SANtricity System Manager のユーザー アクセス管理に関する FAQ
この FAQ は、質問に対する簡単な回答を探している場合に役立ちます。
ログインできない理由は何ですか?
SANtricityシステムマネージャへのログイン時にエラーが表示される場合は、次の原因を確認してください。
System Managerのログインエラーは、次のいずれかが原因の可能性があります。
-
入力したユーザ名またはパスワードが正しくありません。
-
必要な権限がありません。
-
ディレクトリサーバ(設定されている場合)が使用できない可能性があります。その場合は、ローカルユーザロールでログインしてみてください。
-
ログインが複数回失敗したために、ロックアウトモードがトリガーされました。10分待ってから再度ログインしてください。
-
ロックアウト状態がトリガーされ、監査ログがいっぱいになった可能性があります。アクセス管理に移動し、監査ログから古いイベントを削除します。
-
SAML認証が有効になりました。ログインするには、ブラウザをリフレッシュしてください。
ミラーリングタスク用のリモートストレージアレイでログインエラーが発生する場合は、次のいずれかが原因の可能性があります。
-
入力したパスワードが正しくありません。
-
ログインが複数回失敗したために、ロックアウトモードがトリガーされました。10分待ってから再度ログインしてください。
-
コントローラで使用されているクライアント接続が最大数に達している。複数のユーザまたはクライアントをチェックしてください。
ディレクトリサーバを追加するときは、どのような点に注意する必要がありますか?
アクセス管理でディレクトリサーバを追加する前に、次の要件を満たしていることを確認してください。
-
ユーザグループがディレクトリサービスに定義されている必要があります。
-
LDAPサーバのクレデンシャルを確認しておく必要があります。ドメイン名とサーバのURLのほか、必要に応じてバインドアカウントのユーザ名とパスワードも指定できます。
-
セキュアなプロトコルを使用するLDAPSサーバの場合は、LDAPサーバの証明書チェーンがローカルマシンにインストールされている必要があります。
ストレージアレイのロールをマッピングするときは、どのような点に注意する必要がありますか?
グループをロールにマッピングする前に、次のガイドラインを確認してください。
ストレージアレイに搭載されたロールベースアクセス制御(RBAC)機能には次のロールがあります。
-
* Storage admin *--ストレージ・オブジェクト(ボリュームやディスク・プールなど)への読み取り/書き込みのフル・アクセス。セキュリティ構成へのアクセスはありません。
-
* Security admin *--アクセス管理、証明書管理、監査ログ管理のセキュリティ構成へのアクセス、および従来の管理インターフェイス(SYMbol)のオン/オフの切り替え機能。
-
* Support admin *--ストレージアレイのすべてのハードウェアリソース、障害データ、MELイベント、およびコントローラファームウェアアップグレードへのアクセス。ストレージオブジェクトやセキュリティ設定にはアクセスできません。
-
*Monitor *--すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ設定へのアクセスはありません。
ディレクトリサービス
LDAP(Lightweight Directory Access Protocol)サーバとディレクトリサービスを使用する場合は、次の点を確認してください。
-
ディレクトリサービスでユーザグループを定義しておきます。
-
LDAPユーザグループのグループドメイン名を確認しておきます。正規表現がサポートされます。正規表現パターンに含まれていない特殊な正規表現文字は、バックスラッシュ(「\」)でエスケープする必要があります。
\.[]{}()<>*+-=!?^$|
-
Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。
SAML
ストレージアレイに組み込みのSecurity Assertion Markup Language(SAML)機能を使用する場合は、次の点を確認してください。
-
アイデンティティプロバイダ(IdP)管理者が、IdPシステムでユーザ属性とグループメンバーシップを設定しておく必要があります。
-
グループメンバーシップ名を確認しておきます。
-
マッピングするグループの属性値を確認しておきます。正規表現がサポートされます。正規表現パターンに含まれていない特殊な正規表現文字は、バックスラッシュ(「\」)でエスケープする必要があります。
\.[]{}()<>*+-=!?^$|
-
Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。
この変更の影響を受ける外部管理ツールはどれですか。
管理インターフェイスの切り替えや認証方式へのSAMLの使用など、SANtricity System Managerで特定の変更を行うと、一部の外部ツールや機能が使用できなくなることがあります。
管理インターフェイス
SANtricity SMI-S ProviderやOnCommand Insight (OCI)などの従来の管理インターフェイス(SYMbol)と直接通信するツールは、レガシー管理インターフェイスの設定が有効になっていないかぎり機能しません。この設定が無効な場合、従来のCLIコマンドを使用したりミラーリング処理を実行したりすることはできません。
詳細については、テクニカルサポートにお問い合わせください。
SAML 認証
SAMLが有効な場合、次のクライアントはストレージアレイのサービスとリソースにアクセスできません。
-
Enterprise Management Window(EMW)
-
コマンドラインインターフェイス( CLI )
-
ソフトウェア開発キット(SDK)クライアント
-
インバンドクライアント
-
HTTPベーシック認証REST APIクライアント
-
標準のREST APIエンドポイントを使用してログインします
詳細については、テクニカルサポートにお問い合わせください。
SAMLを設定および有効にするときは、どのような点に注意する必要がありますか?
