインストールすることによって実現できる。言い換えると、これまで述べてきた実施形態の動作を行わせるようにプログラムを作成し、例えばCD−ROM、フロッピーディスクなどの記録媒体に記録しておけば、コンピュータで当該プログラムを読み出し実行することで上記管理を行えるようになる。
【0069】
【発明の効果】
以上説明したように、本発明のコンピュータシステムを用いれば、本来は本当のスーパーユーザしか利用することができないスーパーユーザコマンドの実行などを、セキュリティ性を確保した上で本来は権限のない一般ユーザにも利用できるようにすることができるので、非常時にやむなくコンピュータをシャットダウンしなければならないようなときにスーパーユーザが不在でも、許可された一般ユーザが代理で作業を行うことができる。
【0070】
また、無停電電源装置など、コンピュータに接続された他の装置からの信号を受けてスーパーユーザコマンドを実行させることができ、非常時の安全性を保つこともできる。
【0071】
また、これらの動作を行わせるのはソフトウェアであり、このソフトウェアをコンピュータにインストールすることによって上記機能を持たせることができるので、CD−ROM、フロッピーディスクなどの記録媒体に記録しておけば、コンピュータで当該プログラムを読み出し実行することが容易にできるようになる。
【図面の簡単な説明】
【図1】本発明の一実施形態を説明するためのブロック図である。
【図2】コンピュータの起動時の流れを説明するフロー図である。
【図3】rcファイルを説明する図である。
【図4】管理テーブルの例を示す図である。
【符号の説明】
1 中央処理装置
2 プロセス制御部
3 スーパーユーザプロセス
4a 代理デーモン
4b /etc/init
5 一般ユーザプロセス
6 usrinit
7 メモリ
8 記憶装置
9 管理テーブル
10 /tmp/usrinit_file
11 表示部
12 キーボード
13 プリンタ
14 無停電電源装置
15 ネットワーク
16 ネットワーク上の他のコンピュータ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a computer management method, and in particular, manages a computer on which a process that can be executed only by an authorized administrator is determined. For example, the present invention is suitable for managing a UNIX system workstation or the like. The present invention relates to a computer management method.
[0002]
[Prior art]
Some computer systems define an administrator and restrict processing that can be executed only by the administrator. For example, in a computer provided with UNIX in the operating system, an administrator called a super user is set, and only the super user has an authority to execute a specific command. Hereinafter, this is referred to as a super user command. Therefore, in UNIX, when using a computer, it is necessary to notify the computer in advance whether the user is a general user or a superuser. This is so-called login, and a computer performs an authentication operation by inputting a user name and a password.
[0003]
In order to use a computer as a super user, the user name and password of the super user are input to inform the computer that he is a super user. In the case of UNIX, the user name of the super user is usually “root”. Since the computer asks for a password for this user name, if a predetermined password is entered and authenticated, the computer can be used as a superuser.
[0004]
When the computer is not in the login acceptance state, it is possible to switch from the normal general user mode to the super user mode by executing “su” as a command. Authentication is performed by entering the password.
[0005]
If you log in as a superuser, you can perform computer hardware settings, system software installation / deletion, network settings, password settings, shutdown, and reboot (restart). For example, in the hardware setting, it is possible to set a connection state with various devices such as a hard disk drive, a CD-ROM drive, and a printer connected to the computer. These operations are performed by an administrator who is familiar with the system, and can be operated with few failures.
[0006]
Also, user registration and password setting / changing can be executed only by a super user. This management can prevent outsiders from entering and secure security.
[0007]
By allowing only authorized administrators to perform specific processing in this way, general users can accidentally delete hardware and software information, or prevent outsiders from entering. Therefore, the computer system can be operated smoothly.
[0008]
[Problems to be solved by the invention]
As described above, in the computer management method represented by UNIX, only an authorized administrator has the right to access a specific process or a specific area, so that it is possible to increase security. However, there is an inconvenience that some work cannot be performed in the situation where the manager is absent. For example, in a situation where the computer must be shut down due to some trouble, even if a general user shuts down the computer, the command “shutdown” can only be used by the super user. Will be asked to perform the shutdown work. Therefore, if there is no superuser in such a situation, there can be a situation where no one can perform the shutdown.
[0009]
From such a problem, Japanese Patent Laid-Open No. 3-36656 discloses a method for solving the above problem at the end of computer system operation. According to this method, the command is directly written in the user information registration file of the operating system, and the system operation is terminated, that is, the system is shut down. In the user information registration file, a user login name for terminating the system operation, a user password, a user ID, a comment, a path name (shell) of a program started at login, and the like are described in one line. . This user is a so-called general user and cannot normally be shut down. In this invention, the user having the ID registered in the user information registration file is given in advance to the user for terminating the system operation management in accordance with the access restriction mechanism supported by the operating system in accordance with the access restriction mechanism supported by the operating system. However, when logging in with the user login name and password for system operation termination, authentication is performed, and if the registered information is correct, the shell registered in the user information registration file is executed. The content of this shell is “/ etc / shudown”, and the operation is automatically terminated.
[0010]
As described above, by registering the shell for terminating the system operation and the user information in the user information registration file, a user other than the administrator can perform shutdown.
[0011]
However, this method cannot be used in recent systems. In recent UNIX and the like, it is confirmed whether a command such as “shutdown” is an execution from a super user when the command is executed. In other words, these commands allow only the superuser to execute the command by an executor confirmation mechanism inside the command, apart from the execution privilege due to access restrictions of the operating system. In Japanese Patent Laid-Open No. 3-36656, since login is performed with the user login name for system operation termination, authentication is not given and the shutdown operation is rejected. As described above, in a recent system, unless a user is logged in as a super user, the authority given only to the super user cannot be executed.
[0012]
In other words, it can be said that the security is higher than that of the conventional system. At the same time, as described above, when it is necessary to use the super user command without stopping, for example, if the super user is absent, the situation that the super user command cannot be executed again occurs.
[0013]
