中継装置
【課題】中継装置に対する処理をユーザに許可したり禁止したりする際に、その許可または禁止を意味する権限情報を各々の単一の処理について個別に設定し、多数の権限情報を書き込まなくても済むようにする。
【解決手段】4〜6行目の権限情報は、一般ユーザに対して許可したコマンド群の範囲が包括的に記述された1つの権限情報と、その範囲においてその一般ユーザに対して禁止するコマンドがそれぞれ記述された2つの権限情報からなる。8〜10行目の権限情報は、一般ユーザに対して禁止したコマンド群の範囲が包括的に記述された1つの権限情報と、その範囲においてその一般ユーザに対して許可するコマンドがそれぞれ記述された2つの権限情報からなる。管理ユーザにとっては、一般ユーザに対して許可または禁止する範囲を包括的に記述することができるので、許可または禁止するコマンドを1つ1つ管理テーブルに書き込む手間がかからない。
【解決手段】4〜6行目の権限情報は、一般ユーザに対して許可したコマンド群の範囲が包括的に記述された1つの権限情報と、その範囲においてその一般ユーザに対して禁止するコマンドがそれぞれ記述された2つの権限情報からなる。8〜10行目の権限情報は、一般ユーザに対して禁止したコマンド群の範囲が包括的に記述された1つの権限情報と、その範囲においてその一般ユーザに対して許可するコマンドがそれぞれ記述された2つの権限情報からなる。管理ユーザにとっては、一般ユーザに対して許可または禁止する範囲を包括的に記述することができるので、許可または禁止するコマンドを1つ1つ管理テーブルに書き込む手間がかからない。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、中継装置に対して処理を指示するユーザの権限を設定する技術に関する。
【背景技術】
【0002】
ルータは、OSI(Open Systems Interconnection)参照モデルの第1層である物理層から第3層であるネットワーク層までの階層において複数のネットワークを論理的に接続してデータの中継を行う中継装置である。このルータに対しては、ルータ自身が行う処理の内容を決めるコンフィグレーション情報が利用者によって設定される。例えば、ルータのIPアドレスや、データをフィルタリングするのに用いるフィルタの内容、さらには、ユーザからの要求に応じてルータが出力する内容などが、このコンフィグレーション情報に含まれる。ユーザは、ルータに接続されたコンピュータからそのルータにログインしてコンフィグレーション情報にアクセスし、各種のコマンドを入力することで、コンフィグレーション情報を書き換えたりコンフィグレーション情報を表示させたりなどの、各種の処理をルータに指示する。
【0003】
ルータにアクセスしてログインし得るユーザには、無名ユーザ、一般ユーザ、管理ユーザがある。無名ユーザは、ログイン名は無しで、予めルータに設定されたパスワードでルータにログインし、全コマンド群のうちの一部のコマンドを用いてルータに処理を指示することができる。一般ユーザは、予めルータに設定されたログイン名及びパスワードを用いてログインし、無名ユーザと同様に、一部のコマンドを用いてルータに処理を指示することができる。一般に、これらの無名ユーザおよび一般ユーザには、コンフィグレーション情報の表示などのように、ルータの中継処理そのものに影響がないような処理について、ルータに指示する権限が与えられている。管理ユーザは、例えば、無名ユーザもしくは一般ユーザとしてログインしたあとに、さらに管理ユーザ用として予めルータに設定されたログイン名とパスワードによってログインして、すべてのコマンドを用いてルータに処理を指示することが可能である。この管理ユーザは、無名ユーザや一般ユーザ(以下単に一般ユーザという)の権限やパスワード設定なども行うことができる。このようなルータにアクセスし得るユーザを管理する技術として、例えば特許文献1には、管理ユーザのみが変更可能な管理テーブルに、一般ユーザとコマンドとの組を記述しておき、一般ユーザに対して管理ユーザの権限を与えることが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平11−259426号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
一般ユーザの権限については、例えば管理ユーザのみが書き換え可能な管理テーブルに記述する例が考えられる。図7は、管理ユーザが或る一般ユーザXの権限を設定した場合の管理テーブルの内容の一例である。図7において、1行目の「ip lan1 address 192.168.100.1/24」は、或るローカルネットワーク(以下、LAN1という)のルータのIPアドレスとして「192.168.100.1/24」を設定する権限が一般ユーザXに与えられていることを意味している。2行目の「ip lan1 secure filter in 1」は、外部ネットワークからLAN1に入ってくるデータに対してフィルタ処理を行うことを設定する権限が一般ユーザXに与えられていることを意味している。3行目の「ip lan1 secure filter out 1」はLAN1から外部ネットワークへ出ていくデータに対してフィルタ処理を行うことを設定する権限が一般ユーザXに与えられていることを意味している。一般ユーザは、自身に与えられている権限内の処理であれば、コマンドを用いてその処理をルータに指示することができる。
【0006】
ところで、管理ユーザは例えばIPアドレスの設定の権限を一般ユーザに与えるときには、図7に示した如く、そのIPアドレスである「192.168.100.1/24」そのものを引数として管理テーブルに記述するようになっている。このため、一般ユーザがそれ以外のIPアドレスには一切変更することができないが、これでは、一般ユーザにとって自身の権限内で指示できる処理の範囲が非常に限られているため、一般ユーザに対して包括的な権限の与え方を実現することができれば便利である。一方、管理ユーザは、例えば或るLANに対するインタフェースとしてのルータの設定処理をすべて一般ユーザに行わせたいと考えた場合には、その設定処理の全てについて1つ1つ権限を与えて管理テーブルに逐一記述すればよいわけだが、この作業に相当の手間を要するという問題がある。
【0007】
そこで、本発明の目的は、中継装置に対する処理をユーザに許可したり禁止したりする際に、その許可または禁止を意味する権限情報を各々の単一の処理について個別に設定して多数の権限情報を書き込まなくても済むような仕組みを提供することにある。
【課題を解決するための手段】
【0008】
上述の課題を解決するため、本発明は、データの中継を行う中継手段と、各々のユーザに割り当てられたユーザ識別情報と、当該ユーザに対して許可または禁止された処理とを対応付けた権限情報を記憶する権限情報記憶手段と、ユーザによって入力され自装置に対して処理を指示するコマンドと、当該ユーザに割り当てられた前記ユーザ識別情報とを取得する取得手段と、取得された前記コマンドによって指示される処理が、前記権限情報において取得された前記ユーザ識別情報と対応付けられた前記処理に含まれる場合に、当該コマンドによって指示された処理を行う処理手段と、前記権限情報記憶手段に対し、各々のユーザに対して禁止された範囲に含まれる複数の処理と前記ユーザ識別情報とを対応付けた1つの前記権限情報を書き込み、且つ、当該禁止された範囲において当該ユーザに対して許可された処理と当該ユーザ識別情報を対応付けた1または複数の前記権限情報を書き込み、または、前記権限情報記憶手段に対し、各々のユーザに対して許可された範囲に含まれる複数の処理と前記ユーザ識別情報とを対応付けた1つの前記権限情報を書き込み、且つ、当該許可された範囲において当該ユーザに対して禁止された処理と当該ユーザ識別情報とを対応付けた1または複数の前記権限情報を書き込む書込手段とを備えることを特徴とする中継装置を提供する。
【0009】
上記の各発明において好ましい態様では、前記書込手段は、前記権限情報記憶手段に対し、前記範囲に含まれる複数の処理を書き込むときには、当該複数の処理を指示するコマンド群に共通に含まれる共通文字列と、当該共通文字列の前後に続く文字列が任意の文字列であることを意味する任意文字列とを組み合わせて書き込むようにしてもよい。
【0010】
さらに、別の好ましい態様においては、前記書込手段は、各々の前記権限情報に対応付けて、高低の差がある優先度を書き込み、前記処理手段は、高い優先度に対応付けられている権限情報に含まれる許可または禁止の内容が、低い優先度に対応付けられている権限情報に含まれる許可または禁止の内容と異なる場合には、高い優先度に対応付けられている権限情報に含まれる許可または禁止の内容に従って、取得された前記コマンドによって指示される処理を行うか否かを判断し、当該処理を行うと判断した場合に当該処理を行うようにしてもよい。
