security loginコマンドを使用してONTAP RBACロールを追加する
ストレージシステムでclustered ONTAPを実行している場合は、security loginコマンドを使用してONTAP RBACロールを追加できます。
-
clustered ONTAPを実行するストレージシステム用にONTAP RBACロールを作成する前に、次の項目について確認しておく必要があります。
-
実行するタスク(複数可)
-
これらのタスクの実行に必要な権限
-
-
RBACロールを設定するには、次の操作を実行する必要があります。
-
コマンドおよびコマンドディレクトリ(あるいはその両方)に権限を付与します。
各コマンド/コマンドディレクトリには、フルアクセスと読み取り専用の2つのアクセスレベルがあります。
フルアクセス権限は必ず最初に割り当てる必要があります。
-
ユーザにロールを割り当てます。
-
SnapCenter プラグインがクラスタ全体のクラスタ管理者 IP に接続されているか、またはクラスタ内の SVM に直接接続されているかに応じて、設定は異なります。
-
-
このタスクについて *
これらのロールをストレージシステムで簡単に設定するには、NetAppコミュニティフォーラムに掲載されているRBAC User Creator for Data ONTAPツールを使用します。
このツールは、ONTAP権限の適切な設定を自動的に処理します。たとえば、RBAC User Creator for Data ONTAPツールでは、フルアクセス権限が最初に表示されるように、権限が正しい順序で自動的に追加されます。読み取り専用権限を最初に追加してからフルアクセス権限を追加すると、ONTAPはフルアクセス権限を重複としてマークし、無視します。
|
SnapCenter または ONTAP をあとからアップグレードする場合は、 RBAC User Creator for Data ONTAP ツールを再度実行して、以前に作成したユーザロールを更新する必要があります。以前のバージョンの SnapCenter または ONTAP 用に作成したユーザロールは、アップグレード後のバージョンでは正常に機能しません。ツールを再実行すると、アップグレードが自動的に処理されます。ロールを再作成する必要はありません。 |
ONTAP RBACロールの設定の詳細については、を参照してください "ONTAP 9管理者認証とRBACパワーガイド"。
|
SnapCenter のドキュメントではロールに割り当てる要素を「権限」と呼びますが、OnCommand システムマネージャGUIでは、_privilegeではなく、TERM_attribute__が使用されます。ONTAP RBACロールを設定する場合、これらの用語はどちらも同じ意味です。 |
-
手順 *
-
ストレージシステムで、次のコマンドを入力して新しいロールを作成します。
security login role create <role_name\> -cmddirname "command" -access all –vserver <svm_name\>
-
svm_nameには、SVMの名前を指定します。空白のままにすると、デフォルトでクラスタ管理者が設定されます。
-
role_nameは、ロールに指定する名前です。
-
commandはONTAP機能です。
このコマンドは権限ごとに繰り返す必要があります。フルアクセスコマンドは、読み取り専用コマンドの前に指定する必要があります。
権限のリストについては、を参照してください "ロールの作成と権限の割り当てに使用するONTAP CLIコマンド"。
-
-
次のコマンドを入力して、ユーザ名を作成します。
security login create -username <user_name\> -application ontapi -authmethod <password\> -role <name_of_role_in_step_1\> –vserver <svm_name\> -comment "user_description"
-
user_nameは、作成するユーザの名前です。
-
<password> は、パスワードです。パスワードを指定しないと、パスワードの入力を求めるプロンプトが表示されます。
-
svm_nameには、SVMの名前を指定します。
-
-
次のコマンドを入力して、ユーザにロールを割り当てます。
security login modify username <user_name\> –vserver <svm_name\> -role <role_name\> -application ontapi -application console -authmethod <password\>
-
<user_name> は、手順 2 で作成したユーザの名前です。このコマンドでは、ロールに関連付けるユーザを変更できます。
-
<svm_name> は SVM の名前です。
-
<role_name> は、手順 1 で作成したロールの名前です。
-
<password> は、パスワードです。パスワードを指定しないと、パスワードの入力を求めるプロンプトが表示されます。
-
-
次のコマンドを入力して、ユーザが正しく作成されたことを確認します。
security login show –vserver <svm_name\> -user-or-group-name <user_name\>
user_nameは、手順3で作成したユーザの名前です。
-