This application was made based on such a problem, and it is possible to execute a super user command that can be used only by a true specific administrator, and to a general user who is not originally authorized, while ensuring security. An object of the present invention is to provide a computer management method that can be used.
[0014]
[Means for Solving the Problems]
To solve the above purpose Mekon The computer system is a computer system in which an instruction that can be used only by a specific administrator is set, a background process means that operates in an administrator side process, an input means for a user to input various requests, At least the user's ID, Said request; Instruction information that is permitted to use by users who have a corresponding relationship with the request. And The background process means is started by a process having a specific authority capable of executing an instruction that can be used only by a specific administrator, and the user input from the input means. Information on management means in response to the request Refer to the ID of the user who entered the request, and determine whether the user is permitted to use the command corresponding to the request. Whether the request corresponds to an authorized command. If that A command corresponding to the request is issued to the computer system instead of the user. Here, the background process means may be activated when the computer system is activated, and may be operated as an administrator process while the computer system is operating.
[0015]
Another feature of the present invention is that the user ID is any one of a user ID, a group ID to which the user belongs, a network ID to which the user belongs, and a terminal ID used by the user. It is characterized by including one or more.
[0016]
Another feature of the present invention is that the apparatus further comprises storage means for storing a user request, the user request input from the input means is stored in the storage means, and the background process means is stored. The user's request stored in the means is read.
[0017]
Another feature of the present invention is that the background process means periodically accesses the storage means and monitors the stored information. The background process means may delete the information stored in the storage means after reading the user's request from the storage means.
[0018]
Other features of the invention are: The management means manages the user ID and the information of the command that is allowed to be used by the user corresponding to the request among the commands according to the information on the day of the week or the time or a unit combining them. It is characterized by that.
[0019]
Another feature of the present invention is that a signal transmitted from a computer system or an externally connected device is used as a user request.
[0020]
The computer system management method of the present invention is a computer system management method in which an instruction that can be used only by a specific administrator is set, operates in a process on the administrator side, and is used only by the specific administrator A background process launched by a process with specific privileges that can execute instructions that can execute at least the user ID for various requests entered by the user, Said request; Information related to commands that are allowed to be used by users who have a corresponding relationship with the request. And Management table to manage Refer to the ID of the user who entered the request, and determine whether the user is permitted to use the command corresponding to the request. Whether the request corresponds to an authorized command. If that A command corresponding to the request is issued to the computer system instead of the user. Here, the background process may be started when the computer system is started, and may always be operated by an administrator process while the computer system is operating.
[0021]
Another feature of the present invention is that the user ID is any one of a user ID, a group ID to which the user belongs, a network ID to which the user belongs, and a terminal ID used by the user. It is characterized by including one or more.
[0022]
Another feature of the present invention is that the input user request is stored in the storage unit, and the background process reads the user request stored in the storage unit.
[0023]
Another feature of the present invention is that the background process periodically accesses the storage unit and monitors the stored information. In addition, the background process may delete the information stored in the storage unit after reading the user's request from the storage unit.
[0024]
Other features of the invention are: At least one argument is added to the request, and the management means manages each request with the argument associated with information on a command permitted to be used by the user. And
[0025]
Another feature of the present invention is that a signal transmitted from a computer system or an externally connected device is used as a user request.
[0026]
The recording medium of the present invention has a computer system in which an instruction that can be used only by a specific administrator is set, a background process means that operates as a process on the administrator side, and an input for a user to input various requests. Means, at least the user's ID, Said request; Instruction information that is permitted to use by users who have a corresponding relationship with the request. And Utilization that functions as a management means for management and is started by a process having a specific authority capable of executing an instruction that can be used only by a specific administrator and input from an input means Management information in response to the Refer to the ID of the user who entered the request, and determine whether the user is permitted to use the command corresponding to the request. Whether the request corresponds to an authorized command. If that A program for operating the computer system is recorded so as to issue a command corresponding to the request to the computer system instead of the user.
[0027]
Furthermore, a program may be recorded so that the computer system is operated such that the request input by the user is stored and the background process unit reads the request from the storage unit.
[0028]
Since the present invention uses the technology as described above, even if it is a command that can be used only by a specific administrator, a request from the user corresponding to the command is executed by the process on the administrator side. The ground process determines whether or not the permission can be granted based on the management means, and if so, issues a command corresponding to the request to the computer system. Be able to run. In addition, since the background process is always running after activation, the user can issue a request at any time.
[0029]