【発明の効果】
【0011】
本発明によれば、中継装置に対する処理をユーザに許可したり禁止したりする際に、その許可または禁止を意味する権限情報を各々の単一の処理について個別に設定して多数の権限情報を書き込む必要がない。
【図面の簡単な説明】
【0012】
【図1】本発明の実施形態に係る通信システムの構成を示す図である。
【図2】同実施形態において中継装置の構成を示すブロック図である。
【図3】同実施形態においてクライアント装置の構成を示すブロック図である。
【図4】同実施形態において中継装置が記憶している管理テーブルを例示する図である。
【図5】変形例においてUSBメモリに記憶されているテキストファイルの内容を例示する図である。
【図6】同変形例において中継装置が記憶している管理テーブルを例示する図である。
【図7】従来例においてルータが記憶している管理テーブルを例示する図である。
【発明を実施するための形態】
【0013】
以下、本発明の一実施形態について説明する。
<実施形態>
図1は、本発明の一実施形態に係る通信システムの構成を示す図である。通信システムは、例えば1つの企業に属する各事業所のような複数の拠点A、B・・・と、これらの各拠点を統括するセンタCとに跨って設けられている。この通信システムは、拠点A、B・・・のそれぞれに設けられた中継装置10A、10B・・・と、各中継装置10A,10B・・・に下位装置として接続されるクライアント装置20A,20B,20C,20D・・・と、各中継装置10A,10B・・・に上位装置として接続されるサーバ装置30とを備えている。中継装置10Aとクライアント装置20A,20B・・・とによってLAN(Local Area Network)1Aが構成され、中継装置10Bとクライアント装置20C,20D・・・とによってLAN1Bが構成されている。また、サーバ装置30と中継装置10A、10B・・・とによってLAN2が構成されている。
【0014】
サーバ装置30と、クライアント装置20A,20B,20C,20D・・・は、いずれもコンピュータである。各中継装置10A、10B・・・は、例えばルータと呼ばれる中継装置であり、OSI参照モデルの第1層である物理層から第3層であるネットワーク層までの階層において複数のネットワークを論理的に接続してデータの中継を行う。この通信システムにおいて、各中継装置10A、10B・・・は、上位装置であるサーバ装置30と、下位装置であるクライアント装置20A,20B,20C,20D・・・との間で遣り取りされるデータの中継を行う。なお、以下の説明において、中継装置10A、10B・・・のそれぞれを区別しない場合には、中継装置10といい、クライアント装置20A,20B,20C,20D・・・のそれぞれを区別しない場合には、クライアント装置20という。
【0015】
図2は、中継装置10Aの構成を示すブロック図である。中継装置10Aは、制御部11、揮発性記憶部12、不揮発性記憶部13、n(nは2以上の整数)個のポート14−1,14−2・・・14−n(以下、ポート14という)及び入出力部15を備えている。制御部11は、CPU(Central Processing Unit)やASIC(Application Specific Integrated Circuit)によって構成されており、この中継装置10Aの動作を制御する。揮発性記憶部12は、制御部11がデータの中継処理を行うときのワークエリアとして機能する。不揮発性記憶部13は、例えばフラッシュメモリであり、制御部11のCPUが実行するプログラムとか、データの中継処理に用いるIPアドレスやルーティングテーブルのほか、管理テーブルを記憶している。この管理テーブルには、中継装置10Aにアクセスしてログインし得る各ユーザがこの中継装置に対して指示する処理の権限を表した権限情報が記述されている。つまり、不揮発性記憶部13は、権限情報を記憶する権限情報記憶手段として機能する。ポート14はLAN1AとLAN2に接続されており、これらのLAN1AまたはLAN2を介してサーバ装置30やクライアント装置20A,20B・・・との間で通信を行うインタフェースである。入出力部は、USB(Universal Serial Bus)メモリなどの記憶媒体に対してデータの書き込み及び読み出しを行うことで、この中継装置10に対するデータの入出力を行う。
【0016】
中継装置10Aは、データを中継する中継処理を行う。具体的には、制御部11は、LAN2を介して、IP(Internet Protocol)に従って送信されてくるデータのパケットをポート14が受信すると、これを揮発性記憶部12に記憶し、さらに、これが、自身に接続されているLAN1Aにおける各クライアント装置20A,20B・・・宛てのパケットである場合に、その宛先のクライアント装置にそのパケットをポート14から転送する。一方、制御部11は、各クライアント装置20A,20B・・からLAN1Aを介して送信されてくるサーバ装置30宛のパケットをポート14が受信すると、これを揮発性記憶部12に記憶してから、ポート14からサーバ装置30に転送する。つまり、制御部11、揮発性記憶部12及びポート14は、データの中継処理を行う中継手段として機能する。
中継装置10Bの構成は、IPアドレス、ルーティングテーブル及び管理テーブルなど、不揮発性記憶部13に記憶されている内容を除いて、中継装置10Aの構成と同じである。
【0017】
図3は、クライアント装置20Aの構成を示すブロック図である。クライアント装置20Aは、制御部21、記憶部22、通信部23、表示部24及び操作部25を備えている。制御部21は、CPU、ROM(Read Only Memory)及びRAM(Random Access Memory)によって構成されており、このクライアント装置20Aの動作を制御する。記憶部22は、例えばハードディスクなどの大容量の不揮発性の記憶装置であり、制御部21のCPUが実行するプログラムなどを記憶している。通信部23は、LAN1Aに接続され、このLAN1AとLAN2を介してサーバ装置30との間で通信を行うインタフェースである。表示部24は、例えば液晶ディスプレイ及び液晶駆動回路を有しており、制御部21による指示に応じて画像を表示する。操作部25は、例えばキーボードやマウスを備えており、ユーザの操作を受け付けてその操作に応じた操作信号を制御部21に供給する、制御部21は、その操作信号に応じた処理を実行する。
クライアント装置20B,20C,20D・・の構成は、クライアント装置20Aの構成と同じである。
【0018】
ユーザは、クライアント装置20を操作して中継装置10にアクセスし、各種のコマンドを入力することで、例えば中継装置10のコンフィグレーション情報を書き換えたりコンフィグレーション情報を表示させたりなどの、様々な処理を中継装置10に指示する。中継装置10にアクセスしてログインし得るユーザには、無名ユーザ、一般ユーザ、管理ユーザがある。無名ユーザは、ログイン名は無しで、予め中継装置10に設定されたパスワードで中継装置10にログインし、全コマンド群のうちの一部のコマンドを用いて中継装置10に処理を指示することができる。一般ユーザは、予め中継装置10に設定されたログイン名及びパスワードを用いてログインし、無名ユーザと同様に、一部のコマンドを用いて中継装置10に処理を指示することができる。一般に、これらの無名ユーザおよび一般ユーザ(以下、単に一般ユーザという)には、コンフィグレーション情報の表示などのように、中継装置10の中継処理そのものに影響がないような処理については、中継装置10に指示する権限がデフォルトで与えられている。管理ユーザは、例えば、一般ユーザとしてログインしたあとに、さらに管理ユーザ用として予め中継装置10に設定されたログイン名とパスワードによってログインして、すべてのコマンドを用いて中継装置10に処理を指示することが可能である。この管理ユーザは、例えばクライアント装置20Aを操作して上記のようなユーザ認証処理を経ることで中継装置10にアクセスし、その中継装置10の管理テーブルに各々の一般ユーザの権限情報を記述することができる。この場合、中継装置10の制御部11は、管理ユーザによって入力された内容、つまり権限情報を不揮発性記憶部13の管理テーブルに書き込む書込手段として機能する。
【0019】
ここで、図4は、管理ユーザによって一般ユーザの権限が記述された管理テーブルの内容の一例である。図において、左側の文字列は、管理テーブルに記述された内容そのものである。一方、右側の説明は、その管理テーブルに記述された文字列の意味であり、実際に管理テーブルに記述されるものではない。上から1行目の「login user user1 pass1」は、中継装置10の一般ユーザとして、ユーザ名「user1」のユーザを登録することを意味している。同様に、図4の2行目及び3行目は、中継装置10の一般ユーザとして、ユーザ名「user2」のユーザ及びユーザ名「user3」のユーザを登録することを意味している。
