FAQ zur Benutzerzugriffsverwaltung für SANtricity System Manager
Diese FAQ kann Ihnen helfen, wenn Sie nur nach einer schnellen Antwort auf eine Frage suchen.
Warum kann ich mich nicht anmelden?
Wenn bei der Anmeldung bei SANtricity System Manager ein Fehler angezeigt wird, prüfen Sie die folgenden möglichen Ursachen.
Fehler beim Anmelden bei System Manager können aus einem der folgenden Gründe auftreten:
-
Sie haben einen falschen Benutzernamen oder ein falsches Passwort eingegeben.
-
Sie verfügen über unzureichende Berechtigungen.
-
Der Verzeichnisserver (falls konfiguriert) ist möglicherweise nicht verfügbar. Wenn dies der Fall ist, melden Sie sich mit einer lokalen Benutzerrolle an.
-
Sie haben mehrmals versucht, sich erfolglos anzumelden, was den Sperrmodus ausgelöst hat. Warten Sie 10 Minuten, bis Sie sich erneut anmelden können.
-
Eine Sperrbedingung wurde ausgelöst und Ihr Prüfprotokoll ist möglicherweise voll. Wechseln Sie zu Zugriffsmanagement und löschen Sie alte Ereignisse aus dem Revisionsprotokoll.
-
SAML-Authentifizierung ist aktiviert. Aktualisieren Sie Ihren Browser, um sich anzumelden.
Aus einem der folgenden Gründe können Anmeldefehler bei einem Remote-Speicher-Array auftreten:
-
Sie haben ein falsches Kennwort eingegeben.
-
Sie haben mehrmals versucht, sich erfolglos anzumelden, was den Sperrmodus ausgelöst hat. Warten Sie 10 Minuten, um sich erneut anzumelden.
-
Die maximale Anzahl an Client-Verbindungen, die auf dem Controller verwendet werden, wurde erreicht. Suchen Sie nach mehreren Benutzern oder Clients.
Was muss ich vor dem Hinzufügen eines Verzeichnisservers wissen?
Stellen Sie vor dem Hinzufügen eines Verzeichnisservers in der Zugriffsverwaltung sicher, dass Sie die folgenden Anforderungen erfüllen.
-
Benutzergruppen müssen in Ihrem Verzeichnisdienst definiert sein.
-
LDAP-Serveranmeldeinformationen müssen verfügbar sein, einschließlich Domänenname, Server-URL und optional Benutzername und Kennwort für das Bindekonto.
-
Bei LDAPS-Servern mit einem sicheren Protokoll muss die Zertifikatskette des LDAP-Servers auf Ihrem lokalen Computer installiert sein.
Was muss ich über die Zuordnung von Speicher-Array-Rollen wissen?
Bevor Sie Gruppen zu Rollen zuordnen, lesen Sie die folgenden Richtlinien durch.
Die integrierten RBAC-Funktionen (rollenbasierte Zugriffssteuerung) des Storage-Arrays umfassen folgende Rollen:
-
Storage Admin — Vollzugriff auf die Speicherobjekte (z. B. Volumes und Disk Pools), aber kein Zugriff auf die Sicherheitskonfiguration.
-
Security Admin — Zugriff auf die Sicherheitskonfiguration in Access Management, Zertifikatverwaltung, Audit Log Management und die Möglichkeit, die alte Management-Schnittstelle (Symbol) ein- oder auszuschalten.
-
Support Admin — Zugriff auf alle Hardware-Ressourcen auf dem Speicher-Array, Ausfalldaten, MEL-Ereignisse und Controller-Firmware-Upgrades. Kein Zugriff auf Speicherobjekte oder die Sicherheitskonfiguration.
-
Monitor — schreibgeschützter Zugriff auf alle Speicherobjekte, aber kein Zugriff auf die Sicherheitskonfiguration.
Verzeichnisdienste
Wenn Sie einen LDAP-Server (Lightweight Directory Access Protocol) und Verzeichnisdienste verwenden, stellen Sie sicher, dass:
-
Ein Administrator hat im Verzeichnisdienst Benutzergruppen definiert.
-
Sie kennen die Gruppen-Domain-Namen für die LDAP-Benutzergruppen. Reguläre Ausdrücke werden unterstützt. Diese speziellen regulären Ausdruckszeichen müssen mit einem umgekehrten Schrägstrich entgangen werden (
\
) Wenn sie nicht Teil eines regulären Ausdrucksmusters sind:\.[]{}()<>*+-=!?^$|
-
Die Überwachungsrolle ist für alle Benutzer, einschließlich des Administrators, erforderlich. Der System Manager funktioniert ohne die vorhandene Monitorrolle nicht ordnungsgemäß für alle Benutzer.
SAML
Wenn Sie die im Speicher-Array integrierten SAML-Funktionen (Security Assertion Markup Language) verwenden, stellen Sie sicher, dass:
-
Ein IdP-Administrator (Identity Provider) hat im IdP-System Benutzerattribute und Gruppenmitgliedschaften konfiguriert.
-
Sie kennen die Namen der Gruppenmitgliedschaft.
-
Sie kennen den Attributwert für die zu zugeordnete Gruppe. Reguläre Ausdrücke werden unterstützt. Diese speziellen regulären Ausdruckszeichen müssen mit einem umgekehrten Schrägstrich entgangen werden (
\
) Wenn sie nicht Teil eines regulären Ausdrucksmusters sind:\.[]{}()<>*+-=!?^$|
-
Die Überwachungsrolle ist für alle Benutzer, einschließlich des Administrators, erforderlich. Der System Manager funktioniert ohne die vorhandene Monitorrolle nicht ordnungsgemäß für alle Benutzer.
Welche externen Verwaltungstools können von dieser Änderung betroffen sein?
Wenn Sie bestimmte Änderungen in SANtricity System Manager vornehmen, wie z. B. das Wechseln der Managementoberfläche oder die Verwendung von SAML für eine Authentifizierungsmethode, sind die Verwendung einiger externer Tools und Funktionen möglicherweise eingeschränkt.
Managementoberfläche
Tools, die direkt mit der älteren Managementoberfläche (Symbol), z. B. SANtricity SMI-S Provider oder OnCommand Insight (OCI), kommunizieren, funktionieren nur, wenn die Einstellung für die ältere Managementoberfläche aktiviert ist. Darüber hinaus können Sie keine alten CLI-Befehle verwenden oder Spiegelungsvorgänge durchführen, wenn diese Einstellung deaktiviert ist.
Weitere Informationen erhalten Sie vom technischen Support.
SAML-Authentifizierung
Wenn SAML aktiviert ist, können die folgenden Clients nicht auf Storage-Array-Services und -Ressourcen zugreifen:
-
Enterprise Management-Fenster (EMW)
-
Befehlszeilenschnittstelle (CLI)
-
Software Developer Kits (SDK)-Clients
-
In-Band-Clients
-
REST-API-Clients für die HTTP-Standardauthentifizierung
-
Melden Sie sich mithilfe des standardmäßigen REST-API-Endpunkts an
Weitere Informationen erhalten Sie vom technischen Support.
Was muss ich vor der Konfiguration und Aktivierung von SAML wissen?
Bevor Sie die SAML-Funktionen (Security Assertion Markup Language) für die Authentifizierung konfigurieren und aktivieren, müssen Sie sicherstellen, dass Sie die folgenden Anforderungen erfüllen und SAML-Einschränkungen verstehen.
Anforderungen
Bevor Sie beginnen, stellen Sie sicher, dass:
-
Ein Identitäts-Provider (IdP) ist in Ihrem Netzwerk konfiguriert. Ein IdP ist ein externes System, mit dem Anmeldeinformationen von einem Benutzer angefordert werden und festgestellt wird, ob der Benutzer erfolgreich authentifiziert wurde. Ihr Sicherheitsteam ist für die Instandhaltung des IdP verantwortlich.
-
Ein IdP-Administrator hat Benutzerattribute und Gruppen im IdP-System konfiguriert.
-
Ein IdP-Administrator hat sichergestellt, dass der IdP die Möglichkeit unterstützt, eine Name-ID bei der Authentifizierung zurückzugeben.
-
Ein Administrator hat sichergestellt, dass die IdP-Server- und -Controller-Uhren synchronisiert werden (entweder über einen NTP-Server oder durch Anpassen der Controller-Uhreinstellungen).
-
Eine IdP-Metadatendatei wird vom IdP-System heruntergeladen und ist auf dem lokalen System verfügbar, das für den Zugriff auf System Manager verwendet wird.
-
Sie kennen die IP-Adresse oder den Domain-Namen der einzelnen Controller im Storage-Array.
Einschränkungen
Zusätzlich zu den oben genannten Anforderungen sollten Sie sich mit den folgenden Einschränkungen vertraut machen:
-
Sobald SAML aktiviert ist, können Sie sie über die Benutzeroberfläche nicht deaktivieren oder die IdP-Einstellungen bearbeiten. Wenn Sie die SAML-Konfiguration deaktivieren oder bearbeiten müssen, wenden Sie sich an den technischen Support, um Hilfe zu erhalten. Es wird empfohlen, die SSO-Anmeldungen zu testen, bevor Sie SAML im letzten Konfigurationsschritt aktivieren. (Das System führt auch einen SSO-Anmeldetest vor Aktivierung von SAML durch.)
-
Wenn Sie SAML zukünftig deaktivieren, stellt das System automatisch die vorherige Konfiguration wieder her (lokale Benutzerrollen und/oder Verzeichnisdienste).
-
Wenn Verzeichnisdienste derzeit für die Benutzerauthentifizierung konfiguriert sind, überschreibt SAML diese Konfiguration.
-
Wenn SAML konfiguriert ist, können die folgenden Clients nicht auf Speicher-Array-Ressourcen zugreifen:
-
Enterprise Management-Fenster (EMW)
-
Befehlszeilenschnittstelle (CLI)
-
Software Developer Kits (SDK)-Clients
-
In-Band-Clients
-
REST-API-Clients für die HTTP-Standardauthentifizierung
-
Melden Sie sich mithilfe des standardmäßigen REST-API-Endpunkts an
-
Welche Arten von Ereignissen werden im Auditprotokoll aufgezeichnet?
Das Revisionsprotokoll kann Änderungsereignisse oder sowohl Änderungs- als auch schreibgeschützte Ereignisse aufzeichnen.
Abhängig von den Richtlinieneinstellungen werden die folgenden Ereignistypen angezeigt:
-
Änderungsereignisse — Benutzeraktionen aus System Manager heraus, die Änderungen am System, z. B. die Bereitstellung von Speicher, mit sich bringen.
-
Modifizierung und schreibgeschützte Ereignisse — Benutzeraktionen, die Änderungen am System beinhalten, sowie Ereignisse, die Informationen anzeigen oder herunterladen, wie zum Beispiel die Anzeige von Volume-Zuweisungen.
Was muss ich vor der Konfiguration eines Syslog-Servers wissen?
Sie können Audit-Protokolle auf einem externen Syslog-Server archivieren.
Beachten Sie vor der Konfiguration eines Syslog-Servers die folgenden Richtlinien.
-
Stellen Sie sicher, dass Sie die Serveradresse, das Protokoll und die Portnummer kennen. Bei der Serveradresse kann es sich um einen vollständig qualifizierten Domänennamen, eine IPv4-Adresse oder eine IPv6-Adresse handeln.
-
Wenn Ihr Server ein sicheres Protokoll verwendet (z. B. TLS), muss auf Ihrem lokalen System ein Zertifikat für Zertifizierungsstellen (CA) verfügbar sein. CA-Zertifikate identifizieren Website-Eigentümer für sichere Verbindungen zwischen Servern und Clients.
-
Nach der Konfiguration werden alle neuen Audit-Protokolle an den Syslog-Server gesendet. Frühere Protokolle werden nicht übertragen.
-
Die Einstellungen der Überschreibrichtlinie (verfügbar unter Ansicht/Einstellungen bearbeiten) haben keinen Einfluss auf das Management von Protokollen mit einer Syslog-Serverkonfiguration.
-
Auditprotokolle folgen dem Nachrichtenformat RFC 5424.
Der Syslog-Server empfängt keine Audit-Protokolle mehr. Was mache ich?
Wenn Sie einen Syslog-Server mit einem TLS-Protokoll konfiguriert haben, kann der Server keine Meldungen empfangen, wenn das Zertifikat aus irgendeinem Grund ungültig wird. Eine Fehlermeldung über das ungültige Zertifikat wird im Auditprotokoll veröffentlicht.
Um dieses Problem zu lösen, müssen Sie zuerst das Zertifikat für den Syslog-Server reparieren. Wenn eine gültige Zertifikatskette vorhanden ist, gehen Sie zu Menü:Einstellungen[Audit Log > Syslog-Server konfigurieren > Alle testen].