According to another feature of the present invention, since the command is issued after the background process performs a predetermined process, the command can be executed like a procedure actually performed by the administrator.
[0030]
According to another feature of the present invention, since a signal from an internal device or an external device is used as a user's request, a cooperative operation between the computer system and another device is possible.
[0031]
By causing the computer system to execute the program recorded on the recording medium of the present invention, even if it is an instruction that can be originally used only by a specific administrator, a request from the user corresponding to the command is sent to the administrator. The background process operating in the side process determines whether or not the permission can be granted based on the management means, and if so, the computer system can be operated so as to issue a command corresponding to the request on behalf of the user. If a general user is permitted, an administrator command can be executed.
[0032]
DETAILED DESCRIPTION OF THE INVENTION
A first embodiment of the present invention will be described. In the present embodiment, a system having a UNIX operating system will be described as an example. However, the present embodiment is not limited to this.
[0033]
As described above, in UNIX, there is a difference in work that can be processed when logged in as a super user and when logged in as a general user. Work that can be processed by a general user can be processed in the same way by a super user, but some of the work that can be processed by a super user cannot be processed by a general user. Hereinafter, commands that can be used by general users are referred to as general user commands.
[0034]
FIG. 1 is a block diagram of a system for explaining a computer management method of the present invention, and FIG. 2 is a flow diagram for explaining a flow at startup when the present invention is applied to a UNIX system.
[0035]
In FIG. 1, a central processing unit 1 is a central part of a computer and a part that centrally manages all controls. Although the central processing unit may indicate only a processor chip provided in the computer, in this specification, the following parts are referred to as a central processing unit. The process control unit 2 handles a process for operating a computer, and operates each process by time sharing or the like. The upper user process 3 manages a process that can be used only by a super user. A plurality of processes can be started simultaneously in the super user process 3, and the proxy daemon 4a and the like are started in FIG. This proxy daemon 4a will be described in detail later.
[0036]
In addition to the super user process 3, the process control unit 2 includes a general user process 5, and the processes included in the general user process 5 can be used by general users. Yes. The usrit process 6 will be described later.
[0037]
The memory 7 is a so-called semiconductor memory device such as a DRAM that temporarily stores data during processing by the computer and a read-only ROM. The storage device 8 represents a hard disk drive, a CD-ROM drive, a floppy disk drive, or the like. The display unit 11 is also connected to the central processing unit 1 such as a screen such as a CRT, a keyboard 12 as a user input device, a printer 13 as an output device, an uninterruptible power supply 14 and the like. Further, it is connected to another computer 16 or the like via the network 15. The uninterruptible power supply 14 is directly connected to a computer power supply, and the connection in FIG. 1 is connected to a signal line for transmitting other control signals.
[0038]
Next, the operation when the computer is started will be described with reference to FIG. First, when the power is turned on (STEP 1), the boot program recorded in the ROM (memory 7) of the computer is started (STEP 2). By this boot program, the startup program normally recorded in the 0th block on the hard disk (storage device 8) is started (STEP 3). In UNIX, the 0th block on the hard disk is an area that cannot be directly accessed by a normal file storage command, and the startup program is stored in this area so that it can be safely executed without being overwritten by mistake. be able to.
[0039]
Next, the startup program starts a file “/ boot” (STEP 4). / Boot is a program stored in the memory 7 of the computer for starting the process control unit 2. Thereafter, the UNIX system is actually activated. After starting, the process control unit 2 performs an error check of the memory 7 and then executes “/ etc / init” (FIG. 14B), which is one of UNIX processes (STEP 5). This is a UNIX process executed for the first time after the computer is started. This “init” process 4 b is executed by the super user process 3. The “init” process 4b performs activation of a shell for a single super user. That is, the super user can execute the management function alone here, and can perform various settings before the general user uses it.
[0040]
Next, the “init” process 4b executes a file “/ etc / rc” (hereinafter simply referred to as “rc file”) (STEP 6). The rc file contains a script for making settings for operating the computer smoothly.
[0041]
FIG. 3A shows an example of an rc file. Since the rc file is a so-called script, the processes are performed in the order described. For example, in the second line “PATH”, a command search path on a UNIX file system having a hierarchical structure is set. “Mount-at 4.2” indicates that if the computer has a local disk, the file system is mounted there. Also, “quotacheck-a-p” and “quotaon-a” specify disk quota check and activation. The disk quota is a function for controlling the disk space that can be used by each user.
[0042]
As described above, the necessary file system is mounted by executing the rc file, or the necessary file is executed or deleted to mainly prepare the file system. At this time, necessary processes are also started.
[0043]
Thereafter, preparation for the multi-user mode is performed (STEP 7), and a user login can be accepted (STEP 8).
[0044]
The above is a general flow at the time of starting UNIX, and at this time, the computer is in a state of waiting for the user to log in. When logging in in the super user mode, it is only necessary to input “root” as a login name and a predetermined password. When logging in as a general user, login can be performed with a predetermined login name and password. With such a computer startup method, a general user cannot execute a superuser command.
[0045]
Therefore, in the present invention, at startup Execute The following settings are made in the rc file of STEP6. This setting is performed by the super user editing the script in the rc file. In this part of the rc file in FIG. 3B, a setting for starting a process that is always started is described. For example, “update” periodically changes the contents of the memory 7 to a hard disk (storage device 8). And “cron” is a process for executing a process defined along a file of a time table (not shown) / usr / lib / crontab. The process activated here is a so-called background process, and always operates in the background while the computer is activated.