【0020】
4行目以降の「command」で始まる文字列は、1〜3行目で登録された一般ユーザの具体的な権限の内容を意味する権限情報であり、次のような書式に従う。
権限情報の書式:「command ユーザ名 管理番号 許可または禁止の旨 対象コマンド」
この書式において、「ユーザ名」とは、処理の権限が与えられるユーザのユーザ名であり、各ユーザに割り当てられたユーザ識別情報に相当する。「管理番号」とは、各々の権限情報を識別する識別情報であるとともに、高低の差がある優先度としても機能する情報である。この管理番号の値が大きいほど優先度が高く、値が小さいほど優先度が低い。「許可または禁止の旨」は、中継装置10に処理を指示するコマンドの使用をユーザに許可(Permit)するか禁止(deny)するかを意味している。そして、「対象コマンド」とは、そのような許可又は禁止の対象となるコマンドである。ここで、「対象コマンド」として「*」という文字列が指定されたとき、この「*」はどのような内容をも含む、いわゆるワイルドカードに相当する。例えば、「ip lan1 *」という権限情報の場合、「ip lan1」に続けて入力するコマンドはどのようなものであっても、中継装置10はそのコマンドに応じた処理を行う。また、例えば「ip lan1 address *」という権限情報の場合、「ip lan1 address」に続けて入力されるIPアドレスはどのようなものであっても、中継装置10はそのIPアドレスを自身に設定する。このように、各権限情報においては、各々のユーザに割り当てられたユーザ識別情報と、当該ユーザに対して許可または禁止された処理とが対応付けられている。
【0021】
例えば4行目にある管理番号1の権限情報「command user1 1 permit ip lan1 *」は、ユーザ名「user1」のユーザはLAN1のインターフェースとしての中継装置10の設定内容をすべて変更し得るという意味である。次に、5行目にある管理番号2の権限情報「command user1 2 deny ip lan1 address *」は、ユーザ名「user1」のユーザはLAN1のインターフェースとしての中継装置10のIPアドレスを変更することはできないということを意味している。次に、6行目にある管理番号3の権限情報「command user1 3 deny ip lan1 secure filter *」は、ユーザ名「user1」のユーザはLAN1のインターフェースとしての中継装置10のフィルタを変更することはできないことを意味している。
【0022】
このように、ユーザ名「user1」のユーザに対して、管理番号1の権限情報は、LAN1のインターフェースとしての中継装置10の設定内容をすべて変更し得ることを意味しているのに対し、管理番号2の権限情報は、その中継装置10のIPアドレスを変更することを禁止し、また、管理番号3の権限情報は、その中継装置10のフィルタを変更することを禁止している。つまり、管理番号1の権限情報の意味する内容と、管理番号2,3の権限情報の意味する内容とが異なっており、両者がそれぞれ意味する権限の範囲に矛盾が生じているが、このような場合には、優先度としての管理番号の値が大きい方の権限情報の内容が優先される。つまり、制御部11は、高い優先度に対応付けられている権限情報に含まれる許可または禁止の内容が、低い優先度に対応付けられている権限情報に含まれる許可または禁止の内容と異なる場合には、高い優先度に対応付けられている権限情報に含まれる許可または禁止の内容に従って、コマンドによって指示される処理を行うか否かを判断して、その処理を行うと判断した場合にその処理を行う。ここでは、管理番号2,3の権限情報が優先され、LAN1のインターフェースとしての中継装置10の設定内容のうち、IPアドレスの変更とフィルタの変更のみが禁止され、それ以外の設定内容が許可されていることになる。
【0023】
このように、4〜6行目の権限情報は、一般ユーザに対して許可された範囲に含まれる複数の処理を指示するコマンド群が包括的に記述された1つの権限情報(管理番号1の権限情報)と、その範囲においてその一般ユーザに対して禁止された処理を指示するコマンドがそれぞれ記述された2つの権限情報(管理番号2,3の権限情報)からなる。このような権限情報の記述方法によれば、管理ユーザにとっては、一般ユーザに対して許可する処理が膨大な数であっても、その1つ1つについて権限情報を管理テーブルに書き込む手間がかからないので、便利である。
【0024】
一般ユーザが中継装置10の処理を指示したときの中継装置10の動作は次のとおりである。例えばユーザ名「user1」のユーザが、クライアント装置20を操作して中継装置10にアクセスし、各種のコマンドを入力してその中継装置10に処理を指示すると、中継装置10の制御部11は、まず、このコマンドとユーザ名である「user1」とをクライアント装置20から取得する。そして、制御部11は、これらコマンド及びユーザ名と、管理テーブルの内容とを参照して、そのユーザ名「user1」のユーザに対して許可された処理については実行し、そのユーザに対して禁止された処理については実行しない。つまり、制御部11は、中継装置10に対して処理を指示するコマンドとユーザ名とを取得する取得手段として機能するとともに、そのコマンドによって指示される処理が、管理テーブル上の権限情報においてユーザ名と対応付けられた処理に含まれる場合には、そのコマンドによって指示された処理を行う処理手段として機能する。図4の例では、制御部11は、LAN1のインターフェースとしての中継装置10の設定内容のうち、IPアドレスの変更とフィルタの変更については実行せず、それ以外の設定内容が指示されたときにはこれを実行する。
【0025】
次に、図4において、7行目にある管理番号4の権限情報「command user2 4 permit ip lan2 *」は、ユーザ名「user2」のユーザはLAN2のインターフェースとしての中継装置10の設定内容をすべて変更し得るという意味である。よって、ユーザ名「user2」のユーザが、クライアント装置20を操作して中継装置10にアクセスし、各種のコマンドを入力してその中継装置10に処理を指示すると、中継装置10は、LAN2のインターフェースとしての設定内容のうち、どのような内容が指示されても全て実行する。
【0026】
そして、8行目にある管理番号5の権限情報「command user2 5 deny show *」は、ユーザ名「user2」のユーザは中継装置10に対し表示関連のすべてのコマンドの使用が禁止されているという意味である。次に、9行目にある管理番号6の権限情報「command user2 6 permit show log」は、ユーザ名「user2」のユーザはログの表示を中継装置10に指示することが許可されているという意味である。次に、10行目にある管理番号7の権限情報「command user2 7 permit show sshd public key」は、ユーザ名「user2」のユーザはSSH(Secure Shell)の鍵の表示を中継装置10に指示することが許可されているという意味である。ここでも、管理番号8よりも値が大きい管理番号9,10の権限情報の内容が優先されるから、ユーザ名「user2」のユーザは、ログとSSHの鍵の表示のみ可能であり、その他の表示関連のコマンドを用いた指示は禁止されることになる。
【0027】
このように、8〜10行目の権限情報は、一般ユーザに対して禁止された範囲に含まれる複数の処理を指示するコマンド群が包括的に記述された1つの権限情報(管理番号5の権限情報)と、その範囲においてその一般ユーザに対して許可された処理を指示するコマンドがそれぞれ記述された2つの権限情報(管理番号6,7の権限情報)からなる。このような権限情報の記述方法によれば、管理ユーザにとっては、一般ユーザに対して禁止する処理が膨大な数であっても、その1つ1つについて権限情報を管理テーブルに書き込む手間がかからないので、便利である。
【0028】
そして、11行目にある管理番号8の権限情報「command user3 8 deny *」は、ユーザ名「user3」のユーザはLAN2のインターフェースとしての中継装置10に対してどのような処理も指示することができないという意味である。
【0029】
以上に説明したように、上記実施形態によれば、管理ユーザが任意に指定した権限を一般ユーザに与えることで、例えば、各拠点に居る一般ユーザに当該拠点のLANの設定変更に関する権限を全て与えて、各拠点ごとのネットワーク構成に合わせた設定を各々の一般ユーザ自身が行うことが可能となる。
【0030】
