JP5857637B2 - 情報処理プログラムおよび情報処理方法 - Google Patents
情報処理プログラムおよび情報処理方法 Download PDFInfo
- Publication number
- JP5857637B2 JP5857637B2 JP2011242184A JP2011242184A JP5857637B2 JP 5857637 B2 JP5857637 B2 JP 5857637B2 JP 2011242184 A JP2011242184 A JP 2011242184A JP 2011242184 A JP2011242184 A JP 2011242184A JP 5857637 B2 JP5857637 B2 JP 5857637B2
- Authority
- JP
- Japan
- Prior art keywords
- command
- user
- information processing
- execution
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 69
- 238000003672 processing method Methods 0.000 title claims description 17
- 238000000034 method Methods 0.000 claims description 56
- 230000008569 process Effects 0.000 claims description 35
- 238000004891 communication Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 claims description 6
- 239000000284 extract Substances 0.000 claims description 4
- 238000001514 detection method Methods 0.000 description 15
- 238000012545 processing Methods 0.000 description 8
- 238000012790 confirmation Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000002411 adverse Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000009931 harmful effect Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
- G06F9/45508—Runtime interpretation or emulation, e g. emulator loops, bytecode interpretation
- G06F9/45512—Command shells
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Description
本発明は、コマンドの属性によって、実行可能なユーザが制限されるコンピュータで実行される情報処理プログラムおよび情報処理方法に関する。
昨今コンピュータの利用において、様々な機器が用いられている。その機器の一つにUPS(無停電電源装置:Uninterruptible Power Supply)がある。UPSは、停電によりコンピュータへの電力供給が停止するのを回避するため、一定時間、電力供給を継続することのできる電源装置である。
このような機器を適切に利用するため、これらの機器を管理するためのアプリケーションプログラムが必須となっている。このような管理プログラムは、例えば、UPSが稼働を開始したタイミングを知らせる方法を設定したり、UPSが稼働した際にバックアップを実行する指示などを設定することができる。
一方コンピュータのオペレーションシステムは、セキュリティを強化するために、ユーザアカウント制御(UAC)を適用する場合がある。ユーザアカウント制御によって、特定のコマンドについては、特定のユーザのみが実行可能となる。例えば、特定のユーザのための記憶領域には、そのユーザのみがアクセス可能とすることができる。また、コンピュータは、SYSTEMユーザのみが、コンピュータ全体の制御に係るコマンドを実行できるよう制限されている。このように、ユーザアカウント制御によって、セキュリティを強化し、安定したオペレーションシステムを提供することができる。
近年のセキュリティ強化の傾向に伴って、任意のログインユーザが実行可能なコマンドが制限される場合がある。具体的には、特定のコマンドが実行される際、オペレーションシステムは、「このコマンドを実行して良いか?」と問い合わせる画面を表示する。この場合、ユーザがOKボタンを押下するなどにより明示的に指示を与えた場合のみ、コマンドが実行される。
これにより、円滑にアプリケーションを実行することが困難な場合がある。具体的には、ユーザは、問い合わせ画面に対して明示的な指示を入力するために、コンピュータの前に待機する必要がある。従って、コンピュータを無人で運用することが困難となる。特に、上記のUPSにおいては、コンピュータへの電力の供給に緊急性を要する場合が多く、セキュリティ強化による弊害は甚大になるおそれがある。
これを回避するため、非特許文献1は、管理者として実行させる設定を設けて、アプリケーションを管理者権限で実行させる案を提案している。また非特許文献1は、このような昇格を必要としないアプリケーションを設計する方法も提案している。
また非特許文献2は、古いオペレーションシステムでは、セキュリティが緩いことを利用して、アプリケーションを実行する方法を提案している。非特許文献2は、アプリケーションを古いオペレーションシステムで稼働させる互換モードを開示する。互換モードにおいてアプリケーションは、セキュリティの緩い古いオペレーションシステム上で稼働することにより、セキュリティ強化による弊害を回避する。