[0046]
In the present invention, the background process is set to start a process “dummy” called a proxy daemon 4a. Since the proxy daemon 4a is activated by a super user process, it can execute a super user command. The proxy daemon 4a monitors a request input from the user, and if the request means a super user command, determines whether the request can be executed, and executes the super user command on behalf of the user. It works to execute. For this determination, a management table 9 described later is used.
[0047]
Any request is input as a command from the user. As described above, the command includes a super user command and a general user command, and the system determines whether the command is a super user command or a general user command. In the system of the present invention, the system determines the super user command and the general user command in the same manner as in the past. That is, even if a general user inputs a super user command, the execution is rejected.
[0048]
In the present invention, when a general user wants to perform “shutdown”, for example, he / she inputs a proxy superuser command “usrshut”. It is assumed that “usrshut” is not a command originally possessed by UNIX but is set by a super user of this computer, and is defined as a command that a general user inputs when shutting down. When there is a request for the proxy super user command “usshut” from the user, the proxy daemon 4a activated from the rc file in advance inquires the user name of the user who has input the proxy super user command in the management table 9, and the user It is determined whether or not the “shutdown” command is permitted. If the execution of the command is permitted as a result of the determination, the proxy daemon 4a executes “shudown” which is originally a super user command.
[0049]
The management table 9 is created in advance by a super user, and information on what processing (request) is permitted for which general user is defined. In the management table 9 of FIG. 4A, one super user command is described in each row, and subsequently, a user name that can execute the super user command is described. The first line is “shutdown”, meaning that this command can be executed by user A, user B, and user D.
[0050]
On the other hand, in the definition file (not shown), the correspondence between the super user command and the corresponding proxy super user command is defined, and the proxy daemon 4a interprets the meaning of the proxy super user command and makes a determination in the management table 9. . In this embodiment, an example in which the management table 9 and the definition file are separately described is described. For example, in FIG. 4A, a column in which proxy superuser commands corresponding to each superuser command are associated is provided. You may manage within one table.
[0051]
Since the management table associates the user name with the request, it can be created so as to enumerate the commands permitted for the user name as shown in FIG. 4B, contrary to FIG. Alternatively, as shown in FIGS. 4 (c) and 4 (d), it is possible to limit by day of the week or time. When restricting by time, it is possible to make detailed settings by making a statement such as “who can execute which command from what time to what time”. The management table can be variously set by combining these constraint conditions. In FIG. 4, the user ID is simply described as the user name. However, for example, the ID of the group to which the user belongs, the ID of the network to which the user belongs, the ID of the terminal used by the user, or the like may be used. Good.
[0052]
This is a flow when the basic activation of the present application and the command of the proxy daemon 4a are accepted. As described above, when the user requests a predetermined proxy super user command, the proxy daemon 4a interprets the command contents and the user name. If the request is from an authorized user, the proxy daemon 4a takes the place of the general user. To execute a predetermined super user command.
[0053]
Next, processing after receiving a proxy super user command will be described. The proxy daemon 4a performs a predetermined operation in a batch process when executing a super user command corresponding to the proxy super user command. For example, when “usshut” is accepted as a proxy superuser command and the corresponding superuser command “shdowndown” is executed, first, when starting “shutterdown”, a processing history is left in the log file. This is used for recording information such as who executed when and what command and confirming what processing has been performed.
[0054]
Next, the prescript is executed. This is a script that describes a process for updating data before shutting down when a database or the like is running, or for terminating a running program. Alternatively, a message to shut down is sent to the user of another computer 16 connected via the network 15 or the like.
[0055]
Next, the proxy super user command passed from the user to the proxy daemon 4a is deleted. This is to prevent the same command from being executed again by mistake when it is started next time. When a series of processing is completed, the actual stop operation is started.
[0056]
The general user passes a proxy superuser command “usshut” to the proxy daemon 4a in order to shut down, but an argument can be used for the proxy superuser command.
[0057]
For example, the usrit process 6 is used to request various instructions from the proxy daemon 4a, and the user inputs a command "usinit" to execute this process. Here, 0, 1, 2,. . . And make the request contents different depending on the argument. For example, “usrinit 0” can be shut down, “usritit 6” can be rebooted, etc. Even in the same “usinit”, the instruction can be changed by an argument.
[0058]
Use the command “pkadd” to install the software, for example, access the floppy disk package and install the software.
To do so, a command and an argument “pkadd-d / dev / rfd0a” are input. Here, a proxy super user command “usrpkgadd” corresponding to this command is set, and when the command “usrpkgadd -d / dev / rfd0a” is requested with this command, the proxy daemon 4a super The user command “pkadd-d / dev / rfd0a” is executed.
[0059]