また、管理ユーザは、一般ユーザに対して許可した権限の範囲を包括的に1つの権限情報として管理テーブルに記述し、かつ、その範囲においてその一般ユーザに対して禁止する権限については1つ1つ管理テーブルに記述する。これにより、管理ユーザは、多数の権限を一般ユーザに与えたい場合であっても、これらの権限について1つ1つ管理テーブルに書き込まなくて済み、きめ細やかな権限の指定を簡易な作業で実現できる。また、これとは逆に、管理ユーザは、一般ユーザに対して禁止した権限の範囲を包括的に1つの権限情報として管理テーブルに記述し、かつ、その範囲においてその一般ユーザに対して許可する権限については1つ1つ管理テーブルに記述する。これにより、管理ユーザは、多数の権限について一般ユーザに禁止したい場合であっても、これらの権限について1つ1つ管理テーブルに書き込まなくて済み、きめ細やかな権限の指定を簡易な作業で実現できる。このとき、管理ユーザは、ワイルドカードとしての文字列「*」を使うことで、簡単に、自由度の高い権限設定を行うことができる。
【0031】
<変形例>
以上の実施形態は次のように変形可能である。また、次の各変形例を互いに組み合わせることもできる。
<変形例1>
一般ユーザには、コンフィグレーション情報の表示などのように、ルータなどの中継装置による中継処理そのものに影響がないような処理について、ルータに指示する処理の権限がデフォルトで与えられていることがある。図4の例では、管理ユーザ自身が一般ユーザに対して包括的に処理の権限を与えてそのうちの一部の権限を制限したりしていたが、さらに、このような権限情報の与え方を、一般ユーザにデフォルトで与えられている処理の権限に対しても行ってもよい。つまり、管理テーブルには、一般ユーザに対してデフォルトで与えられた処理の権限が予め記述されており、管理ユーザは、その権限に対して、禁止したい一部の処理についての権限情報を1つ1つ記述する。
従来においては、管理ユーザ側から一般ユーザに処理の権限を与えるのみであり、一般ユーザに対してデフォルトで設定されていた処理の権限を奪ったり変更することはできないようになっていた。ただし、一般ユーザに対して、コンフィグレーション情報の表示やログの表示などについての処理の権限がデフォルトで与えられているとしても、例えばセキュリティ上の都合で、コンフィグレーション情報の表示に関する権限は与えたくはないけれど、通信障害などが発生した場合を考慮して、ログの表示に関する権限は与えておきたいという場合がある。このような場合、一般ユーザごとに与えたい権限の範囲が異なるため、例えば、全ての一般ユーザに対してデフォルトで与えられた権限のうち、一部はそのまま許可し一部は制限するというように、共通のルールで一斉に権限情報を設定することもできない。そこで、上記のように、管理テーブルに予め記述されたデフォルトの権限に対して、管理ユーザが、禁止したい一部の権限についての権限情報を1つ1つ記述するようにすれば、上記のような場合に対しても簡易な作業で対応することができる。
【0032】
<変形例2>
上記実施形態では、管理テーブルに、一般ユーザに対して許可された処理の範囲が包括的に1つの権限情報として記述され、かつ、その範囲においてその一般ユーザに対して禁止される処理については1つ1つの権限情報として記述されていた。ここで、許可された範囲においてその一般ユーザに対して禁止される処理についても、その禁止の処理の範囲を包括的に1つの権限情報として記述するようにしてもよい。また、これとは逆に、一般ユーザに対して禁止された処理の範囲が包括的に1つの権限情報として記述され、かつ、その範囲においてその一般ユーザに対して許可される処理については1つ1つの権限情報として記述されていた実施形態の内容に対し、禁止された範囲においてその一般ユーザに対して許可される処理については、その許可の処理の範囲を包括的に1つの権限情報として記述するようにしてもよい。
【0033】
<変形例3>
実施形態では、管理ユーザがクライアント装置20を操作して中継装置10の管理テーブルに権限情報を書き込んでいた。権限情報の記述方法はこれに限らず、権限情報をUSBメモリに書き込んでおき、このUSBメモリの記憶内容を中継装置10の入出力部15から中継装置10に入力して管理テーブルに書き込むようにしてもよい。
図5は、USBメモリにテキストファイル形式で記憶された権限情報の内容を表す図である。この内容は、図4の4行目から11行目までの内容と同一である。そして、このテキストファイルのファイル名は例えば「command.txt」である。
次に図6は、管理ユーザが中継装置10の管理テーブルに記述した内容を表す図である。図6において、1行目から3行目は、図4の1行目から3行目までの内容と同一である。そして、図6の4行目の「user command list usb1:command.txt」は、USBメモリ内の「command.txt」というファイル名のテキストファイルの内容を権限情報として管理テーブルに記述する、という指示を意味している。制御部11は、入出力部15にUSBメモリが挿入されたときには、この「user command list usb1:command.txt」の指示に従い、USBメモリ内に、「command.txt」というファイル名のテキストファイルがあるか否かを調べ、これがあれば、そのテキストファイルの内容を権限情報として管理テーブルに記述する。このようにすれば、管理ユーザは、複数の中継装置10に共通の権限情報を設定したい場合に、クライアント装置20から各々の中継装置に都度アクセスして、管理テーブルに逐一情報を書き込む、というような手間を減らすことができる。
【0034】
<変形例4>
実施形態では、ワイルドカードとしての文字列「*」を使っていたが、ワイルドカードとしての文字列はこれに限らず、要するに、複数の処理を指示するコマンド群に共通に含まれる共通文字列(図4の4行目の例では「command user1 1 permit ip lan1」)の後に続く文字列が任意の文字列であることを意味するような文字列(任意文字列という、実施形態では「*」)であればよい。また、共通文字列の後ろではなく、共通文字列の前に続く文字列が任意の文字列であることを意味するような任意文字列であってもよい。さらに、共通文字列の途中にある文字列が任意の文字列であることを意味するような任意文字列であってもよい。
【0035】
<変形例5>
上述した実施形態におけるプログラムは、磁気記録媒体(磁気テープ、磁気ディスクなど)、光記録媒体(光ディスクなど)、光磁気記録媒体、半導体メモリなどのコンピュータ読み取り可能な記録媒体に記憶した状態で中継装置10に提供し得る。この場合には、記録媒体を読み取るインターフェースを中継装置10に設ければよい。また、ネットワーク経由でダウンロードさせることも可能である。
【符号の説明】
【0036】
1A,1B,2・・・LAN、10A,10B…中継装置、11…制御部、12…揮発性記憶部、13・・・不揮発性記憶部、14−1,14−2・・・14−n・・・ポート、15・・・入出力部、20A,20B,20C,20D・・・クライアント装置。
【技術分野】
【0001】
本発明は、中継装置に対して処理を指示するユーザの権限を設定する技術に関する。
【背景技術】
【0002】
ルータは、OSI(Open Systems Interconnection)参照モデルの第1層である物理層から第3層であるネットワーク層までの階層において複数のネットワークを論理的に接続してデータの中継を行う中継装置である。このルータに対しては、ルータ自身が行う処理の内容を決めるコンフィグレーション情報が利用者によって設定される。例えば、ルータのIPアドレスや、データをフィルタリングするのに用いるフィルタの内容、さらには、ユーザからの要求に応じてルータが出力する内容などが、このコンフィグレーション情報に含まれる。ユーザは、ルータに接続されたコンピュータからそのルータにログインしてコンフィグレーション情報にアクセスし、各種のコマンドを入力することで、コンフィグレーション情報を書き換えたりコンフィグレーション情報を表示させたりなどの、各種の処理をルータに指示する。
【0003】
