Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity Unified Manager のユーザー アクセス管理に関する FAQ

PDF

この FAQ は、質問に対する簡単な回答を探している場合に役立ちます。

ログインできない理由は何ですか?

ログイン試行時にエラーが表示された場合は、次の原因を確認してください。

ログインエラーは、次のいずれかが原因の可能性があります。

  • 入力したユーザ名またはパスワードが正しくありません。

  • 必要な権限がありません。

  • ログインが複数回失敗したために、ロックアウトモードがトリガーされました。10分待ってから再度ログインしてください。

  • SAML認証が有効になりました。ログインするには、ブラウザをリフレッシュしてください。

ディレクトリサーバを追加するときは、どのような点に注意する必要がありますか?

アクセス管理でディレクトリサーバを追加する前に、一定の要件を満たす必要があります。

  • ユーザグループがディレクトリサービスに定義されている必要があります。

  • LDAPサーバのクレデンシャルを確認しておく必要があります。ドメイン名とサーバのURLのほか、必要に応じてバインドアカウントのユーザ名とパスワードも指定できます。

  • セキュアなプロトコルを使用するLDAPSサーバの場合は、LDAPサーバの証明書チェーンがローカルマシンにインストールされている必要があります。

ストレージアレイのロールをマッピングするときは、どのような点に注意する必要がありますか?

グループをロールにマッピングする前に、ガイドラインを確認してください。

RBAC(ロールベースアクセス制御)機能には次のロールがあります。

  • * Storage admin *--アレイ上のストレージ・オブジェクトへの読み取り/書き込みのフル・アクセスを提供しますが'セキュリティ構成へのアクセスはありません

  • * Security admin *--アクセス管理と証明書管理のセキュリティ設定へのアクセス。

  • * Support admin *--ストレージアレイ上のすべてのハードウェアリソース、障害データ、およびMELイベントへのアクセス。ストレージオブジェクトやセキュリティ設定にはアクセスできません。

  • *Monitor *--すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ設定へのアクセスはありません。

メモ

Monitorロールは、管理者を含むすべてのユーザに必要です。

LDAP(Lightweight Directory Access Protocol)サーバとディレクトリサービスを使用する場合は、次の点を確認してください。

  • ディレクトリサービスでユーザグループを定義しておきます。

  • LDAPユーザグループのグループドメイン名を確認しておきます。

SAML

ストレージアレイに組み込みのSecurity Assertion Markup Language(SAML)機能を使用する場合は、次の点を確認してください。

  • アイデンティティプロバイダ(IdP)管理者が、IdPシステムでユーザ属性とグループメンバーシップを設定しておく必要があります。

  • グループメンバーシップ名を確認しておきます。

  • マッピングするグループの属性値を確認しておきます。正規表現がサポートされます。正規表現パターンに含まれていない特殊な正規表現文字は、バックスラッシュ(「\」)でエスケープする必要があります。

    \.[]{}()<>*+-=!?^$|

  • Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールが割り当てられていないユーザのUnified Managerは正しく動作しません。

SAMLを設定および有効にするときは、どのような点に注意する必要がありますか?

認証のためにSecurity Assertion Markup Language(SAML)の機能を設定して有効にする前に、次の要件を満たしていることを確認し、SAMLの制限事項を理解しておきます。

要件

作業を開始する前に、次の点を確認してください。

  • ネットワークにアイデンティティプロバイダ(IdP)を設定しておきます。IdPは、ユーザにクレデンシャルを要求して認証されたユーザかどうかを確認するための外部システムです。IdPの保守はセキュリティチームが行います。

  • IdP管理者が、IdPシステムでユーザ属性とユーザグループを設定しておく必要があります。

  • IdP管理者が、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。

  • IdPサーバとコントローラのクロックが同期されていることを確認しておきます(NTPサーバを使用するかコントローラのクロックの設定を調整します)。

  • IdPのメタデータファイルをIdPシステムからダウンロードし、Unified Managerへのアクセスに使用するローカルシステムで使用できるようにしておきます。

  • ストレージアレイのコントローラのIPアドレスまたはドメイン名を確認しておきます。

制限事項

上記の要件に加えて、次の制限事項を理解しておく必要があります。

  • SAMLを有効にすると、ユーザインターフェイスで無効にしたり、IdP設定を編集したりすることはできなくなります。SAMLの設定を無効にしたり編集したりする必要がある場合は、テクニカルサポートにお問い合わせください。最後の設定手順でSAMLを有効にする前に、SSOログインをテストすることを推奨します。(SSOログインテストはSAMLが有効になる前にシステムでも実行されます)。

  • あとでSAMLを無効にすると、以前の設定(ローカルユーザロール、ディレクトリサービス、またはその両方)が自動的にリストアされます。

  • 現在ユーザ認証にディレクトリサービスが設定されている場合は、SAMLによって上書きされます。

  • SAMLを設定すると、次のクライアントがストレージアレイリソースにアクセスできなくなります。

    • Enterprise Management Window(EMW)

    • コマンドラインインターフェイス( CLI )

    • ソフトウェア開発キット(SDK)クライアント

    • インバンドクライアント

    • HTTPベーシック認証REST APIクライアント

    • 標準のREST APIエンドポイントを使用してログインします

ローカルユーザとは何ですか?

ローカルユーザは、システムに事前に定義されたユーザで、特定の権限が含まれています。

ローカルユーザの例を次に示します。

  • admin--システム内のすべての機能にアクセスできるスーパー管理者。このユーザにはすべてのロールが含まれています初回ログイン時にパスワードを設定する必要があります。

  • * storage *--すべてのストレージ・プロビジョニングを担当する管理者。このユーザには、Storage Admin、Support Admin、Monitorのロールが含まれています。このアカウントは、パスワードが設定されるまで無効になります。

  • * security *--アクセス管理や証明書管理など、セキュリティ設定を担当するユーザー。このユーザには、Security AdminとMonitorのロールが含まれています。このアカウントは、パスワードが設定されるまで無効になります。

  • * support *--ハードウェアリソース、障害データ、ファームウェアアップグレードを担当するユーザー。このユーザには、Support AdminとMonitorのロールが含まれています。このアカウントは、パスワードが設定されるまで無効になります。

  • *monitor *--システムへの読み取り専用アクセス権を持つユーザー。このユーザにはMonitorロールのみが含まれています。このアカウントは、パスワードが設定されるまで無効になります。

  • * rw *(読み取り/書き込み)-このユーザには、Storage Admin、Support Admin、Monitorのロールが含まれています。このアカウントは、パスワードが設定されるまで無効になります。

  • * ro *(読み取り専用)--このユーザーには、Monitorロールのみが含まれています。このアカウントは、パスワードが設定されるまで無効になります。