An advantage of giving an instruction using a method using arguments is that several processes can be instructed at once by adding a plurality of arguments. Although many UNIX commands can originally use arguments, among them, combinations of commands and arguments that are relatively frequently used can be assigned to one argument. For example, an instruction with an argument of “shutdown +10” in UNIX starts a shutdown process after 10 minutes. Alternatively, when “shutdown 21:00” is designated, the shutdown process is started at 21:00. Thus, the shutdown operation is often started after a certain period of time without being performed immediately. Further, there may be a case where a plurality of arguments are accompanied, such as “shutdown -h now”. If these are set as “usrinit 3”, “usrinit 4”, “usrinit 5”, etc., predetermined arguments can be processed. The argument is set in the management table 9 by the superuser, and the proxy daemon 4a executes processing with reference to this.
[0060]
In the above description, requests from general users are input as proxy super user commands, which are received directly by the proxy daemon 4a. Another method for receiving the request from the general user by the proxy daemon 4a will be described. Here, the input command is temporarily stored in the storage area by the general user side process 5. For example, it is written in a file 10 called / tmp / usinit_file in the storage device 8.
[0061]
On the other hand, the proxy daemon 4 a of the super user process 3 periodically monitors the / tmp / usinit_file file 10 stored in the storage device 8. For example, the contents of the file 10 are confirmed every 10 seconds, and if a request from a general user is stored, it is read, and if it is permitted with reference to the management table 9, it is executed.
[0062]
Alternatively, this may be stored in the memory 7. Although it is relatively easy for other users to view and rewrite the file, it is difficult to access the information stored in the specific area of the memory 7 and the security is further improved. In the case of the memory 7, there is a high possibility that data will be erased before restarting. As described above, the proxy super user command is deleted after being interpreted by the proxy daemon 4a to prevent a malfunction. However, when the shutdown request is written in the file 10 and the shutdown is performed, the contents of the file 10 should be saved. If it is not deleted, shutdown can be initiated again when it is restarted. Since the memory 7 is normally cleared at the time of restart, such a problem is unlikely to occur.
[0063]
When a general user requests a proxy super user command in this way, the proxy daemon 4a interprets the command contents and the user name. If the request is an authorized request from an authorized user, the proxy daemon 4a takes the place of the general user. A predetermined super user command can be executed.
[0064]
In this embodiment, the super user process 3 and the general user process 5 are operating in one computer, and the request from the user is processed in the computer. A user may issue a request from the computer 16 via the network 15.
[0065]
Next, a second embodiment will be described. In FIG. 1, an uninterruptible power supply 14 is provided in the event of a power failure and stores power therein so that even when a power failure occurs, the computer can continue to operate for a certain period of time to perform a shutdown operation or the like. As a result, it is possible to prevent irregular termination even at the time of a power failure and to improve safety. In recent years, the uninterruptible power supply 14 has been frequently connected to a computer power supply, but even in this case, the inconvenience that the computer cannot be shut down when the super user is absent has not been solved.
[0066]
Therefore, in the present embodiment, a mechanism is provided for extracting a control signal from the uninterruptible power supply 14 and transmitting it to a computer. Normally, the computer is only supplied with power from the uninterruptible power supply 14. The uninterruptible power supply 14 continues to store power in the power storage unit when it is normal, but when a power failure occurs, the function is switched to supply power to other devices connected to the power supply. At this time, the switching of the operation is hardly recognized from the other device side. On the other hand, in the present embodiment, when the function on the uninterruptible power supply 14 side is switched, a signal to that effect is issued from the uninterruptible power supply 14. The proxy daemon 4a of the computer receives a signal notifying the power failure generated from the uninterruptible power supply 14, and starts a shutdown operation, for example. That is, in the first embodiment, the proxy daemon 4a executes the super user command in response to the proxy super user command from the general user. However, in this embodiment, the proxy daemon 4a receives the signal from the uninterruptible power supply 14 as a signal. It can interpret and execute superuser commands.
[0067]
In this way, even in the event of a power outage that occurs suddenly, the uninterruptible power supply 14 is combined with the computer system of the present invention, and its control signal can be used to significantly increase safety.
[0068]
It should be noted that the present invention is software that causes a computer to perform the above operation as an actual embodiment, and can be realized by installing this software in the computer. In other words, if a program is created so as to perform the operations of the embodiments described so far and recorded on a recording medium such as a CD-ROM or a floppy disk, the program can be read and executed by a computer. The above management can be performed.
[0069]
【The invention's effect】
As described above, if the computer system of the present invention is used, it is possible to execute a super user command, which can be used only by a real super user, to an ordinary user who is not originally authorized while ensuring security. Can be made available, so that even if a superuser is absent in the event that the computer must be shut down in an emergency, an authorized general user can work on behalf.
[0070]
In addition, superuser commands can be executed in response to signals from other devices connected to the computer, such as an uninterruptible power supply, and safety in an emergency can be maintained.
[0071]
In addition, it is software that performs these operations, and this function can be provided by installing this software in a computer, so if it is recorded on a recording medium such as a CD-ROM or floppy disk, The computer can easily read and execute the program.
[Brief description of the drawings]
FIG. 1 is a block diagram for explaining an embodiment of the present invention.
FIG. 2 is a flowchart for explaining a flow when a computer is started.
FIG. 3 is a diagram illustrating an rc file.
FIG. 4 is a diagram illustrating an example of a management table.
[Explanation of symbols]
1 Central processing unit
2 Process control unit
3 Super user process
4a Proxy daemon
4b / etc / init
5 General user process
6 usrinit
7 memory
8 Storage device
9 Management table
10 / tmp / usrinit_file
11 Display
12 Keyboard
13 Printer
14 Uninterruptible power supply
15 network
16 Other computers on the network