ルータにアクセスしてログインし得るユーザには、無名ユーザ、一般ユーザ、管理ユーザがある。無名ユーザは、ログイン名は無しで、予めルータに設定されたパスワードでルータにログインし、全コマンド群のうちの一部のコマンドを用いてルータに処理を指示することができる。一般ユーザは、予めルータに設定されたログイン名及びパスワードを用いてログインし、無名ユーザと同様に、一部のコマンドを用いてルータに処理を指示することができる。一般に、これらの無名ユーザおよび一般ユーザには、コンフィグレーション情報の表示などのように、ルータの中継処理そのものに影響がないような処理について、ルータに指示する権限が与えられている。管理ユーザは、例えば、無名ユーザもしくは一般ユーザとしてログインしたあとに、さらに管理ユーザ用として予めルータに設定されたログイン名とパスワードによってログインして、すべてのコマンドを用いてルータに処理を指示することが可能である。この管理ユーザは、無名ユーザや一般ユーザ(以下単に一般ユーザという)の権限やパスワード設定なども行うことができる。このようなルータにアクセスし得るユーザを管理する技術として、例えば特許文献1には、管理ユーザのみが変更可能な管理テーブルに、一般ユーザとコマンドとの組を記述しておき、一般ユーザに対して管理ユーザの権限を与えることが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平11−259426号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
一般ユーザの権限については、例えば管理ユーザのみが書き換え可能な管理テーブルに記述する例が考えられる。図7は、管理ユーザが或る一般ユーザXの権限を設定した場合の管理テーブルの内容の一例である。図7において、1行目の「ip lan1 address 192.168.100.1/24」は、或るローカルネットワーク(以下、LAN1という)のルータのIPアドレスとして「192.168.100.1/24」を設定する権限が一般ユーザXに与えられていることを意味している。2行目の「ip lan1 secure filter in 1」は、外部ネットワークからLAN1に入ってくるデータに対してフィルタ処理を行うことを設定する権限が一般ユーザXに与えられていることを意味している。3行目の「ip lan1 secure filter out 1」はLAN1から外部ネットワークへ出ていくデータに対してフィルタ処理を行うことを設定する権限が一般ユーザXに与えられていることを意味している。一般ユーザは、自身に与えられている権限内の処理であれば、コマンドを用いてその処理をルータに指示することができる。
【0006】
ところで、管理ユーザは例えばIPアドレスの設定の権限を一般ユーザに与えるときには、図7に示した如く、そのIPアドレスである「192.168.100.1/24」そのものを引数として管理テーブルに記述するようになっている。このため、一般ユーザがそれ以外のIPアドレスには一切変更することができないが、これでは、一般ユーザにとって自身の権限内で指示できる処理の範囲が非常に限られているため、一般ユーザに対して包括的な権限の与え方を実現することができれば便利である。一方、管理ユーザは、例えば或るLANに対するインタフェースとしてのルータの設定処理をすべて一般ユーザに行わせたいと考えた場合には、その設定処理の全てについて1つ1つ権限を与えて管理テーブルに逐一記述すればよいわけだが、この作業に相当の手間を要するという問題がある。
【0007】
そこで、本発明の目的は、中継装置に対する処理をユーザに許可したり禁止したりする際に、その許可または禁止を意味する権限情報を各々の単一の処理について個別に設定して多数の権限情報を書き込まなくても済むような仕組みを提供することにある。
【課題を解決するための手段】
【0008】
上述の課題を解決するため、本発明は、データの中継を行う中継手段と、各々のユーザに割り当てられたユーザ識別情報と、当該ユーザに対して許可または禁止された処理とを対応付けた権限情報を記憶する権限情報記憶手段と、ユーザによって入力され自装置に対して処理を指示するコマンドと、当該ユーザに割り当てられた前記ユーザ識別情報とを取得する取得手段と、取得された前記コマンドによって指示される処理が、前記権限情報において取得された前記ユーザ識別情報と対応付けられた前記処理に含まれる場合に、当該コマンドによって指示された処理を行う処理手段と、前記権限情報記憶手段に対し、各々のユーザに対して禁止された範囲に含まれる複数の処理と前記ユーザ識別情報とを対応付けた1つの前記権限情報を書き込み、且つ、当該禁止された範囲において当該ユーザに対して許可された処理と当該ユーザ識別情報を対応付けた1または複数の前記権限情報を書き込み、または、前記権限情報記憶手段に対し、各々のユーザに対して許可された範囲に含まれる複数の処理と前記ユーザ識別情報とを対応付けた1つの前記権限情報を書き込み、且つ、当該許可された範囲において当該ユーザに対して禁止された処理と当該ユーザ識別情報とを対応付けた1または複数の前記権限情報を書き込む書込手段とを備えることを特徴とする中継装置を提供する。
【0009】
上記の各発明において好ましい態様では、前記書込手段は、前記権限情報記憶手段に対し、前記範囲に含まれる複数の処理を書き込むときには、当該複数の処理を指示するコマンド群に共通に含まれる共通文字列と、当該共通文字列の前後に続く文字列が任意の文字列であることを意味する任意文字列とを組み合わせて書き込むようにしてもよい。
【0010】
さらに、別の好ましい態様においては、前記書込手段は、各々の前記権限情報に対応付けて、高低の差がある優先度を書き込み、前記処理手段は、高い優先度に対応付けられている権限情報に含まれる許可または禁止の内容が、低い優先度に対応付けられている権限情報に含まれる許可または禁止の内容と異なる場合には、高い優先度に対応付けられている権限情報に含まれる許可または禁止の内容に従って、取得された前記コマンドによって指示される処理を行うか否かを判断し、当該処理を行うと判断した場合に当該処理を行うようにしてもよい。
【発明の効果】
【0011】
本発明によれば、中継装置に対する処理をユーザに許可したり禁止したりする際に、その許可または禁止を意味する権限情報を各々の単一の処理について個別に設定して多数の権限情報を書き込む必要がない。
【図面の簡単な説明】
【0012】
【図1】本発明の実施形態に係る通信システムの構成を示す図である。
【図2】同実施形態において中継装置の構成を示すブロック図である。
【図3】同実施形態においてクライアント装置の構成を示すブロック図である。
【図4】同実施形態において中継装置が記憶している管理テーブルを例示する図である。
【図5】変形例においてUSBメモリに記憶されているテキストファイルの内容を例示する図である。
【図6】同変形例において中継装置が記憶している管理テーブルを例示する図である。
【図7】従来例においてルータが記憶している管理テーブルを例示する図である。
【発明を実施するための形態】
【0013】
以下、本発明の一実施形態について説明する。
<実施形態>
図1は、本発明の一実施形態に係る通信システムの構成を示す図である。通信システムは、例えば1つの企業に属する各事業所のような複数の拠点A、B・・・と、これらの各拠点を統括するセンタCとに跨って設けられている。この通信システムは、拠点A、B・・・のそれぞれに設けられた中継装置10A、10B・・・と、各中継装置10A,10B・・・に下位装置として接続されるクライアント装置20A,20B,20C,20D・・・と、各中継装置10A,10B・・・に上位装置として接続されるサーバ装置30とを備えている。中継装置10Aとクライアント装置20A,20B・・・とによってLAN(Local Area Network)1Aが構成され、中継装置10Bとクライアント装置20C,20D・・・とによってLAN1Bが構成されている。また、サーバ装置30と中継装置10A、10B・・・とによってLAN2が構成されている。
【0014】
サーバ装置30と、クライアント装置20A,20B,20C,20D・・・は、いずれもコンピュータである。各中継装置10A、10B・・・は、例えばルータと呼ばれる中継装置であり、OSI参照モデルの第1層である物理層から第3層であるネットワーク層までの階層において複数のネットワークを論理的に接続してデータの中継を行う。この通信システムにおいて、各中継装置10A、10B・・・は、上位装置であるサーバ装置30と、下位装置であるクライアント装置20A,20B,20C,20D・・・との間で遣り取りされるデータの中継を行う。なお、以下の説明において、中継装置10A、10B・・・のそれぞれを区別しない場合には、中継装置10といい、クライアント装置20A,20B,20C,20D・・・のそれぞれを区別しない場合には、クライアント装置20という。
【0015】
