Skip to main content
SANtricity software
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

FAQ sur la gestion des accès utilisateurs pour SANtricity Unified Manager

PDF

Cette FAQ peut vous aider si vous cherchez juste une réponse rapide à une question.

Pourquoi ne puis-je pas me connecter ?

Si vous recevez une erreur lors de la tentative de connexion, consultez ces causes possibles.

Des erreurs de connexion peuvent se produire pour l'une des raisons suivantes :

  • Vous avez saisi un nom d'utilisateur ou un mot de passe incorrect.

  • Vous disposez de privilèges insuffisants.

  • Vous avez tenté de vous connecter plusieurs fois sans succès, ce qui a déclenché le mode de verrouillage. Attendez 10 minutes pour vous reconnecter.

  • L'authentification SAML est activée. Actualisez votre navigateur pour vous connecter.

Que dois-je savoir avant d'ajouter un serveur d'annuaire ?

Avant d'ajouter un serveur d'annuaire dans Access Management, vous devez répondre à certaines exigences.

  • Les groupes d'utilisateurs doivent être définis dans votre service d'annuaire.

  • Les informations d'identification du serveur LDAP doivent être disponibles, y compris le nom de domaine, l'URL du serveur, et éventuellement le nom d'utilisateur et le mot de passe du compte BIND.

  • Pour les serveurs LDAPS utilisant un protocole sécurisé, la chaîne de certificats du serveur LDAP doit être installée sur votre ordinateur local.

De quoi ai-je besoin savoir concernant le mappage aux rôles de la baie de stockage ?

Avant de mapper des groupes à des rôles, consultez les directives.

Les fonctionnalités RBAC (contrôle d'accès basé sur des rôles) incluent les rôles suivants :

  • Storage admin — accès en lecture/écriture complet aux objets de stockage sur les baies, mais pas à la configuration de sécurité.

  • Security admin — accès à la configuration de sécurité dans Access Management et Certificate Management.

  • Support admin — accès à toutes les ressources matérielles sur les matrices de stockage, aux données de panne et aux événements MEL. Aucun accès aux objets de stockage ou à la configuration de sécurité.

  • Monitor — accès en lecture seule à tous les objets de stockage, mais pas d'accès à la configuration de sécurité.

Remarque

Le rôle Monitor est requis pour tous les utilisateurs, y compris l'administrateur.

Si vous utilisez un serveur LDAP (Lightweight Directory Access Protocol) et des services d'annuaire, assurez-vous que :

  • Un administrateur a défini des groupes d'utilisateurs dans le service d'annuaire.

  • Vous connaissez les noms de domaine de groupe des groupes d'utilisateurs LDAP.

SAML

Si vous utilisez les fonctionnalités SAML intégrées à la baie de stockage, vérifiez que :

  • Un administrateur IDP a configuré les attributs utilisateur et l'appartenance à un groupe dans le système IDP.

  • Vous connaissez les noms d'appartenance à un groupe.

  • Vous connaissez la valeur d'attribut du groupe à mapper. Les expressions régulières sont prises en charge. Ces caractères spéciaux d'expression régulière doivent être échappé avec une barre oblique inverse (\) s'ils ne font pas partie d'un modèle d'expression régulier:

    \.[]{}()<>*+-=!?^$|

  • Le rôle Monitor est requis pour tous les utilisateurs, y compris l'administrateur. Unified Manager ne fonctionnera pas correctement pour un utilisateur sans le rôle Monitor.

Que dois-je savoir avant de configurer et d'activer le langage SAML ?

Avant de configurer et d'activer les fonctionnalités SAML pour l'authentification, assurez-vous de respecter les exigences suivantes et de comprendre les restrictions SAML.

De formation

Avant de commencer, assurez-vous que :

  • Un fournisseur d'identité (IDP) est configuré dans votre réseau. Un IDP est un système externe utilisé pour demander des informations d'identification à un utilisateur et déterminer si l'utilisateur est authentifié avec succès. Votre équipe de sécurité est responsable du maintien du PDI.

  • Un administrateur IDP a configuré des attributs utilisateur et des groupes dans le système IDP.

  • Un administrateur IDP s'est assuré que le IDP prend en charge la possibilité de renvoyer un ID de nom lors de l'authentification.

  • Un administrateur s'est assuré que le serveur IDP et l'horloge du contrôleur sont synchronisés (via un serveur NTP ou en ajustant les paramètres d'horloge du contrôleur).

  • Un fichier de métadonnées IDP est téléchargé à partir du système IDP et est disponible sur le système local utilisé pour accéder à Unified Manager.

  • Vous connaissez l'adresse IP ou le nom de domaine du contrôleur de la matrice de stockage.

Restrictions

Outre les exigences ci-dessus, assurez-vous de bien comprendre les restrictions suivantes :

  • Une fois le langage SAML activé, vous ne pouvez pas le désactiver via l'interface utilisateur, ni modifier les paramètres IDP. Si vous devez désactiver ou modifier la configuration SAML, contactez le support technique pour obtenir de l'aide. Nous vous recommandons de tester les connexions SSO avant d'activer SAML lors de l'étape de configuration finale. (Le système exécute également un test de connexion SSO avant d'activer SAML.)

  • Si vous désactivez SAML à l'avenir, le système restaure automatiquement la configuration précédente (rôles d'utilisateur local et/ou Services d'annuaire).

  • Si les services d'annuaire sont actuellement configurés pour l'authentification des utilisateurs, le langage SAML remplace cette configuration.

  • Lorsque le langage SAML est configuré, les clients suivants ne peuvent pas accéder aux ressources de la baie de stockage :

    • Fenêtre de gestion Enterprise (EMW)

    • Interface de ligne de commandes

    • Clients SDK (Software Developer kits)

    • Clients intrabande

    • Clients API REST HTTP Basic Authentication

    • Connectez-vous à l'aide d'un terminal API REST standard

Qu'est-ce que les utilisateurs locaux ?

Les utilisateurs locaux sont prédéfinis dans le système et incluent des autorisations spécifiques.

Les utilisateurs locaux incluent :

  • Admin — Super administrateur qui a accès à toutes les fonctions du système. Cet utilisateur inclut tous les rôles. Le mot de passe doit être défini lors de la première connexion.

  • Stockage — l'administrateur responsable de tout le provisionnement du stockage. Cet utilisateur comprend les rôles suivants : administrateur du stockage, administrateur du support et contrôle. Ce compte est désactivé jusqu'à ce qu'un mot de passe soit défini.

  • Sécurité — l'utilisateur responsable de la configuration de la sécurité, y compris la gestion des accès et la gestion des certificats. Cet utilisateur inclut les rôles suivants : administrateur de sécurité et moniteur. Ce compte est désactivé jusqu'à ce qu'un mot de passe soit défini.

  • Support — l'utilisateur responsable des ressources matérielles, des données de défaillance et des mises à niveau du micrologiciel. Cet utilisateur inclut les rôles suivants : support Admin et Monitor. Ce compte est désactivé jusqu'à ce qu'un mot de passe soit défini.

  • Moniteur — Un utilisateur avec accès en lecture seule au système. Cet utilisateur inclut uniquement le rôle Monitor. Ce compte est désactivé jusqu'à ce qu'un mot de passe soit défini.

  • rw (lecture/écriture) — cet utilisateur comprend les rôles suivants : administrateur de stockage, administrateur de support et moniteur. Ce compte est désactivé jusqu'à ce qu'un mot de passe soit défini.

  • Ro (lecture seule) — cet utilisateur n'inclut que le rôle moniteur. Ce compte est désactivé jusqu'à ce qu'un mot de passe soit défini.