"アプリケーション開発者向け Microsoft(R) Windows 7 対応アプリケーションの互換性",[online],Microsoft Corporation,2010年7月27日,[平成23年10月31日検索],インターネット<http://download.microsoft.com/download/B/0/6/B06C5017-9589-4B43-BC18-24052C3C3F15/Windows7_Compatibility.docx>
"アプリケーション開発者向け Microsoft(R) Windows 7 対応アプリケーションの互換性",[online],Microsoft Corporation,2010年7月27日,[平成23年10月31日検索],インターネット<http://msdn.microsoft.com/ja-jp/windows/dd882526>
しかしながら、上記の非特許文献に記載の方法は、十分な対応策ではないと考えられる。
例えば、非特許文献1に記載の方法では、アプリケーションを変更する必要はないものの、アプリケーションの属性を個別に設定する必要がある。また、現状のオペレーションシステムでは、互換モードを利用して古いオペレーションシステムでの運用を許可する機能を提供するものの、この機能の提供が恒久的に保証されているわけではない。従って、ユーザアカウント制限による不具合が発生しないように、アプリケーションを開発する必要があり、アプリケーション開発者に負担を強いる場合がある。また、セキュリティ強化の観点で、オペレーションシステムがアクセス制限を設けた趣旨を没却してしまうおそれもある。
従って本発明の目的は、コマンドの属性によって、実行可能なユーザが制限されるコンピュータで、円滑にコマンドを実行可能な情報処理プログラムおよび情報処理方法を提供することである。
上記課題を解決するために、本発明の第1の特徴は、コマンドの属性によって、実行可能なユーザが制限されるコンピュータで実行される情報処理プログラムに関する。即ち本発明の第1の特徴に係る情報処理プログラムは、コンピュータを、当該コンピュータのメモリに常駐して、サービスを提供するサービス提供手段として機能させる。サービス提供手段はさらに、コマンドの実行を要求されると、コマンドの属性とコマンドを実行可能なユーザ名とを対応づけたコマンド実行ユーザデータから、要求されたコマンドを実行可能なユーザ名を抽出し、抽出されたユーザ名でコマンドを実行する。
ここで、サービス提供手段は、当該コンピュータで機能するコマンド要求手段または、通信ネットワークから、コマンドの実行の要求を受ける。またサービス提供手段は、新たなプロセスを生成し、そのプロセスで、抽出されたユーザ名でコマンドを実行しても良い。
本発明の第2の特徴は、コマンドの属性によって、実行可能なユーザが制限されるコンピュータでコマンドを実行する情報処理方法に関する。即ち本発明の第2の特徴に係る情報処理方法は、コマンドの属性とコマンドを実行可能なユーザ名とを対応づけたコマンド実行ユーザデータを、記憶装置に記憶するステップと、コンピュータのメモリに常駐して、サービスを提供するステップと、サービスが、所定のユーザのみが実行可能なコマンドの実行の要求を受けるステップと、コマンドの実行が要求されると、コマンド実行ユーザデータから、要求されたコマンドを実行可能なユーザ名を抽出し、抽出されたユーザ名でコマンドを実行するステップを備える。
ここで、要求を受けるステップは、当該コンピュータまたは通信ネットワークから、コマンドの実行の要求を受ける。またコマンドを実行するステップは、新たなプロセスを生成し、そのプロセスで、抽出されたユーザ名でコマンドを実行しても良い。
本発明によれば、コマンドの属性によって、実行可能なユーザが制限されるコンピュータで、円滑にコマンドを実行可能な情報処理プログラムおよび情報処理方法を提供することができる。
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一または類似の部分には同一または類似の符号を付している。
本発明の実施の形態に係る情報処理方法は、情報処理装置1に用いられる。情報処理装置1は、コマンドの属性によって、実行可能なユーザが制限されるコンピュータである。
コンピュータのセキュリティを強化するために、オペレーションシステムは、ユーザアクセス制限を設けている。従って、権限を持たないユーザがログインをしてアプリケーションを起動した際、ユーザアクセス制限により、コマンドの実行確認の画面が表示されるなど、コマンドが正しく起動されない場合がある。特にコマンドの実行確認の画面が表示され、OKボタンが押下されない限りコマンドが実行されないことになる。ユーザアクセス制限が設けられたコンピュータにおいて、緊急性を要するコマンドを実行しづらい場合がある。
そこで本発明の実施の形態に係る情報処理方法において、アプリケーションプログラムの実行時にユーザアクセス制限を受けるコマンドが生じると、アプリケーションプログラムは、サービスにこのコマンドの実行を要求する。サービスは、実行を要求されたコマンドについて、このコマンドを実行可能なユーザを特定する。サービスは、オペレーションシステムのAPI(Application Program Interface)などを用いて、実行可能なユーザに切り替えてコマンドを実行する。
ここで、アプリケーションプログラムは、ユーザのログイン時に実行されるプログラムである。アプリケーションプログラムは、ユーザの操作によって起動したり、ユーザのログインによって起動する。一般的にアプリケーションプログラムは、情報処理装置1の入出力装置を用いて、ユーザからの指示に基づいてデータを処理し、その結果を画面に表示する。例えば、UPSを管理するためのアプリケーションプログラムは、UPSを管理および制御するためのパラメータを設定する画面を表示したり、ユーザによって設定されたパラメータを、所定の記憶領域に記憶する。
一方サービスは、情報処理装置1のメモリに常駐して、画面を表示することなく、バックグラウンドで実行する。一般的にサービスは、所定のイベントを検知し、その検知に基づいてデータを処理する。例えば、UPSを管理するためのサービスは、UPSを監視し、必要に応じて、データを処理する。本発明の実施の形態においては、「サービス」という名称で説明するが、オペレーションシステムによっては、「デーモン」と呼ばれる場合もある。