図2は、中継装置10Aの構成を示すブロック図である。中継装置10Aは、制御部11、揮発性記憶部12、不揮発性記憶部13、n(nは2以上の整数)個のポート14−1,14−2・・・14−n(以下、ポート14という)及び入出力部15を備えている。制御部11は、CPU(Central Processing Unit)やASIC(Application Specific Integrated Circuit)によって構成されており、この中継装置10Aの動作を制御する。揮発性記憶部12は、制御部11がデータの中継処理を行うときのワークエリアとして機能する。不揮発性記憶部13は、例えばフラッシュメモリであり、制御部11のCPUが実行するプログラムとか、データの中継処理に用いるIPアドレスやルーティングテーブルのほか、管理テーブルを記憶している。この管理テーブルには、中継装置10Aにアクセスしてログインし得る各ユーザがこの中継装置に対して指示する処理の権限を表した権限情報が記述されている。つまり、不揮発性記憶部13は、権限情報を記憶する権限情報記憶手段として機能する。ポート14はLAN1AとLAN2に接続されており、これらのLAN1AまたはLAN2を介してサーバ装置30やクライアント装置20A,20B・・・との間で通信を行うインタフェースである。入出力部は、USB(Universal Serial Bus)メモリなどの記憶媒体に対してデータの書き込み及び読み出しを行うことで、この中継装置10に対するデータの入出力を行う。
【0016】
中継装置10Aは、データを中継する中継処理を行う。具体的には、制御部11は、LAN2を介して、IP(Internet Protocol)に従って送信されてくるデータのパケットをポート14が受信すると、これを揮発性記憶部12に記憶し、さらに、これが、自身に接続されているLAN1Aにおける各クライアント装置20A,20B・・・宛てのパケットである場合に、その宛先のクライアント装置にそのパケットをポート14から転送する。一方、制御部11は、各クライアント装置20A,20B・・からLAN1Aを介して送信されてくるサーバ装置30宛のパケットをポート14が受信すると、これを揮発性記憶部12に記憶してから、ポート14からサーバ装置30に転送する。つまり、制御部11、揮発性記憶部12及びポート14は、データの中継処理を行う中継手段として機能する。
中継装置10Bの構成は、IPアドレス、ルーティングテーブル及び管理テーブルなど、不揮発性記憶部13に記憶されている内容を除いて、中継装置10Aの構成と同じである。
【0017】
図3は、クライアント装置20Aの構成を示すブロック図である。クライアント装置20Aは、制御部21、記憶部22、通信部23、表示部24及び操作部25を備えている。制御部21は、CPU、ROM(Read Only Memory)及びRAM(Random Access Memory)によって構成されており、このクライアント装置20Aの動作を制御する。記憶部22は、例えばハードディスクなどの大容量の不揮発性の記憶装置であり、制御部21のCPUが実行するプログラムなどを記憶している。通信部23は、LAN1Aに接続され、このLAN1AとLAN2を介してサーバ装置30との間で通信を行うインタフェースである。表示部24は、例えば液晶ディスプレイ及び液晶駆動回路を有しており、制御部21による指示に応じて画像を表示する。操作部25は、例えばキーボードやマウスを備えており、ユーザの操作を受け付けてその操作に応じた操作信号を制御部21に供給する、制御部21は、その操作信号に応じた処理を実行する。
クライアント装置20B,20C,20D・・の構成は、クライアント装置20Aの構成と同じである。
【0018】
ユーザは、クライアント装置20を操作して中継装置10にアクセスし、各種のコマンドを入力することで、例えば中継装置10のコンフィグレーション情報を書き換えたりコンフィグレーション情報を表示させたりなどの、様々な処理を中継装置10に指示する。中継装置10にアクセスしてログインし得るユーザには、無名ユーザ、一般ユーザ、管理ユーザがある。無名ユーザは、ログイン名は無しで、予め中継装置10に設定されたパスワードで中継装置10にログインし、全コマンド群のうちの一部のコマンドを用いて中継装置10に処理を指示することができる。一般ユーザは、予め中継装置10に設定されたログイン名及びパスワードを用いてログインし、無名ユーザと同様に、一部のコマンドを用いて中継装置10に処理を指示することができる。一般に、これらの無名ユーザおよび一般ユーザ(以下、単に一般ユーザという)には、コンフィグレーション情報の表示などのように、中継装置10の中継処理そのものに影響がないような処理については、中継装置10に指示する権限がデフォルトで与えられている。管理ユーザは、例えば、一般ユーザとしてログインしたあとに、さらに管理ユーザ用として予め中継装置10に設定されたログイン名とパスワードによってログインして、すべてのコマンドを用いて中継装置10に処理を指示することが可能である。この管理ユーザは、例えばクライアント装置20Aを操作して上記のようなユーザ認証処理を経ることで中継装置10にアクセスし、その中継装置10の管理テーブルに各々の一般ユーザの権限情報を記述することができる。この場合、中継装置10の制御部11は、管理ユーザによって入力された内容、つまり権限情報を不揮発性記憶部13の管理テーブルに書き込む書込手段として機能する。
【0019】
ここで、図4は、管理ユーザによって一般ユーザの権限が記述された管理テーブルの内容の一例である。図において、左側の文字列は、管理テーブルに記述された内容そのものである。一方、右側の説明は、その管理テーブルに記述された文字列の意味であり、実際に管理テーブルに記述されるものではない。上から1行目の「login user user1 pass1」は、中継装置10の一般ユーザとして、ユーザ名「user1」のユーザを登録することを意味している。同様に、図4の2行目及び3行目は、中継装置10の一般ユーザとして、ユーザ名「user2」のユーザ及びユーザ名「user3」のユーザを登録することを意味している。
【0020】
4行目以降の「command」で始まる文字列は、1〜3行目で登録された一般ユーザの具体的な権限の内容を意味する権限情報であり、次のような書式に従う。
権限情報の書式:「command ユーザ名 管理番号 許可または禁止の旨 対象コマンド」
この書式において、「ユーザ名」とは、処理の権限が与えられるユーザのユーザ名であり、各ユーザに割り当てられたユーザ識別情報に相当する。「管理番号」とは、各々の権限情報を識別する識別情報であるとともに、高低の差がある優先度としても機能する情報である。この管理番号の値が大きいほど優先度が高く、値が小さいほど優先度が低い。「許可または禁止の旨」は、中継装置10に処理を指示するコマンドの使用をユーザに許可(Permit)するか禁止(deny)するかを意味している。そして、「対象コマンド」とは、そのような許可又は禁止の対象となるコマンドである。ここで、「対象コマンド」として「*」という文字列が指定されたとき、この「*」はどのような内容をも含む、いわゆるワイルドカードに相当する。例えば、「ip lan1 *」という権限情報の場合、「ip lan1」に続けて入力するコマンドはどのようなものであっても、中継装置10はそのコマンドに応じた処理を行う。また、例えば「ip lan1 address *」という権限情報の場合、「ip lan1 address」に続けて入力されるIPアドレスはどのようなものであっても、中継装置10はそのIPアドレスを自身に設定する。このように、各権限情報においては、各々のユーザに割り当てられたユーザ識別情報と、当該ユーザに対して許可または禁止された処理とが対応付けられている。
【0021】
例えば4行目にある管理番号1の権限情報「command user1 1 permit ip lan1 *」は、ユーザ名「user1」のユーザはLAN1のインターフェースとしての中継装置10の設定内容をすべて変更し得るという意味である。次に、5行目にある管理番号2の権限情報「command user1 2 deny ip lan1 address *」は、ユーザ名「user1」のユーザはLAN1のインターフェースとしての中継装置10のIPアドレスを変更することはできないということを意味している。次に、6行目にある管理番号3の権限情報「command user1 3 deny ip lan1 secure filter *」は、ユーザ名「user1」のユーザはLAN1のインターフェースとしての中継装置10のフィルタを変更することはできないことを意味している。
【0022】
このように、ユーザ名「user1」のユーザに対して、管理番号1の権限情報は、LAN1のインターフェースとしての中継装置10の設定内容をすべて変更し得ることを意味しているのに対し、管理番号2の権限情報は、その中継装置10のIPアドレスを変更することを禁止し、また、管理番号3の権限情報は、その中継装置10のフィルタを変更することを禁止している。つまり、管理番号1の権限情報の意味する内容と、管理番号2,3の権限情報の意味する内容とが異なっており、両者がそれぞれ意味する権限の範囲に矛盾が生じているが、このような場合には、優先度としての管理番号の値が大きい方の権限情報の内容が優先される。つまり、制御部11は、高い優先度に対応付けられている権限情報に含まれる許可または禁止の内容が、低い優先度に対応付けられている権限情報に含まれる許可または禁止の内容と異なる場合には、高い優先度に対応付けられている権限情報に含まれる許可または禁止の内容に従って、コマンドによって指示される処理を行うか否かを判断して、その処理を行うと判断した場合にその処理を行う。ここでは、管理番号2,3の権限情報が優先され、LAN1のインターフェースとしての中継装置10の設定内容のうち、IPアドレスの変更とフィルタの変更のみが禁止され、それ以外の設定内容が許可されていることになる。