Claims (18)

特定の管理者だけが使用することのできる命令が設定されたコンピュータシステムにおいて、
前記管理者側プロセスで動作するバックグラウンドプロセス手段と、
利用者が様々な要求を入力する入力手段と、
少なくとも前記利用者のIDと、前記要求と、前記命令のうち前記要求と対応関係にある前記利用者に使用を許可する命令の情報とを対応付けて管理する管理手段と、
を備え、
前記バックグラウンドプロセス手段は、
前記特定の管理者だけが使用することのできる命令を実行可能な特定の権限を持つプロセスで起動され、
前記入力手段から入力された利用者の要求に対して、前記管理手段の情報を参照し、前記要求を入力した利用者のIDを用いて、当該利用者に当該要求に対応する命令の使用が許可されているか否かを判断し、当該要求が許可された命令に対応する要求であれば、前記利用者の代わりに前記コンピュータシステムに対して当該要求に対応する命令を発する
ことを特徴とするコンピュータシステム。In a computer system with instructions that can only be used by a specific administrator,
Background process means operating in the administrator side process;
An input means for the user to input various requests;
A management unit that manages at least the ID of the user, the request, and information on a command that is allowed to be used by the user in a correspondence relationship with the request among the commands;
With
The background process means includes
Launched in a process with specific privileges capable of executing instructions that can only be used by the specific administrator,
In response to the user request input from the input means, the information of the management means is referred to, and the user corresponding to the request is used by using the ID of the user who has input the request. It is determined whether the request is permitted, and if the request is a request corresponding to the permitted command, the command corresponding to the request is issued to the computer system instead of the user. Computer system. 前記バックグラウンドプロセス手段は、コンピュータシステム起動時に起動され、コンピュータシステムが動作中は常に前記管理者側プロセスで動作することを特徴とする請求項1記載のコンピュータシステム。  2. The computer system according to claim 1, wherein the background process means is started when the computer system is started, and is always operated by the manager side process while the computer system is operating. 前記利用者のIDには、前記利用者の個人ID、前記利用者の所属するグループID、前記利用者の所属するネットワークID、前記利用者の利用する端末IDのいずれか1つ以上を含むことを特徴とする請求項1或いは2記載のコンピュータシステム。  The user ID includes at least one of the user's personal ID, the group ID to which the user belongs, the network ID to which the user belongs, and the terminal ID to be used by the user. The computer system according to claim 1 or 2. 前記利用者の要求を格納する格納手段を更に有し、
前記入力手段から入力された利用者の要求は、前記格納手段に格納され、
前記バックグラウンドプロセス手段は、前記格納手段に格納された前記利用者の要求を読み取ることを特徴とする請求項1、2又は3記載のコンピュータシステム。Storage means for storing the user request;
The user request input from the input means is stored in the storage means,
4. The computer system according to claim 1, 2, or 3, wherein the background process means reads the user request stored in the storage means. 前記バックグラウンドプロセス手段は、定期的に前記格納手段にアクセスし格納された情報を監視することを特徴とする請求項4記載のコンピュータシステム。  5. The computer system according to claim 4, wherein the background process means periodically accesses the storage means and monitors the stored information. 前記バックグラウンドプロセス手段は、前記格納手段から前記利用者の要求を読み取った後格納手段に格納された情報を削除することを特徴とする請求項4又は5記載のコンピュータシステム。  6. The computer system according to claim 4, wherein the background processing means deletes the information stored in the storage means after reading the user request from the storage means. 前記管理手段は、曜日、時間或いはこれらを組み合わせたものによって利用者による前記命令の使用を制限するために、更に、前記利用者のIDと、前記命令のうち前記要求と対応関係にある前記利用者に使用を許可する命令の情報を、曜日或いは時間に関する情報或いはそれらを組み合わせた単位に対応付けて管理することを特徴とする請求項1、2、3、4、5又は6記載のコンピュータシステム。  The management means further restricts the use of the command by a user according to a day of the week, a time, or a combination thereof, and further, the user ID and the use corresponding to the request among the commands 7. The computer system according to claim 1, 2, 3, 4, 5 or 6, wherein information on a command permitted to be used by a user is managed in association with information relating to day of the week or time, or a unit combining them. . 前記利用者の要求として、前記コンピュータシステム内、或いは外部に接続された装置から送信された信号を用いることを特徴とする請求項1、2、3、4、5、6又は7記載のコンピュータシステム。  8. The computer system according to claim 1, wherein a signal transmitted from a device connected inside or outside the computer system is used as the user request. . 特定の管理者だけが使用することのできる命令が設定されたコンピュータシステムの管理方法であって、
管理者側プロセスで動作し、前記特定の管理者だけが使用することのできる命令を実行可能な特定の権限を持つプロセスで起動されるバックグラウンドプロセスが、
利用者が入力した様々な要求について、
少なくとも前記利用者のIDと、前記要求と、前記命令のうち前記要求と対応関係にある前記利用者に使用を許可する命令に関した情報とを対応付けて管理する管理テーブルを参照し、前記要求を入力した利用者のIDを用いて、当該利用者に当該要求に対応する命令の使用が許可されているか否かを判断し、当該要求が許可された命令に対応する要求であれば、前記利用者の代わりに前記コンピュータシステムに対して当該要求に対応する命令を発することを特徴とするコンピュータシステムの管理方法。A computer system management method in which a command that can be used only by a specific administrator is set,
A background process that runs in an administrator-side process and is started by a process with specific privileges that can execute instructions that can only be used by the specific administrator.
For various requests entered by users,