認証のためにSecurity Assertion Markup Language(SAML)の機能を設定して有効にする前に、次の要件を満たしていることを確認し、SAMLの制限事項を理解しておきます。
要件
作業を開始する前に、次の点を確認してください。
-
ネットワークにアイデンティティプロバイダ(IdP)を設定しておきます。IdPは、ユーザにクレデンシャルを要求して認証されたユーザかどうかを確認するための外部システムです。IdPの保守はセキュリティチームが行います。
-
IdP管理者が、IdPシステムでユーザ属性とユーザグループを設定しておく必要があります。
-
IdP管理者が、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。
-
IdPサーバとコントローラのクロックを同期しておきます(NTPサーバを使用するかコントローラのクロックの設定を調整します)。
-
IdPのメタデータファイルをIdPシステムからダウンロードし、System Managerへのアクセスに使用するローカルシステムで使用できるようにしておきます。
-
ストレージアレイの各コントローラのIPアドレスまたはドメイン名を確認しておきます。
制限事項
上記の要件に加えて、次の制限事項を理解しておく必要があります。
-
SAMLを有効にすると、ユーザインターフェイスで無効にしたり、IdP設定を編集したりすることはできなくなります。SAMLの設定を無効にしたり編集したりする必要がある場合は、テクニカルサポートにお問い合わせください。最後の設定手順でSAMLを有効にする前に、SSOログインをテストすることを推奨します。(SSOログインテストはSAMLが有効になる前にシステムでも実行されます)。
-
あとでSAMLを無効にすると、以前の設定(ローカルユーザロール、ディレクトリサービス、またはその両方)が自動的にリストアされます。
-
現在ユーザ認証にディレクトリサービスが設定されている場合は、SAMLによって上書きされます。
-
SAMLを設定すると、次のクライアントがストレージアレイリソースにアクセスできなくなります。
-
Enterprise Management Window(EMW)
-
コマンドラインインターフェイス( CLI )
-
ソフトウェア開発キット(SDK)クライアント
-
インバンドクライアント
-
HTTPベーシック認証REST APIクライアント
-
標準のREST APIエンドポイントを使用してログインします
-
監査ログにはどのようなタイプのイベントが記録されますか?
監査ログには、変更イベント、または変更イベントと読み取り専用イベントの両方を記録できます。
ポリシー設定に応じて、次のタイプのイベントが表示されます。
-
変更イベント--ストレージのプロビジョニングなど、システムへの変更を含む、System Manager内からのユーザーアクション。
-
変更イベントおよび読み取り専用イベント--システムへの変更を伴うユーザー操作、およびボリューム割り当ての表示やダウンロードなどの情報を含むイベント。
syslogサーバを設定するときは、どのような点に注意する必要がありますか?
監査ログは外部syslogサーバにアーカイブできます。
syslogサーバを設定する際は、次のガイドラインに注意してください。
-
サーバのアドレス、プロトコル、ポート番号を確認しておきます。サーバアドレスは、完全修飾ドメイン名、IPv4アドレス、またはIPv6アドレスのいずれかで指定できます。
-
サーバがセキュアなプロトコル(TLSなど)を使用している場合は、ローカルシステムに認証局(CA)証明書が配置されている必要があります。CA証明書がWebサイトの所有者を識別することにより、サーバとクライアントの間のセキュアな接続が確立さ
-
設定が完了すると、以降すべての監査ログがsyslogサーバに送信されるようになります。以前のログは転送されません。
-
上書きポリシーの設定(*View/Edit Settings*から入手可能)は、ログがsyslogサーバ設定でどのように管理されるかに影響しません。
-
監査ログは、RFC 5424のメッセージ形式に従います。
syslogサーバが監査ログを受信しなくなりました。どうすればよいですか?
syslogサーバにTLSプロトコルを設定している場合、何らかの理由で証明書が無効になるとサーバはメッセージを受信できなくなります。無効な証明書に関するエラーメッセージが監査ログに記録されます。
この問題 を解決するには、syslogサーバの証明書を修正する必要があります。有効な証明書チェーンが確立されたら、メニューに移動します。Settings [Audit Log]> Configure Syslog Servers > Test All]。