【0023】
このように、4〜6行目の権限情報は、一般ユーザに対して許可された範囲に含まれる複数の処理を指示するコマンド群が包括的に記述された1つの権限情報(管理番号1の権限情報)と、その範囲においてその一般ユーザに対して禁止された処理を指示するコマンドがそれぞれ記述された2つの権限情報(管理番号2,3の権限情報)からなる。このような権限情報の記述方法によれば、管理ユーザにとっては、一般ユーザに対して許可する処理が膨大な数であっても、その1つ1つについて権限情報を管理テーブルに書き込む手間がかからないので、便利である。
【0024】
一般ユーザが中継装置10の処理を指示したときの中継装置10の動作は次のとおりである。例えばユーザ名「user1」のユーザが、クライアント装置20を操作して中継装置10にアクセスし、各種のコマンドを入力してその中継装置10に処理を指示すると、中継装置10の制御部11は、まず、このコマンドとユーザ名である「user1」とをクライアント装置20から取得する。そして、制御部11は、これらコマンド及びユーザ名と、管理テーブルの内容とを参照して、そのユーザ名「user1」のユーザに対して許可された処理については実行し、そのユーザに対して禁止された処理については実行しない。つまり、制御部11は、中継装置10に対して処理を指示するコマンドとユーザ名とを取得する取得手段として機能するとともに、そのコマンドによって指示される処理が、管理テーブル上の権限情報においてユーザ名と対応付けられた処理に含まれる場合には、そのコマンドによって指示された処理を行う処理手段として機能する。図4の例では、制御部11は、LAN1のインターフェースとしての中継装置10の設定内容のうち、IPアドレスの変更とフィルタの変更については実行せず、それ以外の設定内容が指示されたときにはこれを実行する。
【0025】
次に、図4において、7行目にある管理番号4の権限情報「command user2 4 permit ip lan2 *」は、ユーザ名「user2」のユーザはLAN2のインターフェースとしての中継装置10の設定内容をすべて変更し得るという意味である。よって、ユーザ名「user2」のユーザが、クライアント装置20を操作して中継装置10にアクセスし、各種のコマンドを入力してその中継装置10に処理を指示すると、中継装置10は、LAN2のインターフェースとしての設定内容のうち、どのような内容が指示されても全て実行する。
【0026】
そして、8行目にある管理番号5の権限情報「command user2 5 deny show *」は、ユーザ名「user2」のユーザは中継装置10に対し表示関連のすべてのコマンドの使用が禁止されているという意味である。次に、9行目にある管理番号6の権限情報「command user2 6 permit show log」は、ユーザ名「user2」のユーザはログの表示を中継装置10に指示することが許可されているという意味である。次に、10行目にある管理番号7の権限情報「command user2 7 permit show sshd public key」は、ユーザ名「user2」のユーザはSSH(Secure Shell)の鍵の表示を中継装置10に指示することが許可されているという意味である。ここでも、管理番号8よりも値が大きい管理番号9,10の権限情報の内容が優先されるから、ユーザ名「user2」のユーザは、ログとSSHの鍵の表示のみ可能であり、その他の表示関連のコマンドを用いた指示は禁止されることになる。
【0027】
このように、8〜10行目の権限情報は、一般ユーザに対して禁止された範囲に含まれる複数の処理を指示するコマンド群が包括的に記述された1つの権限情報(管理番号5の権限情報)と、その範囲においてその一般ユーザに対して許可された処理を指示するコマンドがそれぞれ記述された2つの権限情報(管理番号6,7の権限情報)からなる。このような権限情報の記述方法によれば、管理ユーザにとっては、一般ユーザに対して禁止する処理が膨大な数であっても、その1つ1つについて権限情報を管理テーブルに書き込む手間がかからないので、便利である。
【0028】
そして、11行目にある管理番号8の権限情報「command user3 8 deny *」は、ユーザ名「user3」のユーザはLAN2のインターフェースとしての中継装置10に対してどのような処理も指示することができないという意味である。
【0029】
以上に説明したように、上記実施形態によれば、管理ユーザが任意に指定した権限を一般ユーザに与えることで、例えば、各拠点に居る一般ユーザに当該拠点のLANの設定変更に関する権限を全て与えて、各拠点ごとのネットワーク構成に合わせた設定を各々の一般ユーザ自身が行うことが可能となる。
【0030】
また、管理ユーザは、一般ユーザに対して許可した権限の範囲を包括的に1つの権限情報として管理テーブルに記述し、かつ、その範囲においてその一般ユーザに対して禁止する権限については1つ1つ管理テーブルに記述する。これにより、管理ユーザは、多数の権限を一般ユーザに与えたい場合であっても、これらの権限について1つ1つ管理テーブルに書き込まなくて済み、きめ細やかな権限の指定を簡易な作業で実現できる。また、これとは逆に、管理ユーザは、一般ユーザに対して禁止した権限の範囲を包括的に1つの権限情報として管理テーブルに記述し、かつ、その範囲においてその一般ユーザに対して許可する権限については1つ1つ管理テーブルに記述する。これにより、管理ユーザは、多数の権限について一般ユーザに禁止したい場合であっても、これらの権限について1つ1つ管理テーブルに書き込まなくて済み、きめ細やかな権限の指定を簡易な作業で実現できる。このとき、管理ユーザは、ワイルドカードとしての文字列「*」を使うことで、簡単に、自由度の高い権限設定を行うことができる。
【0031】
<変形例>
以上の実施形態は次のように変形可能である。また、次の各変形例を互いに組み合わせることもできる。
<変形例1>
一般ユーザには、コンフィグレーション情報の表示などのように、ルータなどの中継装置による中継処理そのものに影響がないような処理について、ルータに指示する処理の権限がデフォルトで与えられていることがある。図4の例では、管理ユーザ自身が一般ユーザに対して包括的に処理の権限を与えてそのうちの一部の権限を制限したりしていたが、さらに、このような権限情報の与え方を、一般ユーザにデフォルトで与えられている処理の権限に対しても行ってもよい。つまり、管理テーブルには、一般ユーザに対してデフォルトで与えられた処理の権限が予め記述されており、管理ユーザは、その権限に対して、禁止したい一部の処理についての権限情報を1つ1つ記述する。
従来においては、管理ユーザ側から一般ユーザに処理の権限を与えるのみであり、一般ユーザに対してデフォルトで設定されていた処理の権限を奪ったり変更することはできないようになっていた。ただし、一般ユーザに対して、コンフィグレーション情報の表示やログの表示などについての処理の権限がデフォルトで与えられているとしても、例えばセキュリティ上の都合で、コンフィグレーション情報の表示に関する権限は与えたくはないけれど、通信障害などが発生した場合を考慮して、ログの表示に関する権限は与えておきたいという場合がある。このような場合、一般ユーザごとに与えたい権限の範囲が異なるため、例えば、全ての一般ユーザに対してデフォルトで与えられた権限のうち、一部はそのまま許可し一部は制限するというように、共通のルールで一斉に権限情報を設定することもできない。そこで、上記のように、管理テーブルに予め記述されたデフォルトの権限に対して、管理ユーザが、禁止したい一部の権限についての権限情報を1つ1つ記述するようにすれば、上記のような場合に対しても簡易な作業で対応することができる。
【0032】
<変形例2>
上記実施形態では、管理テーブルに、一般ユーザに対して許可された処理の範囲が包括的に1つの権限情報として記述され、かつ、その範囲においてその一般ユーザに対して禁止される処理については1つ1つの権限情報として記述されていた。ここで、許可された範囲においてその一般ユーザに対して禁止される処理についても、その禁止の処理の範囲を包括的に1つの権限情報として記述するようにしてもよい。また、これとは逆に、一般ユーザに対して禁止された処理の範囲が包括的に1つの権限情報として記述され、かつ、その範囲においてその一般ユーザに対して許可される処理については1つ1つの権限情報として記述されていた実施形態の内容に対し、禁止された範囲においてその一般ユーザに対して許可される処理については、その許可の処理の範囲を包括的に1つの権限情報として記述するようにしてもよい。