図1を参照して、本発明の実施の形態に係る情報処理方法を説明する。まず図1(a)に示すように、ステップS1において情報処理装置1は、イベントの検出を待機する。本発明の実施の形態においてイベントは、どのようなものでも良い。本発明の実施の形態において「イベント」は、例えば、UPSに関する重要な事象を通知する警告や、軽微な事象を通知するアラームなどを含む。
イベントを検出すると、ステップS2において情報処理装置1は、このイベントをユーザに通知するためのコマンドを取得する。さらに情報処理装置1は、取得したコマンドでのイベントの通知を、サービスに要求する。このコマンドは例えば、ログ表示、ポップアップ表示、メール通知などである。その後、ステップS3において情報処理装置1は、情報処理装置1内で実行中のサービスで、ステップS2で取得したコマンドを実行する。
さらにステップS4において情報処理装置1は、イベント検出時に実行するコマンドがある場合、このイベント検出時に実行するコマンドの実行を要求する。このイベント検出時に実行するコマンドは、ユーザが任意に設定可能なコマンドである。ここで実行されるコマンドは、例えば、データのバックアップなどである。その後、ステップS5において情報処理装置1は、情報処理装置1内のサービスで、ステップS4で取得したイベント検出時のコマンドを実行する。
図1(b)を参照して、図1(a)のステップS3およびステップS5のコマンド実行処理を説明する。図1(b)の各処理は、情報処理装置1で常駐するサービスによって実行される。
ステップS11において情報処理装置1は、実行するべきコマンドを取得する。さらにステップS12において情報処理装置1は、このコマンドを実行可能な実行ユーザ名を特定し、ステップS13において、実行ユーザによって処理を振り分ける。
実行ユーザがログインユーザの場合、ステップS14において情報処理装置1のサービスは、このログインユーザで、ステップS11で取得したコマンドを実行する。実行ユーザがSYSTEMの場合、ステップS15において情報処理装置1のサービスは、SYSTEMに切り替えて、SYSTEMとしてステップS11で取得したコマンドを実行する。実行ユーザがログイン中のユーザでない場合、ステップS16において情報処理装置1は、指定されたユーザ名に切り替えて、指定されたユーザとしてステップS11で取得したコマンドを実行する。
図2を参照して、本発明の実施の形態に係る情報処理装置1を説明する。情報処理装置1は、記憶装置10、中央処理制御装置20、メモリ(図示せず)、入力装置(図示せず)、表示装置(図示せず)、通信制御装置(図示せず)等を備える一般的なコンピュータである。記憶装置10は、ハードディスクなどの記憶媒体である。中央処理制御装置20は、オペレーションシステムなどを介して、情報処理装置1の各装置との入出力を制御し、データを処理する。
通信制御装置は、他の通信機器との情報を送受信し、中央処理制御装置20に入出力する。本発明の実施の形態においては情報処理装置1は、例えば、管理対象のUPSと、通信制御装置を介してデータを送受信する。また通信制御装置は、他のネットワークを介して、他の情報端末入力されたコマンドの実行要求を受信し、中央処理制御装置20に入力しても良い。ここで、他の情報端末とは、当該情報処理装置1ではないコンピュータや、通信機能を備えたUPSなどの機器である。
記憶装置10は、本発明の実施の形態に係る情報処理プログラムを記憶するとともに、ユーザ設定データ11およびコマンド実行ユーザデータ12を記憶する。中央処理制御装置20は、本発明の情報処理プログラムがインストールされ、実行されることによって、アプリケーション実行手段30およびサービス提供手段40を実装する。
アプリケーション実行手段30は、所定の処理を実行するアプリケーションプログラムを実行する。アプリケーション実行手段30は、設定手段31、イベント検出手段32、イベント通知コマンド要求手段33およびユーザ設定コマンド要求手段34を備える。
設定手段31は、ユーザの操作によって、ユーザ設定データ11を生成し、記憶装置10に記憶する。
ユーザ設定データ11は、情報処理装置1で実行するコマンドに関するデータである。ユーザ設定データ11は、コマンドを実行するタイミングと、実行するコマンドを対応づけたデータである。このユーザ設定データ11で記憶されるコマンドは、どのユーザも実行可能なコマンドや、所定のユーザのみが実行可能なコマンドを含む。
ユーザ設定データ11は、図3に示すように、イベント通知コマンドに関するデータと、ユーザ設定コマンドに関するデータとを含む。イベント通知コマンドに関するデータは、イベント発生を通知するコマンドに関するデータである。ユーザ設定コマンドに関するデータは、ユーザが任意で設定したイベント発生時に実行するコマンドに関するデータである。ユーザ設定データ11は、イベントの種別ごとに、イベント通知コマンドおよびユーザ設定コマンドを対応づける。
ここでイベント種別は、アプリケーション実行手段30がコマンドをサービス提供手段40に要求する条件となるイベント種別である。図3に示すユーザ設定データ11では、UPSに関する警告やアラームなどのイベントが発生した際に、アプリケーション実行手段30がコマンドをサービス提供手段40に要求するコマンドについて説明するが、これに限られない。例えば、コマンドを定期的に実行する場合、イベント種別として、コマンドを実行する時間情報を設定しても良い。
図3のユーザ設定データ11のイベント通知コマンドのデータは、イベントが発生した際に、ユーザにイベントの発生を通知する方法を特定するデータである。アプリケーション実行手段30は、イベントが発生した際、ユーザ設定データ11のイベント通知コマンドで設定された方法でユーザにイベントを通知するためのコマンドを特定し、そのコマンドの実行をサービス提供手段40に要求する。図3においては、「有効」と設定されたコマンドでユーザにイベントを通知する。
図3に示す例において、「バッテリ運転」のイベントが発生すると、ユーザに、「ログ表示」、「ポップアップ通知」および「メール通知」の3つの方法で通知する。ここで「ログ表示」は、当該情報処理装置1のログデータに記憶して、ユーザに通知する方法である。「ポップアップ通知」は、当該情報処理装置1の表示装置にポップアップ画面を表示して、ユーザに通知する方法である。「メール通知」は、予め登録したメールアドレス宛にメールを送信して、ユーザに通知する方法である。