Reference is made to a management table that manages at least the ID of the user, the request, and information related to an instruction that allows the user to use the instruction in a correspondence relationship with the request, and the request Is used to determine whether the user is permitted to use the command corresponding to the request, and if the request is a request corresponding to the permitted command, A computer system management method, wherein a command corresponding to the request is issued to the computer system in place of a user. 前記バックグラウンドプロセスは、コンピュータシステム起動時に起動され、コンピュータシステムが動作中は常に前記管理者側プロセスで動作することを特徴とする請求項9記載のコンピュータシステムの管理方法。  The computer system management method according to claim 9, wherein the background process is started when the computer system is started, and is always operated by the administrator side process while the computer system is operating. 前記利用者のIDには、前記利用者の個人ID、前記利用者の所属するグループID、前記利用者の所属するネットワークID、前記利用者の利用する端末IDのいずれか1つ以上を含むことを特徴とする請求項9或いは10記載のコンピュータシステムの管理方法。The user ID includes at least one of the user's personal ID, the group ID to which the user belongs, the network ID to which the user belongs, and the terminal ID to be used by the user. The method of managing a computer system according to claim 9 or 10 . 入力された前記利用者の要求は格納部に格納され、
前記バックグラウンドプロセスは、前記格納部に格納された前記利用者の要求を読み取ることを特徴とする請求項9、10又は11記載のコンピュータシステムの管理方法。The input user request is stored in the storage unit,
12. The computer system management method according to claim 9, 10 or 11, wherein the background process reads the user request stored in the storage unit. 前記バックグラウンドプロセスは、定期的に前記格納部にアクセスし格納された情報を監視することを特徴とする請求項12記載のコンピュータシステムの管理方法。  13. The computer system management method according to claim 12, wherein the background process periodically accesses the storage unit and monitors the stored information. 前記バックグラウンドプロセスは、前記格納部から前記利用者の要求を読み取った後格納部に格納された情報を削除することを特徴とする請求項12又は13記載のコンピュータシステムの管理方法。  14. The computer system management method according to claim 12, wherein the background process deletes the information stored in the storage unit after reading the user's request from the storage unit. 前記要求には少なくとも一つの引数が付加され、前記管理手段は前記引数が付加された要求の夫々に対して、前記利用者に使用を許可する命令の情報を対応付けて管理することを特徴とする請求項1、2、3、4、5、6、7又は8記載のコンピュータシステム。  At least one argument is added to the request, and the management unit manages, in association with each request to which the argument is added, information on an instruction that allows the user to use the information. The computer system according to claim 1, 2, 3, 4, 5, 6, 7 or 8. 前記利用者の要求として、前記コンピュータシステム内、或いは外部に接続された装置から送信された信号を用いることを特徴とする請求項9、10、11、12、13又は14記載のコンピュータシステムの管理方法。  The computer system management according to claim 9, 10, 11, 12, 13, or 14, wherein a signal transmitted from a device connected inside or outside the computer system is used as the user request. Method. 特定の管理者だけが使用することのできる命令が設定されたコンピュータシステムを、
前記管理者側プロセスで動作するバックグラウンドプロセス手段と、
利用者が様々な要求を入力する入力手段と、
少なくとも前記利用者のIDと、前記要求と、前記命令のうち前記要求と対応関係にある前記利用者に使用を許可する命令の情報とを対応付けて管理する管理手段と、
して機能させると共に、
前記バックグラウンドプロセス手段が、前記特定の管理者だけが使用することのできる命令を実行可能な特定の権限を持つプロセスで起動され、且つ、前記入力手段から入力された利用者の要求に対して前記管理手段の情報を参照し、前記要求を入力した利用者のIDを用いて、当該利用者に当該要求に対応する命令の使用が許可されているか否かを判断し、当該要求が許可された命令に対応する要求であれば、前記利用者の代わりに前記コンピュータシステムに対して当該要求に対応する命令を発するように、前記コンピュータシステムを動作させるプログラムを記録した記録媒体。A computer system with instructions that can only be used by specific administrators
Background process means operating in the administrator side process;
An input means for the user to input various requests;
A management unit that manages at least the ID of the user, the request, and information on a command that is allowed to be used by the user in a correspondence relationship with the request among the commands;
As well as function
The background process means is activated by a process having a specific authority capable of executing an instruction that can be used only by the specific administrator, and in response to a user request input from the input means. With reference to the information of the management means, using the ID of the user who entered the request, it is determined whether or not the user is permitted to use the command corresponding to the request, and the request is permitted. A recording medium storing a program for operating the computer system to issue a command corresponding to the request to the computer system instead of the user if the request corresponds to the command. 前記利用者が入力した要求を格納しておく格納手段から前記バックグラウンドプロセス手段が前記要求を読み出すようにコンピュータシステムを動作させるプログラムを記録した請求項17記載の記録媒体。  18. The recording medium according to claim 17, wherein a program for operating a computer system is recorded so that the background process means reads out the request from storage means for storing the request input by the user.
JP05491298A 1998-03-06 1998-03-06 Computer system, management method thereof, and recording medium Expired - Fee Related JP4174692B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP05491298A JP4174692B2 (en) 1998-03-06 1998-03-06 Computer system, management method thereof, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP05491298A JP4174692B2 (en) 1998-03-06 1998-03-06 Computer system, management method thereof, and recording medium