【0033】
<変形例3>
実施形態では、管理ユーザがクライアント装置20を操作して中継装置10の管理テーブルに権限情報を書き込んでいた。権限情報の記述方法はこれに限らず、権限情報をUSBメモリに書き込んでおき、このUSBメモリの記憶内容を中継装置10の入出力部15から中継装置10に入力して管理テーブルに書き込むようにしてもよい。
図5は、USBメモリにテキストファイル形式で記憶された権限情報の内容を表す図である。この内容は、図4の4行目から11行目までの内容と同一である。そして、このテキストファイルのファイル名は例えば「command.txt」である。
次に図6は、管理ユーザが中継装置10の管理テーブルに記述した内容を表す図である。図6において、1行目から3行目は、図4の1行目から3行目までの内容と同一である。そして、図6の4行目の「user command list usb1:command.txt」は、USBメモリ内の「command.txt」というファイル名のテキストファイルの内容を権限情報として管理テーブルに記述する、という指示を意味している。制御部11は、入出力部15にUSBメモリが挿入されたときには、この「user command list usb1:command.txt」の指示に従い、USBメモリ内に、「command.txt」というファイル名のテキストファイルがあるか否かを調べ、これがあれば、そのテキストファイルの内容を権限情報として管理テーブルに記述する。このようにすれば、管理ユーザは、複数の中継装置10に共通の権限情報を設定したい場合に、クライアント装置20から各々の中継装置に都度アクセスして、管理テーブルに逐一情報を書き込む、というような手間を減らすことができる。
【0034】
<変形例4>
実施形態では、ワイルドカードとしての文字列「*」を使っていたが、ワイルドカードとしての文字列はこれに限らず、要するに、複数の処理を指示するコマンド群に共通に含まれる共通文字列(図4の4行目の例では「command user1 1 permit ip lan1」)の後に続く文字列が任意の文字列であることを意味するような文字列(任意文字列という、実施形態では「*」)であればよい。また、共通文字列の後ろではなく、共通文字列の前に続く文字列が任意の文字列であることを意味するような任意文字列であってもよい。さらに、共通文字列の途中にある文字列が任意の文字列であることを意味するような任意文字列であってもよい。
【0035】
<変形例5>
上述した実施形態におけるプログラムは、磁気記録媒体(磁気テープ、磁気ディスクなど)、光記録媒体(光ディスクなど)、光磁気記録媒体、半導体メモリなどのコンピュータ読み取り可能な記録媒体に記憶した状態で中継装置10に提供し得る。この場合には、記録媒体を読み取るインターフェースを中継装置10に設ければよい。また、ネットワーク経由でダウンロードさせることも可能である。
【符号の説明】
【0036】
1A,1B,2・・・LAN、10A,10B…中継装置、11…制御部、12…揮発性記憶部、13・・・不揮発性記憶部、14−1,14−2・・・14−n・・・ポート、15・・・入出力部、20A,20B,20C,20D・・・クライアント装置。
【特許請求の範囲】
【請求項1】
データの中継を行う中継手段と、
各々のユーザに割り当てられたユーザ識別情報と、当該ユーザに対して許可または禁止された処理とを対応付けた権限情報を記憶する権限情報記憶手段と、
ユーザによって入力され自装置に対して処理を指示するコマンドと、当該ユーザに割り当てられた前記ユーザ識別情報とを取得する取得手段と、
取得された前記コマンドによって指示される処理が、前記権限情報において取得された前記ユーザ識別情報と対応付けられた前記処理に含まれる場合に、当該コマンドによって指示された処理を行う処理手段と、
前記権限情報記憶手段に対し、各々のユーザに対して禁止された範囲に含まれる複数の処理と前記ユーザ識別情報とを対応付けた1つの前記権限情報を書き込み、且つ、当該禁止された範囲において当該ユーザに対して許可された処理と当該ユーザ識別情報を対応付けた1または複数の前記権限情報を書き込み、または、前記権限情報記憶手段に対し、各々のユーザに対して許可された範囲に含まれる複数の処理と前記ユーザ識別情報とを対応付けた1つの前記権限情報を書き込み、且つ、当該許可された範囲において当該ユーザに対して禁止された処理と当該ユーザ識別情報とを対応付けた1または複数の前記権限情報を書き込む書込手段と
を備えることを特徴とする中継装置。
【請求項2】
前記書込手段は、前記権限情報記憶手段に対し、前記範囲に含まれる複数の処理を書き込むときには、当該複数の処理を指示するコマンド群に共通に含まれる共通文字列と、当該共通文字列の前後に続く文字列が任意の文字列であることを意味する任意文字列とを組み合わせて書き込む
ことを特徴とする請求項1に記載の中継装置。
【請求項3】
前記書込手段は、各々の前記権限情報に対応付けて、高低の差がある優先度を書き込み、
前記処理手段は、高い優先度に対応付けられている権限情報に含まれる許可または禁止の内容が、低い優先度に対応付けられている権限情報に含まれる許可または禁止の内容と異なる場合には、高い優先度に対応付けられている権限情報に含まれる許可または禁止の内容に従って、取得された前記コマンドによって指示される処理を行うか否かを判断し、当該処理を行うと判断した場合に当該処理を行う
ことを特徴とする請求項1または2に記載の中継装置。
【請求項1】
データの中継を行う中継手段と、
各々のユーザに割り当てられたユーザ識別情報と、当該ユーザに対して許可または禁止された処理とを対応付けた権限情報を記憶する権限情報記憶手段と、
ユーザによって入力され自装置に対して処理を指示するコマンドと、当該ユーザに割り当てられた前記ユーザ識別情報とを取得する取得手段と、
取得された前記コマンドによって指示される処理が、前記権限情報において取得された前記ユーザ識別情報と対応付けられた前記処理に含まれる場合に、当該コマンドによって指示された処理を行う処理手段と、
前記権限情報記憶手段に対し、各々のユーザに対して禁止された範囲に含まれる複数の処理と前記ユーザ識別情報とを対応付けた1つの前記権限情報を書き込み、且つ、当該禁止された範囲において当該ユーザに対して許可された処理と当該ユーザ識別情報を対応付けた1または複数の前記権限情報を書き込み、または、前記権限情報記憶手段に対し、各々のユーザに対して許可された範囲に含まれる複数の処理と前記ユーザ識別情報とを対応付けた1つの前記権限情報を書き込み、且つ、当該許可された範囲において当該ユーザに対して禁止された処理と当該ユーザ識別情報とを対応付けた1または複数の前記権限情報を書き込む書込手段と
を備えることを特徴とする中継装置。
【請求項2】
前記書込手段は、前記権限情報記憶手段に対し、前記範囲に含まれる複数の処理を書き込むときには、当該複数の処理を指示するコマンド群に共通に含まれる共通文字列と、当該共通文字列の前後に続く文字列が任意の文字列であることを意味する任意文字列とを組み合わせて書き込む
ことを特徴とする請求項1に記載の中継装置。
【請求項3】
前記書込手段は、各々の前記権限情報に対応付けて、高低の差がある優先度を書き込み、
前記処理手段は、高い優先度に対応付けられている権限情報に含まれる許可または禁止の内容が、低い優先度に対応付けられている権限情報に含まれる許可または禁止の内容と異なる場合には、高い優先度に対応付けられている権限情報に含まれる許可または禁止の内容に従って、取得された前記コマンドによって指示される処理を行うか否かを判断し、当該処理を行うと判断した場合に当該処理を行う
ことを特徴とする請求項1または2に記載の中継装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−215710(P2011−215710A)
【公開日】平成23年10月27日(2011.10.27)
【国際特許分類】
【出願番号】特願2010−80803(P2010−80803)
【出願日】平成22年3月31日(2010.3.31)
【出願人】(000004075)ヤマハ株式会社 (5,930)
【Fターム(参考)】
【公開日】平成23年10月27日(2011.10.27)
【国際特許分類】
【出願日】平成22年3月31日(2010.3.31)
【出願人】(000004075)ヤマハ株式会社 (5,930)
【Fターム(参考)】
[ Back to top ]