図3のユーザ設定データ11のユーザ設定コマンドのデータは、イベントが発生した際に、ユーザによって任意に設定された情報処理装置1が実行するコマンドに関するデータである。ユーザ設定コマンドのデータは、有効または無効のフラグ、コマンドパスおよびコマンドの実行属性を備える。アプリケーション実行手段30は、イベントが発生した際、当該イベントに対応するフラグが有効に設定されている場合、コマンドパスで指定されたコマンドを、実行属性で指定された属性で実行するように、サービス提供手段40に要求する。コマンドパスは、情報処理装置1の記憶装置10に記憶されたコマンドの格納場所を特定する情報である。
実行属性は、このコマンドを実行する際の属性の情報である。この実行属性は、図6を参照して説明するコマンド実行ユーザデータ12のコマンド属性に対応する。実行属性として、「バックグラウンド」が指定されている場合、画面表示のコマンドを含まず、バックグラウンドでコマンドが実行される。「対話型」が指定されている場合、例えばコマンドの実行の適否を確認する画面表示して、ユーザからの指示の入力により動作するコマンドが実行される。この「対話型」は、コマンド実行ユーザデータ12の「画面表示」に対応する。任意ユーザのパスワードが指定されている場合、実行属性で指定されたユーザ名およびパスワードで任意ユーザがログインした状態で、この任意ユーザの権限でコマンドが実行される。
設定手段31は、図4および図5に示す画面に対するユーザの入力によって、ユーザ設定データ11を生成する。図4は、UPSに関する警告のイベントに関して、イベントごとに、実行するコマンドに関する情報を入力させる画面である。図4に示す画面は、警告イベントに関して、各イベントごとに、ユーザコマンド設定部401および警告通知方法設定部402を備える。
ユーザコマンド設定部401は、ユーザ設定データ11のユーザ設定コマンドを生成するためのデータ入力部である。ユーザコマンド設定部401の各データ項目は、ユーザ設定データ11のユーザ設定コマンドの各データ項目に対応する。なお、「テスト実行」ボタンは、コマンドパスで指定されたコマンドをテストで実行するボタンである。警告通知方法設定部402は、ユーザ設定データのイベント通知コマンドを生成するためのデータ入力部である。警告通知方法設定部402の各データ項目は、ユーザ設定データ11のイベント通知コマンドの各データ項目に対応する。
図5に示す画面は、UPSに関する状態通知イベントに関して、イベントごとに、実行するコマンドに関する情報を入力させる画面である。図5に示す画面は、各イベントごとに、ユーザコマンド設定部501および状態通知方法設定部502を備える。ユーザコマンド設定部501および状態通知方法設定部502は、図4を参照して説明したユーザコマンド設定部401および警告通知方法設定部402と同様である。
図4および図5に示す画面において、ユーザがイベントごとに実行するコマンドを指定すると、設定手段31は、イベントの識別子と、そのイベント時に実行するコマンドのデータとを対応づけてユーザ設定データ11を生成し、記憶装置10に記憶する。設定手段31がユーザ設定データ11を生成すると、ユーザ設定データ11は、アプリケーション実行手段30およびサービス提供手段40で適宜参照される。
ここでは、ユーザ設定データ11を生成する際の処理を説明したが、図4および図5に示す画面を用いて、ユーザ設定データ11が更新されてもよい。
イベント検出手段32は、ユーザ設定データ11の「イベント種別」で指定されるイベントを検出する。イベント検出手段32の処理は、図1(a)のステップS1に相当する。
アプリケーション実行手段30がUPSの管理アプリケーションの場合、イベント検出手段32は、バッテリ運転、UPSテスト完了などのUPSに関する警告や、バッテリ交換必要、停電発生などのアラームなどのイベントを検出する。イベント検出手段32がイベントを検出すると、検出したイベントの種別とともに、イベント通知コマンド要求手段33にその旨を通知する。
イベント通知コマンド要求手段33は、サービス提供手段40に、イベントを通知するコマンドの実行を要求する。イベント通知コマンド要求手段33の処理は、図1(a)のステップS2の処理に相当する。
イベント通知コマンド要求手段33は、イベント検出手段32からイベントの検出が通知されると、記憶装置10からユーザ設定データ11を読み出し、サービス提供手段40に、イベント通知コマンドで指定された方法で、ユーザにイベントの発生を通知させる。イベント通知コマンド要求手段33は、例えば、イベント検出手段32から、「バッテリ運転」のイベントが検出された旨が連絡されると、ユーザ設定データ11を読み出して、このイベントの通知方法が、ログ表示、ポップアップ通知およびメール通知であると取得する。イベント通知コマンド要求手段33は、ここで取得したコマンドのそれぞれを、サービス提供手段40に実行させる。イベントの通知内容やテンプレートは、予め、アプリケーション実行手段30が保持していても良い。
イベント通知コマンド要求手段33は、コマンドを実行させるサービスのIPアドレスおよびポート番号を予め保持する。イベント通知コマンド要求手段33は、コマンドの実行を要求する際、予め保持したIPアドレスおよびポート番号でサービスを呼び出して、呼び出したサービスにコマンドを実行させる。
サービス提供手段40によるコマンドの実行が終了すると、イベント通知コマンド要求手段33は、イベントが検出された旨と、検出したイベントの種別を、ユーザ設定コマンド要求手段34に通知する。なお、ユーザ設定データ11において、このイベントに対応するユーザ設定コマンドについてフラグが無効に設定される場合、ユーザ設定コマンド要求手段34に通知することなく、このまま処理を終了しても良い。
ユーザ設定コマンド要求手段34は、サービス提供手段40に、イベント発生時にコマンドの実行を要求する。ユーザ設定コマンド要求手段34の処理は、図1(a)のステップS4の処理に相当する。
