JP1/AJSのユーザー情報は、JP1/Baseの認証機能で管理されています。
JP1/Baseに登録されたJP1ユーザー情報の移行についてはいくつか注意点があります。
■基本的な手順
以前のエントリでも書いた内容になりますが、改めて。
ユーザー情報の基本的な手順下記の通りです。
1. 移行元でユーザマッピング定義を取得
jbsgetumap > ユーザマッピング定義ファイル
2. ユーザマッピング定義ファイルを移行先へコピー
3. パスワード定義ファイルを作成
ユーザーマッピングで利用するOSユーザーとパスワードを以下の形式で設定
OSユーザー名1:パスワード
4. 移行先で[パスワード管理]にOSユーザーを一括登録
jbsmkpass -f パスワード定義ファイル
5. 移行先でユーザーマッピングを設定
jbsmkumap -f ユーザマッピング定義ファイル
6. セキュリティ関連定義を移行元から取得し、移行先へ上書き
・インストール先\JP1Base\conf\user_acl\JP1_Passwd
・インストール先\JP1Base\conf\user_acl\JP1_UserLevel
7. 移行先で設定を反映する
・JP1/Baseのサービス再起動
・または jbs_spmd_reload コマンドを実行
■注意べきポイント
①ユーザマッピング定義ファイルについて
・移行元と移行先で異なるOSユーザーを割り当てる場合は編集が必要
・「サーバホスト名」が*でない場合は移行先のホスト名に変更する必要
②jpsmkpassコマンドについて
・事前にOSにユーザが登録されている必要あり
・パスワードがセキュリティポリシーのパスワード要件を満たしている事
・ドメインユーザを指定する場合は、ドメイン情報にアクセス出来る状態である事
③セキュリティ関連定義について
JP1_Passwdのパスワード保管形式について、いつ導入された機能か詳細確認中ですが(バージョン12?)、JP1ユーザーのパスワードを保存する際のハッシュレベルが指定出来るようになりました。
3.4.6 パスワード保管形式の設定
http://itdoc.hitachi.co.jp/manuals/3021/30213D6500/BASE0085.HTM
マニュアル記載を見た感じだと、v12インストール時はレベル2、v11-50以前だと1になるようです。
そのため、v12の環境に古い定義ファイルを移行してくると、環境定義と定義ファイルのデータ形式が不整合となり、JP1ユーザーでのログインに失敗します。(認証サーバが閉塞する)
ハッシュレベルを以前同様の値(=1)に合わせる事で、移行元環境の定義ファイルでもログイン出来るようになります。
1.プライマリー認証サーバに,次の内容の定義ファイルを作成する。
[JP1_DEFAULT\JP1BASE\]
“HASH_LEVEL”=dword:00000001
2.jbssetcnfコマンドを実行する。
しばらくはJP1移行関連の日記になると思います。