Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity System Managerのユーザアクセス管理に関するFAQ

PDF

質問に対する簡単な回答をお探しの場合は、このFAQが役立ちます。

ログインできない理由は何ですか?

SANtricity System Managerへのログイン時にエラーが発生した場合は、考えられる原因を確認してください。

System Managerへのログインエラーは、以下のいずれかの理由で発生する可能性があります。

  • 入力したユーザ名またはパスワードが間違っている。

  • 必要な権限がない。

  • ディレクトリ サーバ(設定されている場合)が使用できない。この場合は、ローカル ユーザのロールでログインしてみてください。

  • ログインが複数回失敗したために、ロックアウトされた。この場合は、10分待ってから再度ログインしてください。

  • ロックアウト状態が発生したため、監査ログがいっぱいになっている可能性があります。アクセス管理に移動し、監査ログから古いイベントを削除してください。

  • SAML認証が有効化された。この場合は、ブラウザをリフレッシュしてからログインしてください。

ミラーリング タスク用のリモート ストレージ アレイでログイン エラーが発生する場合は、次のいずれかが原因の可能性があります。

  • 入力したパスワードが間違っている。

  • ログインが複数回失敗したために、ロックアウトされた。この場合は、10分待ってから再度ログインしてください。

  • コントローラで使用中のクライアント接続が最大数に達している。この場合は、複数のユーザまたはクライアントが使用していないか確認してください。

ディレクトリ サーバを追加するときは、どのような点に注意する必要がありますか?

アクセス管理でディレクトリ サーバを追加する前に、次の要件を満たしていることを確認する必要があります。

  • ユーザグループはディレクトリサービス内で定義する必要があります。

  • LDAPサーバの認証情報(ドメイン名、サーバURL、および必要に応じてバインドアカウントのユーザ名とパスワードを含む)が必要です。

  • セキュアなプロトコルを使用するLDAPSサーバの場合は、LDAPサーバの証明書チェーンがローカル マシンにインストールされている必要があります。

ストレージ アレイのロールをマッピングするときは、どのような点に注意する必要がありますか?

グループをロールにマッピングする前に、次のガイドラインを確認してください。

ストレージ アレイに搭載されたロールベース アクセス制御(RBAC)機能には以下のロールが含まれています。

  • * Storage admin * — ストレージオブジェクト(ボリュームやディスクプールなど)へのフル読み取り / 書き込みアクセスは可能ですが、セキュリティ構成へのアクセスはできません。

  • Security admin — Access Managementのセキュリティ設定、証明書管理、監査ログ管理へのアクセス、およびレガシー管理インターフェイス(SYMbol)のオン/オフを切り替える機能。

  • サポート管理者 — ストレージアレイ上のすべてのハードウェアリソース、障害データ、MELイベント、およびコントローラファームウェアのアップグレードへのアクセス。ストレージオブジェクトやセキュリティ設定へのアクセス権はありません。

  • Monitor — すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ構成へのアクセスはできません。

ディレクトリ サービス

LDAP(Lightweight Directory Access Protocol)サーバとディレクトリ サービスを使用する場合は、次の点を確認してください。

  • ディレクトリ サービスでユーザ グループを定義しておきます。

  • LDAPユーザグループのグループドメイン名を把握している。正規表現がサポートされています。次の特殊な正規表現文字は、正規表現パターンの一部でない場合、バックスラッシュ(`\`でエスケープする必要があります(:)

    \.[]{}()<>*+-=!?^$|

  • Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。

SAML

ストレージ アレイに搭載されたSecurity Assertion Markup Language(SAML)機能を使用する場合は、次のことを確認してください。

  • アイデンティティ プロバイダ(IdP)管理者が、IdPシステムでユーザ属性とグループ メンバーシップを設定しておく必要があります。

  • グループ メンバーシップ名を把握しておきます。

  • マッピング対象グループの属性値は分かっている。正規表現がサポートされています。これらの特殊な正規表現文字は、正規表現パターンの一部でない場合、バックスラッシュ(`\`でエスケープする必要があります:

    \.[]{}()<>*+-=!?^$|

  • Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。

この変更の影響を受ける外部管理ツールはどれですか?

SANtricity System Managerで管理インターフェイスの切り替えや認証方法としてのSAMLの使用など、特定の変更を行うと、一部の外部ツールや機能の使用が制限される場合があります。

管理インターフェイス

レガシー管理インターフェイス(SYMbol)と直接通信するツール(SANtricity SMI-SプロバイダーやOnCommand Insight(OCI)など)は、レガシー管理インターフェイスの設定が有効になっていないと動作しません。さらに、この設定が無効になっている場合、レガシーCLIコマンドを使用したり、ミラーリング操作を実行したりすることはできません。

詳細については、テクニカル サポートにお問い合わせください。

SAML認証

SAMLが有効な場合、次のクライアントはストレージ アレイのサービスとリソースにアクセスできません。

  • Enterprise Management Window(EMW)

  • コマンドライン インターフェイス(CLI)

  • ソフトウェア開発キット(SDK)クライアント

  • インバンド クライアント

  • HTTPベーシック認証REST APIクライアント

  • 標準のREST APIエンドポイントを使用したログイン

詳細については、テクニカル サポートにお問い合わせください。

SAMLを設定および有効にするときは、どのような点に注意する必要がありますか?

認証のためにSecurity Assertion Markup Language(SAML)の機能を設定して有効にする前に、次の要件を満たしていることを確認し、SAMLの制限事項を理解しておきます。

要件

作業を開始する前に、次の点を確認します。

  • ネットワーク内にIDプロバイダー(IdP)が設定されています。IdPは、ユーザーから認証情報を要求し、ユーザーが正常に認証されたかどうかを判断するために使用される外部システムです。セキュリティチームは、IdPの維持管理を担当します。

  • IdP管理者が、IdPシステムでユーザ属性とユーザ グループを設定しておく必要があります。

  • IdP管理者が、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。

  • IdPサーバとコントローラのクロックを同期しておきます(NTPサーバを使用するかコントローラのクロックの設定を調整します)。

  • IdPメタデータファイルはIdPシステムからダウンロードされ、System Managerへのアクセスに使用されるローカルシステム上で利用可能になります。

  • ストレージ アレイの各コントローラのIPアドレスまたはドメイン名を確認しておきます。

制限事項

上記の要件に加えて、次の制限事項を理解しておきます。

  • SAMLを有効にすると、ユーザインターフェイスから無効にすることは_できません_し、IdP設定を編集することもできません。SAML設定を無効化または編集する必要がある場合は、テクニカルサポートにお問い合わせください。最終設定手順でSAMLを有効にする前に、SSOログインのテストを行うことをお勧めします。(システムはSAMLを有効にする前にSSOログインテストも実行します。)

  • あとでSAMLを無効にすると、以前の設定(ローカル ユーザ ロール、ディレクトリ サービス、またはその両方)が自動的にリストアされます。

  • 現在ユーザ認証にディレクトリ サービスが設定されている場合は、SAMLによって上書きされます。

  • SAMLを設定すると、次のクライアントがストレージ アレイ リソースにアクセスできなくなります。

    • Enterprise Management Window(EMW)

    • コマンドライン インターフェイス(CLI)

    • ソフトウェア開発キット(SDK)クライアント

    • インバンド クライアント

    • HTTPベーシック認証REST APIクライアント

    • 標準のREST APIエンドポイントを使用したログイン

監査ログにはどのタイプのイベントが記録されますか?

監査ログには、変更イベント、または変更イベントと読み取り専用イベントの両方を記録できます。

ポリシー設定に応じて、次のタイプのイベントが表示されます。

  • 変更イベント — System Manager内で行われる、ストレージのプロビジョニングなど、システムに変更を加えるユーザ操作。

  • 変更および読み取り専用イベント — システムの変更を伴うユーザ操作、およびボリューム割り当ての表示など、情報の表示またはダウンロードを伴うイベント。

syslog サーバを設定するときは、どのような点に注意する必要がありますか?

外部syslogサーバに監査ログをアーカイブできます。

syslogサーバを設定する際は、次のガイドラインに注意してください。

  • サーバ アドレス、プロトコル、ポート番号を確認しておいてください。サーバ アドレスは、完全修飾ドメイン名、IPv4アドレス、またはIPv6アドレスのいずれかで指定できます。

  • サーバがセキュアなプロトコル(TLSなど)を使用している場合は、ローカル システムに認証局(CA)証明書が配置されている必要があります。CA証明書がWebサイトの所有者を識別することにより、サーバとクライアントの間のセキュアな接続が確立されます。

  • 設定が完了すると、以降すべての監査ログがsyslogサーバに送信されるようになります。過去のログは転送されません。

  • 上書きポリシー設定(*設定の表示/編集*から利用可能)は、syslogサーバ設定でログを管理する方法には影響しません。

  • 監査ログは、RFC 5424のメッセージ形式に従います。

syslogサーバが監査ログを受信しなくなりました。どうすればよいですか?

syslogサーバにTLSプロトコルを設定している場合、何らかの理由で証明書が無効になるとサーバはメッセージを受信できなくなります。無効な証明書に関するエラー メッセージが監査ログに記録されます。

この問題を解決するには、まずsyslogサーバの証明書を修正する必要があります。有効な証明書チェーンが設定されたら、メニューの「設定」→「監査ログ」→「Syslogサーバの設定」→「すべてテスト」に進みます。