ユーザ設定コマンド要求手段34は、イベント通知コマンド要求手段33からイベントの検出を通知されると、記憶装置10からユーザ設定データ11を読み出し、ユーザ設定コマンドで指定されたコマンドを実行属性で実行する要求を、サービス提供手段40に入力する。ユーザ設定コマンド要求手段34は、例えば、イベント通知コマンド要求手段33から、「バッテリ運転」のイベントが検出された旨が連絡されると、ユーザ設定データ11を読み出して、このイベントの通知に実行するコマンドとして、コマンドパス「c:\bin\backup.exe」および実行属性「バックグラウンド」を取得する。ユーザ設定コマンド要求手段34は、ここで取得したコマンドを、取得した実行属性で、サービス提供手段40に実行させる。
ユーザ設定コマンド要求手段34は、コマンドを実行させるサービスのIPアドレスおよびポート番号を予め保持する。ユーザ設定コマンド要求手段34は、コマンドの実行を要求する際、予め保持したIPアドレスおよびポート番号でサービスを呼び出して、呼び出したサービスにコマンドを実行させる。
本発明の実施の形態において、アプリケーション実行手段30およびサービス提供手段40は、同一のコンピュータ内に実装する場合を説明するが、これに限られない。アプリケーション実行手段30とサービス提供手段40とは、異なるコンピュータがそれぞれ実装しても良い。サービス提供手段40は、同一のコンピュータから、コマンドの実行要求を受けるとともに、通信ネットワークを介して、他の情報端末からコマンドの実行要求を受けても良い。
サービス提供手段40によるコマンドの実行が終了すると、ユーザ設定コマンド要求手段34は、処理を終了する。
サービス提供手段40は、情報処理装置1のメモリに常駐して、サービスを提供する。サービス提供手段40は、本発明の実施の形態においては特に、アプリケーション実行手段30から要求されたコマンドを実行するコマンド実行手段41を備える。
コマンド実行手段41は、イベント通知コマンド要求手段33あるいはユーザ設定コマンド要求手段34から、コマンドの実行の要求を受ける。コマンド実行手段41は、コマンドの実行を要求されると、コマンド実行ユーザデータ12から、要求されたコマンドを実行可能なユーザ名を抽出する。コマンド実行手段41は、要求されたコマンドを実行可能なユーザ名を抽出し、抽出されたユーザ名でコマンドを実行する。
ここでコマンド実行ユーザデータ12は、図6に示すように、コマンドの属性とコマンドを実行可能なユーザ名とを対応づけたデータである。
図6に示すコマンド実行ユーザデータ12において、画面表示を含むコマンドは、ログイン中のユーザが実行可能であり、バックグラウンドで実行されるコマンドは、SYSTEM権限で実行可能であることを示す。ここで、画面表示を含むコマンドは、ログインユーザ以外のユーザは実行することができない。またバックグラウンドで実行されるコマンドは、SYSTEM権限以外で実行すると、エラーメッセージや確認メッセージなどが表示されて、スムーズにコマンドを実行することができない。
また、ファイルの更新については、更新対象のファイル種別によって、実行ユーザが異なる。システムフォルダのファイルは、SYSTEM権限でのみ更新可能であることを示す。ログインユーザのフォルダのファイルは、ログインユーザのみ更新可能であることを示す。非ログインユーザのフォルダのファイルは、その非ログイン ユーザのみ更新可能であることを示す。
コマンド実行手段41は、実行するべきコマンドが入力されると、そのコマンドを実行可能なユーザを、コマンド実行ユーザデータ12から特定して、そのユーザとしてコマンドを実行する。このときコマンド実行手段41は、新たなプロセスを生成し、そのプロセスで、抽出されたユーザ名でコマンドを実行する。
例えば、画面表示を含むコマンドを実行する際、コマンド実行手段41は、コマンド実行ユーザデータ12を読み出して、このコマンドを実行可能なユーザがログインユーザであると判断する。その後、コマンド実行手段41は、現在のログインユーザで画面表示のコマンドを実行するためのプロセスを新たに生成する。Windows(登録商標)の場合、コマンド実行手段41は、ログイン中のユーザ名を取得した後、CreateProcessWithLogonWのAPIを呼び出して、ログイン中のユーザ名および実行コマンドのコマンドパスをパラメータとして、新たなプロセスに引き渡す。新たに生成したプロセスで、画面表示のコマンドが実行される。
また、バックグラウンドでコマンドを実行する際、コマンド実行手段41は、コマンド実行ユーザデータ12を読み出して、このコマンドを実行可能なユーザがSYSTEMであると判断する。その後、コマンド実行手段41は、SYSTEM権限に切り替えて、バックグラウンドでコマンドを実行するためのプロセスを新たに生成する。Windows(登録商標)の場合、コマンド実行手段41は、CreateProcessのAPIを呼び出して、バックグラウンドで実行するコマンドのコマンドパスをパラメータとして、新たなプロセスに引き渡す。その後、新たに生成したプロセスで、コマンドがバックグラウンドで実行される。
また、非ログインユーザのフォルダのファイルを更新するコマンドを実行する際、コマンド実行手段41は、コマンド実行ユーザデータ12を読み出して、このコマンドを実行可能なユーザがその更新対象のフォルダのユーザであると判断する。その後、コマンド実行手段41は、その非ログインユーザに切り替えて、バックグラウンドでコマンドを実行するためのプロセスを新たに生成する。Windows(登録商標)の場合、コマンド実行手段41は、CreateProcessAsUserのAPIを呼び出して、その非ログインユーザのユーザ名と、パスワードと、実行するコマンドのコマンドパスをパラメータとして引き渡す。その後、新たに生成したプロセスで、非ログインユーザの権限で、その非ログインユーザのフォルダのファイルを更新するコマンドが実行される。
ここで、本発明の実施の形態に係る情報処理装置1においては、コマンド実行ユーザデータ12を記憶装置10に記憶する場合について説明したが、これに限られない。例えば、サービス提供手段40やコマンド実行手段41中のプログラム中に、コマンド実行ユーザデータ12に対応するテーブルを備えても良い。また、このプログラム中に、コマンドごとに実行ユーザを特定する処理が含まれても良い。
このように本発明の実施の形態に係る情報処理方法および情報処理プログラムは、アプリケーションプログラムが、サービスプログラムに、所定のコマンドを実行させる。このときサービスプログラムは、コマンドの属性に応じて、実行可能なユーザとして実行可能なプロセスを生成して、そのプロセス中でコマンドを実行する。
これにより、情報処理装置のオペレーションシステムのアクセス制限によって、コマンドの実行が制限される場合でも、適切なユーザに切り替えることにより、任意のコマンドを適切に実行することができる。また、コマンドの属性と、そのコマンドを実行可能なユーザとをコマンド実行ユーザデータ12に記憶しているので、今後も想定されるセキュリティ強化に、対応することができる。今度セキュリティが変更し、さらにアクセス制限が厳しくなっても、本発明の実施の形態に係る情報処理方法によれば、アプリケーションそのものを改良する必要はなく、このコマンド実行ユーザデータ12を更新すれば対応できる。
本発明の実施の形態においては、サービスがコマンド実行の要求を受け、コマンドを実行することにより、ユーザのログインの有無にかかわらず、コマンドを実行することができる。また、今後のセキュリティ強化に伴い、アプリケーションの制約やアクセス権限などの制限が厳しくなることが予想される一方、サービスについては、そのような制限が厳しくなることは考えにくい。従って、サービスがコマンドを実行することにより、今後のオペレーションシステムの改変にも対応しやすい。
また、サービスは、SYSTEM権限で稼働するので、アプリケーションに比べて安定した稼働が期待できる。サービスがコマンドを実行することにより、情報処理装置1を安定して稼働することができる。さらに、例えばUPSなどの機器の状態や警報などの情報を適切に情報処理装置1に出力できるので、これらの機器の安定稼働を期待できる。
従来、セッション0を分離して、セッション0にサービスのみを実行させる仕様のオペレーションシステムにおいて、セッション0に対して画面を表示するコマンドなどを入力しても、画面が表示できない問題があった。しかし本発明の実施の形態においては、サービスにおいてユーザを切り替えてコマンドを実装するので、このようなオペレーションシステムでも、セッション0の分離による弊害を回避して、画面を表示するコマンドを実行することができる。
またコマンド実行ユーザデータ12において、実行ユーザを個別に指定することにより、情報処理装置1のセキュリティも確保することができる。例えば、全てのコマンドについて、実行ユーザを「SYSTEM」として実行することもできる。しかしながら、全てのコマンドを「SYSTEM」で実行すると、セキュリティを強化した趣旨が没却されてしまう。そこで本発明の実施の形態に係るコマンド実行ユーザデータ12において、各コマンドについて、個別に実行可能なユーザを設定する。各コマンドを実行可能な、権限のより低いユーザ名をコマンド実行ユーザデータ12に設定することにより、セキュリティを担保しつつ、セキュリティ強化に伴う弊害を是正することができる。
さらに本発明の実施の形態に係る情報処理方法は、アプリケーションを古いオペレーションシステムで稼働させるために、オペレーションシステムが提供する互換モードを利用することなく、あらゆる環境に対応することができる。
(その他の実施の形態)
上記のように、本発明の実施の形態によって記載したが、この開示の一部をなす論述および図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例および運用技術が明らかとなる。
上記のように、本発明の実施の形態によって記載したが、この開示の一部をなす論述および図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例および運用技術が明らかとなる。
本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
1 情報処理装置
10 記憶装置
11 ユーザ設定データ
12 コマンド実行ユーザデータ
20 中央処理制御装置
30 アプリケーション実行手段
31 設定手段
32 イベント検出手段
33 イベント通知コマンド要求手段
34 ユーザ設定コマンド要求手段
40 サービス提供手段
41 コマンド実行手段
401、501 ユーザコマンド設定部
402 警告通知方法設定部
502 状態通知方法設定部
10 記憶装置
11 ユーザ設定データ
12 コマンド実行ユーザデータ
20 中央処理制御装置
30 アプリケーション実行手段
31 設定手段
32 イベント検出手段
33 イベント通知コマンド要求手段
34 ユーザ設定コマンド要求手段
40 サービス提供手段
41 コマンド実行手段
401、501 ユーザコマンド設定部
402 警告通知方法設定部
502 状態通知方法設定部
Claims (6)
- コマンドの属性によって、実行可能なユーザが制限されるコンピュータで実行される情報処理プログラムであって、
コンピュータを、
当該コンピュータのメモリに常駐して、サービスを提供するサービス提供手段として機能させ、
前記サービス提供手段はさらに、UPSを管理するためのアプリケーションプログラムからコマンドの実行を要求されると、コマンドの属性とコマンドを実行可能なユーザ名とを対応づけたコマンド実行ユーザデータから、要求されたコマンドを実行可能なユーザ名を抽出し、抽出されたユーザ名で前記コマンドを実行し、
前記アプリケーションプログラムが要求するコマンドは、前記アプリケーションプログラムにおいて発生したイベントを通知するコマンドであって、
前記アプリケーションプログラムは、前記UPSのユーザによって任意に設定された、イベントの種別と当該イベントを通知するコマンドを対応づけたユーザ設定データから、前記発生したイベントの種別に対応するコマンドを特定し、前記サービス提供手段に前記コマンドの実行を要求することを特徴とする情報処理プログラム。 - 前記サービス提供手段は、当該コンピュータで機能するコマンド要求手段または、通信ネットワークから、前記コマンドの実行の要求を受ける
ことを特徴とする請求項1に記載の情報処理プログラム。 - 前記サービス提供手段は、新たなプロセスを生成し、そのプロセスで、抽出されたユーザ名でコマンドを実行する
ことを特徴とする請求項1に記載の情報処理プログラム。 - コマンドの属性によって、実行可能なユーザが制限されるコンピュータでコマンドを実行する情報処理方法であって、