Publications (2)

Publication Number Publication Date
JPH11259426A JPH11259426A (en) 1999-09-24
JP4174692B2 true JP4174692B2 (en) 2008-11-05

Family

ID=12983826

Family Applications (1)

Application Number Title Priority Date Filing Date
JP05491298A Expired - Fee Related JP4174692B2 (en) 1998-03-06 1998-03-06 Computer system, management method thereof, and recording medium

Country Status (1)

Country Link
JP (1) JP4174692B2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1811380A4 (en) * 2004-08-21 2010-11-03 Ko-Cheng Fang Method for protecting the computer data
JP5445096B2 (en) 2009-12-15 2014-03-19 富士通株式会社 Information processing apparatus, command determination program, and command determination method
JP5702953B2 (en) * 2010-06-09 2015-04-15 キヤノン株式会社 Information processing apparatus and application execution method and program
JP5857637B2 (en) * 2011-11-04 2016-02-10 サンケン電気株式会社 Information processing program and information processing method
JP2013254391A (en) * 2012-06-07 2013-12-19 Hitachi Solutions Ltd Privilege command execution control method and system
JP6605406B2 (en) * 2016-06-30 2019-11-13 横河レンタ・リース株式会社 Data management apparatus, data management method, and data management program

Also Published As

Publication number Publication date
JPH11259426A (en) 1999-09-24

Similar Documents

Publication Publication Date Title
EP1004069B1 (en) Network distributed system for updating locally secured objects in client machines
JP4865177B2 (en) Behavior of trust status on computing platforms
US7484207B2 (en) Software execution control system and software execution control program
US8201239B2 (en) Extensible pre-boot authentication
US5978911A (en) Automatic error recovery in data processing systems
JP2642065B2 (en) Computer system
US6584568B1 (en) Network provider loop security system and method
US8909940B2 (en) Extensible pre-boot authentication
KR100924410B1 (en) Computer system
US6108779A (en) Server and computer network that permit a client to be easily introduced into the computer network
US20050188422A1 (en) Protected execution environments within a computer system
US20090077250A1 (en) Computer and Access Control Method in a Computer
US8250630B2 (en) Detecting unauthorized computer access
US20030070102A1 (en) Password changing method and computer system, and computer readable record medium storing a program therein
GB2527569A (en) Booting a computer from a user trusted device with an operating system loader stored thereon
KR100767905B1 (en) Computer system
JP4174692B2 (en) Computer system, management method thereof, and recording medium
US6918044B1 (en) Password protection for high reliability computer systems
JP2002324011A (en) Storage system
KR101056423B1 (en) Program Execution Management Method and Record Media Using Logged-In Account Control
JP2001027911A (en) System and method for preventing illegal access of computer
JP3520143B2 (en) Information processing system
KR101041115B1 (en) System and Method Using Website by Permission Control and Recording Medium
RU2444057C1 (en) System for preventing unauthorised access to confidential information and information containing personal details
JPH10133868A (en) Software use right management system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040913

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071128

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080128

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080418

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20080428

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080703

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080724

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080806

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110829

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110829

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120829

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120829

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130829

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees