Skip to main content
SANtricity software
11.9
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Domande frequenti sulla gestione degli accessi utente per SANtricity Unified Manager

PDF

Questa FAQ può esserti utile se stai cercando una risposta rapida a una domanda.

Perché non posso accedere?

Se ricevi un errore durante il tentativo di accesso, verifica queste possibili cause.

Gli errori di accesso possono verificarsi per uno dei seguenti motivi:

  • Hai inserito un nome utente o una password errati.

  • Non disponi di privilegi sufficienti.

  • Hai tentato di accedere senza successo più volte, il che ha attivato la modalità di blocco. Attendi 10 minuti per accedere nuovamente.

  • L'autenticazione SAML è abilitata. Aggiorna il browser per accedere.

Cosa devo sapere prima di aggiungere un server di directory?

Prima di aggiungere un server di directory in Access Management, è necessario soddisfare determinati requisiti.

  • I gruppi di utenti devono essere definiti nel servizio di directory.

  • Le credenziali dell'LDAP server devono essere disponibili, inclusi il domain name, l'URL del server e, facoltativamente, il nome utente e la password dell'account di bind.

  • Per i server LDAPS che utilizzano un protocollo sicuro, la catena di certificati del LDAP server deve essere installata sul computer locale.

Cosa devo sapere sulla mappatura ai ruoli degli array di storage?

Prima di associare i gruppi ai ruoli, rivedere le linee guida.

Le funzionalità RBAC (role-based access control) includono i seguenti ruoli:

  • Amministratore dello storage — Accesso completo in lettura/scrittura agli oggetti di storage sugli array, ma nessun accesso alla configurazione della sicurezza.

  • Amministratore della sicurezza — Accesso alla configurazione della sicurezza in Access Management e Certificate Management.

  • Support admin — Accesso a tutte le risorse hardware sugli array di storage, ai dati di errore e agli eventi MEL. Nessun accesso agli oggetti di storage o alla configurazione di sicurezza.

  • Monitor — Accesso in sola lettura a tutti gli oggetti di archiviazione, ma nessun accesso alla configurazione di sicurezza.

Nota

Il ruolo Monitor è obbligatorio per tutti gli utenti, incluso l'amministratore.

Se si utilizza un server LDAP (Lightweight Directory Access Protocol) e Directory Services, assicurarsi che:

  • Un amministratore ha definito i gruppi di utenti nel servizio di directory.

  • Conosci i domain name dei gruppi per i gruppi di utenti LDAP.

SAML

Se si utilizzano le funzionalità Security Assertion Markup Language (SAML) incorporate nell'array di storage, assicurarsi che:

  • Un amministratore del provider di identità (IdP) ha configurato gli attributi utente e l'appartenenza ai gruppi nel sistema IdP.

  • Conosci i nomi dei gruppi di appartenenza.

  • Conosci il valore dell'attributo per il gruppo da mappare. Sono supportate le espressioni regolari. Questi caratteri speciali delle espressioni regolari devono essere preceduti da una barra rovesciata (\ se non fanno parte di un modello di espressione regolare:

    \.[]{}()<>*+-=!?^$|

  • Il ruolo Monitor è richiesto per tutti gli utenti, incluso l'amministratore. Unified Manager non funzionerà correttamente per nessun utente senza il ruolo Monitor.

Cosa devo sapere prima di configurare e abilitare SAML?

Prima di configurare e abilitare le funzionalità Security Assertion Markup Language (SAML) per l'autenticazione, assicurati di soddisfare i seguenti requisiti e di comprendere le restrizioni SAML.

Requisiti

Prima di iniziare, assicurati che:

  • Un Identity Provider (IdP) è configurato nella tua rete. Un IdP è un sistema esterno utilizzato per richiedere le credenziali a un utente e determinare se l'utente è stato autenticato con successo. Il tuo team di sicurezza è responsabile della manutenzione dell'IdP.

  • Un amministratore IdP ha configurato gli attributi utente e i gruppi nel sistema IdP.

  • Un amministratore dell'IdP ha verificato che l'IdP supporti la possibilità di restituire un Name ID al momento dell'autenticazione.

  • Un amministratore ha verificato che l'orologio del server IdP e quello del controller siano sincronizzati (tramite un server NTP o regolando le impostazioni dell'orologio del controller).

  • Un file di metadati IdP viene scaricato dal sistema IdP e reso disponibile sul sistema locale utilizzato per accedere a Unified Manager.

  • Conosci l'indirizzo IP o il domain name del controller nell'array di storage.

Restrizioni

Oltre ai requisiti sopra indicati, assicurati di comprendere le seguenti restrizioni:

  • Una volta abilitato SAML, non è possibile disabilitarlo tramite l'interfaccia utente, né modificare le impostazioni dell'IdP. Se è necessario disabilitare o modificare la configurazione SAML, contattare Technical Support per assistenza. Si consiglia di testare gli accessi SSO prima di abilitare SAML nella fase finale della configurazione. (Il sistema esegue anche un test di accesso SSO prima di abilitare SAML.)

  • Se in futuro si disabilita SAML, il sistema ripristina automaticamente la configurazione precedente (Local User Roles e/o Directory Services).

  • Se Directory Services sono attualmente configurati per l'autenticazione degli utenti, SAML sovrascrive tale configurazione.

  • Quando SAML è configurato, i seguenti client non possono accedere alle risorse dello storage array:

    • Enterprise Management Window (EMW)

    • Interfaccia a riga di comando (CLI)

    • Client dei Software Developer Kits (SDK)

    • Clienti in banda

    • Client REST API con autenticazione HTTP Basic

    • Accedi utilizzando l'endpoint REST API standard

Quali sono gli utenti locali?

Gli utenti locali sono predefiniti nel sistema e includono autorizzazioni specifiche.

Gli utenti locali includono:

  • admin — Super amministratore con accesso a tutte le funzioni del sistema. Questo utente include tutti i ruoli. La password deve essere impostata al primo accesso.

  • storage — L'amministratore responsabile di tutto il provisioning dello storage. Questo utente include i seguenti ruoli: Storage Admin, Support Admin e Monitor. Questo account è disabilitato finché non viene impostata una password.

  • sicurezza — L'utente responsabile della configurazione della sicurezza, inclusi Access Management e Certificate Management. Questo utente include i seguenti ruoli: Security Admin e Monitor. Questo account è disabilitato finché non viene impostata una password.

  • support — L'utente responsabile delle risorse hardware, dei dati relativi ai guasti e degli aggiornamenti del firmware. Questo utente include i seguenti ruoli: Support Admin e Monitor. Questo account è disabilitato finché non viene impostata una password.

  • monitor — Un utente con accesso di sola lettura al sistema. Questo utente include solo il ruolo Monitor. Questo account è disabilitato finché non viene impostata una password.

  • rw (lettura/scrittura) — Questo utente include i seguenti ruoli: Storage Admin, Support Admin e Monitor. Questo account è disabilitato finché non viene impostata una password.

  • ro (sola lettura) — Questo utente include solo il ruolo Monitor. Questo account è disabilitato finché non viene impostata una password.