コマンドの属性とコマンドを実行可能なユーザ名とを対応づけたコマンド実行ユーザデータを、記憶装置に記憶するステップと、
コンピュータのメモリに常駐して、サービスを提供するステップと、
前記サービスが、UPSを管理するためのアプリケーションプログラムから所定のユーザのみが実行可能なコマンドの実行の要求を受けるステップと、
前記コマンドの実行が要求されると、前記コマンド実行ユーザデータから、要求されたコマンドを実行可能なユーザ名を抽出し、抽出されたユーザ名で前記コマンドを実行するステップ
を備え、
前記アプリケーションプログラムが要求するコマンドは、前記アプリケーションプログラムにおいて発生したイベントを通知するコマンドであって、
前記アプリケーションプログラムは、前記UPSのユーザによって任意に設定された、イベントの種別と当該イベントを通知するコマンドを対応づけたユーザ設定データから、前記発生したイベントの種別に対応するコマンドを特定し、前記サービスに前記コマンドの実行を要求することを特徴とする情報処理方法。 - 前記要求を受けるステップは、当該コンピュータまたは通信ネットワークから、前記コマンドの実行の要求を受ける
ことを特徴とする請求項4に記載の情報処理方法。 - 前記コマンドを実行するステップは、新たなプロセスを生成し、そのプロセスで、抽出されたユーザ名でコマンドを実行する
ことを特徴とする請求項4に記載の情報処理方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011242184A JP5857637B2 (ja) | 2011-11-04 | 2011-11-04 | 情報処理プログラムおよび情報処理方法 |
| US13/666,372 US9128738B2 (en) | 2011-11-04 | 2012-11-01 | Information processing program and information processing method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011242184A JP5857637B2 (ja) | 2011-11-04 | 2011-11-04 | 情報処理プログラムおよび情報処理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013097710A JP2013097710A (ja) | 2013-05-20 |
| JP5857637B2 true JP5857637B2 (ja) | 2016-02-10 |
Family
ID=48224689
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011242184A Active JP5857637B2 (ja) | 2011-11-04 | 2011-11-04 | 情報処理プログラムおよび情報処理方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9128738B2 (ja) |
| JP (1) | JP5857637B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10360353B2 (en) | 2017-02-08 | 2019-07-23 | International Business Machines Corporation | Execution control of computer software instructions |
| CN109376525B (zh) * | 2018-09-14 | 2020-11-03 | 网宿科技股份有限公司 | Linux服务器的提示方法、Linux服务器及计算机可读存储介质 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4174692B2 (ja) * | 1998-03-06 | 2008-11-05 | 新日鉄ソリューションズ株式会社 | コンピュータシステム、およびその管理方法、記録媒体 |
| JP3738139B2 (ja) * | 1998-10-19 | 2006-01-25 | 松下電器産業株式会社 | 生産管理装置及び生産管理方法 |
| JP2001175596A (ja) * | 1999-12-14 | 2001-06-29 | Nec Corp | コマンド処理装置、コマンド処理方法、およびそのプログラムを記録した記録媒体 |
| US20030097409A1 (en) * | 2001-10-05 | 2003-05-22 | Hungchou Tsai | Systems and methods for securing computers |
| US7890995B2 (en) * | 2003-11-26 | 2011-02-15 | Cisco Technology, Inc. | System and method for remote management of communications networks |
| JP4447977B2 (ja) * | 2004-06-30 | 2010-04-07 | 富士通マイクロエレクトロニクス株式会社 | セキュアプロセッサ、およびセキュアプロセッサ用プログラム。 |
| US7730546B2 (en) * | 2005-07-01 | 2010-06-01 | Time Warner, Inc. | Method and apparatus for authenticating usage of an application |
| US8042151B2 (en) * | 2005-12-20 | 2011-10-18 | Microsoft Corporation | Application context based access control |
| JP2008210300A (ja) * | 2007-02-28 | 2008-09-11 | Ibm Japan Ltd | ファイルへのアクセス制限を管理する技術 |
| JP4912225B2 (ja) * | 2007-06-12 | 2012-04-11 | キヤノン株式会社 | 情報処理方法及びプログラム |
| US8566934B2 (en) * | 2011-01-21 | 2013-10-22 | Gigavation, Inc. | Apparatus and method for enhancing security of data on a host computing device and a peripheral device |
| US8689298B2 (en) * | 2011-05-31 | 2014-04-01 | Red Hat, Inc. | Resource-centric authorization schemes |
-
2011
- 2011-11-04 JP JP2011242184A patent/JP5857637B2/ja active Active
-
2012
- 2012-11-01 US US13/666,372 patent/US9128738B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013097710A (ja) | 2013-05-20 |
| US9128738B2 (en) | 2015-09-08 |
| US20130117841A1 (en) | 2013-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10885189B2 (en) | Isolated container event monitoring | |
| US8910138B2 (en) | Hot pluggable extensions for access management system | |
| CN105210031B (zh) | 用于操作系统的自助服务机应用模式 | |
| EP3005080B1 (en) | Synchronizing device association data among computing devices | |
| TW201337736A (zh) | 用以取用基本輸入輸出系統的功能之以網路為基礎的介面 | |
| US9996376B2 (en) | Virtual machine monitoring method and system thereof | |
| JP6214372B2 (ja) | 管理装置、その方法及びプログラム | |
| US10609201B2 (en) | Monitoring apparatus and control method | |
| JP5857637B2 (ja) | 情報処理プログラムおよび情報処理方法 | |
| AU2014276026B2 (en) | Information processing device, information processing method, and program | |
| JP2008186147A (ja) | ソフトウエア管理方法、ソフトウェア管理システム、情報処理装置及びソフトウエア管理プログラム | |
| JP2010128958A (ja) | 機器管理装置、機器管理システム、動作設定管理方法、動作設定管理プログラム、及びそのプログラムを記録した記録媒体 | |
| US10545704B2 (en) | Image forming apparatus and control method to update an application in an image forming apparatus | |
| JP2009020609A (ja) | 画像形成装置、プログラム制御方法及びプログラム | |
| JP2006228127A (ja) | アプリケーション配布システムにおける更新情報の通知方法 | |
| JP2009020863A (ja) | 画像形成装置、情報処理装置、障害解析支援方法、及び障害解析支援プログラム | |
| US10223413B2 (en) | Capturing components of an application using a static post-installation analysis of the system | |
| JP5263358B2 (ja) | 情報処理装置、プログラム制御方法、及び制御プログラム | |
| JP5798973B2 (ja) | 処理状態が遷移する複数のプログラムを実行する装置及び方法 | |
| JP2015197790A (ja) | 設定装置、設定システム、設定方法、および、設定プログラム | |
| JP5686154B2 (ja) | 情報処理装置、プログラム制御方法、及び制御プログラム | |
| JP2014102604A (ja) | 機器管理装置、機器管理システム、及びプログラム | |
| Spencer | The Computer as a Dynamic Set of Devices | |
| Vandersmissen | Power Management of Connected Computers using Cisco EnergyWise |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141022 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150909 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150915 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151029 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151117 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151130 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5857637 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |