Skip to main content
SANtricity software
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

SANtricity System Manager의 사용자 액세스 관리 FAQ

PDF

이 FAQ는 질문에 대한 빠른 답변을 찾고 있을 때 도움이 될 수 있습니다.

로그인할 수 없는 이유는 무엇입니까?

SANtricity System Manager에 로그인하려고 할 때 오류가 발생하는 경우 다음과 같은 가능한 원인을 검토하십시오.

System Manager 로그인 오류는 다음과 같은 이유로 발생할 수 있습니다.

  • 잘못된 사용자 이름 또는 암호를 입력했습니다.

  • 권한이 부족합니다.

  • 디렉터리 서버(구성된 경우)를 사용할 수 없을 수 있습니다. 이 경우 로컬 사용자 역할로 로그인해 보십시오.

  • 여러 번 로그인을 시도했지만 실패하여 잠금 모드가 활성화되었습니다. 10분 후에 다시 로그인하세요.

  • 잠금 상태가 발생하여 감사 로그가 가득 찼을 수 있습니다. 액세스 관리로 이동하여 감사 로그에서 오래된 이벤트를 삭제하십시오.

  • SAML 인증이 활성화되었습니다. 로그인하려면 브라우저를 새로 고침하세요.

미러링 작업을 위해 원격 스토리지 어레이에 로그인할 때 오류가 발생하는 이유는 다음 중 하나입니다.

  • 잘못된 암호를 입력했습니다.

  • 여러 번 로그인을 시도했지만 실패하여 계정이 잠금 상태가 되었습니다. 10분 후에 다시 로그인하세요.

  • 컨트롤러에서 사용되는 최대 클라이언트 연결 수에 도달했습니다. 여러 사용자 또는 클라이언트를 확인하십시오.

디렉터리 서버를 추가하기 전에 알아야 할 사항은 무엇입니까?

Access Management에서 디렉터리 서버를 추가하기 전에 다음 요구 사항을 충족하는지 확인하십시오.

  • 사용자 그룹은 디렉터리 서비스에 정의되어 있어야 합니다.

  • 도메인 이름, 서버 URL, 그리고 선택적으로 바인드 계정 사용자 이름과 암호를 포함한 LDAP 서버 자격 증명을 사용할 수 있어야 합니다.

  • 보안 프로토콜을 사용하는 LDAPS 서버의 경우, LDAP 서버의 인증서 체인이 로컬 컴퓨터에 설치되어 있어야 합니다.

스토리지 어레이 역할 매핑에 대해 알아야 할 사항은 무엇입니까?

그룹에 역할을 매핑하기 전에 다음 지침을 검토하십시오.

스토리지 어레이에 내장된 RBAC(역할 기반 액세스 제어) 기능에는 다음과 같은 역할이 포함됩니다.

  • Storage admin — 스토리지 객체(예: 볼륨 및 디스크 풀)에 대한 전체 읽기/쓰기 액세스 권한이 있지만 보안 구성에 대한 액세스 권한은 없습니다.

  • 보안 관리자 — Access Management의 보안 구성, 인증서 관리, 감사 로그 관리 및 레거시 관리 인터페이스(SYMbol)를 켜거나 끌 수 있는 기능에 대한 액세스 권한.

  • 지원 관리자 — 스토리지 어레이의 모든 하드웨어 리소스, 장애 데이터, MEL 이벤트 및 컨트롤러 펌웨어 업그레이드에 액세스할 수 있습니다. 스토리지 객체 또는 보안 구성에 대한 액세스 권한이 없습니다.

  • 모니터 — 모든 스토리지 객체에 대한 읽기 전용 액세스 권한이 있지만 보안 구성에 대한 액세스 권한은 없습니다.

디렉토리 서비스

LDAP(Lightweight Directory Access Protocol) 서버 및 Directory Services를 사용하는 경우 다음을 확인하십시오.

  • 관리자가 디렉터리 서비스에서 사용자 그룹을 정의했습니다.

  • LDAP 사용자 그룹의 그룹 도메인 이름을 알고 있습니다. 정규 표현식이 지원됩니다. 이러한 특수 정규 표현식 문자는 정규 표현식 패턴의 일부가 아닌 경우 백슬래시(`\`로 이스케이프해야 합니다.

    \.[]{}()<>*+-=!?^$|

  • 관리자를 포함한 모든 사용자에게 Monitor 역할이 필요합니다. Monitor 역할이 없으면 System Manager가 어떤 사용자에 대해서도 올바르게 작동하지 않습니다.

SAML

스토리지 어레이에 내장된 SAML(Security Assertion Markup Language) 기능을 사용하는 경우 다음을 확인하십시오.

  • ID 공급자(IdP) 관리자가 IdP 시스템에서 사용자 속성 및 그룹 멤버십을 구성했습니다.

  • 그룹 구성원 이름을 알고 있습니다.

  • 매핑할 그룹의 속성 값을 알고 있습니다. 정규 표현식이 지원됩니다. 이러한 특수 정규 표현식 문자는 정규 표현식 패턴의 일부가 아닌 경우 백슬래시(`\`로 이스케이프해야 합니다.

    \.[]{}()<>*+-=!?^$|

  • 관리자를 포함한 모든 사용자에게 Monitor 역할이 필요합니다. Monitor 역할이 없으면 System Manager가 어떤 사용자에 대해서도 올바르게 작동하지 않습니다.

이 변경으로 인해 영향을 받을 수 있는 외부 관리 툴은 무엇입니까?

SANtricity System Manager에서 관리 인터페이스 전환 또는 인증 방법에 SAML 사용과 같은 특정 변경 작업을 수행하면 일부 외부 도구 및 기능의 사용이 제한될 수 있습니다.

관리 인터페이스

SANtricity SMI-S Provider 또는 OnCommand Insight(OCI)와 같이 기존 관리 인터페이스(SYMbol)와 직접 통신하는 도구는 기존 관리 인터페이스 설정이 활성화되어 있지 않으면 작동하지 않습니다. 또한 이 설정이 비활성화된 경우 기존 CLI 명령을 사용하거나 미러링 작업을 수행할 수 없습니다.

자세한 내용은 기술 지원팀에 문의하십시오.

SAML 인증

SAML이 활성화된 경우 다음 클라이언트는 스토리지 어레이 서비스 및 리소스에 액세스할 수 없습니다.

  • Enterprise Management Window(EMW)

  • 명령줄 인터페이스(CLI)

  • 소프트웨어 개발 키트(SDK) 클라이언트

  • 대역 내 클라이언트

  • HTTP Basic Authentication REST API 클라이언트

  • 표준 REST API 엔드포인트를 사용하여 로그인합니다

자세한 내용은 기술 지원팀에 문의하십시오.

SAML을 구성하고 활성화하기 전에 알아야 할 사항은 무엇입니까?

인증을 위해 SAML(Security Assertion Markup Language) 기능을 구성하고 활성화하기 전에 다음 요구 사항을 충족하고 SAML 제한 사항을 이해해야 합니다.

요구 사항

시작하기 전에 다음을 확인하십시오.

  • Identity Provider(IdP)가 네트워크에 구성되어 있습니다. IdP는 사용자에게 자격 증명을 요청하고 사용자가 성공적으로 인증되었는지 여부를 확인하는 데 사용되는 외부 시스템입니다. 보안 팀은 IdP를 유지 관리할 책임이 있습니다.

  • IdP 관리자가 IdP 시스템에서 사용자 속성과 그룹을 구성했습니다.

  • IdP 관리자가 IdP가 인증 시 이름 ID를 반환하는 기능을 지원하는지 확인했습니다.

  • 관리자가 IdP 서버와 컨트롤러의 시계가 동기화되었는지 확인했습니다(NTP 서버를 통해 또는 컨트롤러 시계 설정을 조정하여).

  • IdP 메타데이터 파일은 IdP 시스템에서 다운로드되어 System Manager에 액세스하는 데 사용되는 로컬 시스템에서 사용할 수 있습니다.

  • 스토리지 어레이에 있는 각 컨트롤러의 IP 주소 또는 도메인 이름을 알고 있습니다.

제한 사항

위의 요구 사항 외에도 다음과 같은 제한 사항을 반드시 숙지하십시오.

  • SAML이 활성화되면 사용자 인터페이스를 통해 비활성화하거나 IdP 설정을 편집할 수 없습니다. SAML 구성을 비활성화하거나 편집해야 하는 경우 기술 지원팀에 문의하십시오. 최종 구성 단계에서 SAML을 활성화하기 전에 SSO 로그인을 테스트하는 것이 좋습니다. (시스템은 SAML을 활성화하기 전에 SSO 로그인 테스트를 수행합니다.)

  • 향후 SAML을 비활성화하면 시스템은 자동으로 이전 구성(로컬 사용자 역할 및/또는 디렉터리 서비스)을 복원합니다.

  • 디렉터리 서비스가 현재 사용자 인증에 대해 구성되어 있는 경우 SAML이 해당 구성을 재정의합니다.

  • SAML이 구성된 경우 다음 클라이언트는 스토리지 어레이 리소스에 액세스할 수 없습니다.

    • Enterprise Management Window(EMW)

    • 명령줄 인터페이스(CLI)

    • 소프트웨어 개발 키트(SDK) 클라이언트

    • 대역 내 클라이언트

    • HTTP Basic Authentication REST API 클라이언트

    • 표준 REST API 엔드포인트를 사용하여 로그인합니다

감사 로그에 어떤 유형의 이벤트가 기록됩니까?

감사 로그는 수정 이벤트 또는 수정 및 읽기 전용 이벤트를 모두 기록할 수 있습니다.

정책 설정에 따라 다음과 같은 유형의 이벤트가 표시됩니다.

  • 수정 이벤트 — System Manager 내에서 사용자가 수행하는 작업 중 스토리지 프로비저닝과 같이 시스템 변경과 관련된 작업입니다.

  • 수정 및 읽기 전용 이벤트 — 시스템 변경과 관련된 사용자 작업과 볼륨 할당 보기와 같이 정보를 보거나 다운로드하는 것과 관련된 이벤트입니다.

syslog 서버를 구성하기 전에 무엇을 알아야 합니까?

감사 로그를 외부 syslog 서버에 보관할 수 있습니다.

syslog 서버를 구성하기 전에 다음 지침을 염두에 두십시오.

  • 서버 주소, 프로토콜 및 포트 번호를 알고 있는지 확인하십시오. 서버 주소는 정규화된 도메인 이름, IPv4 주소 또는 IPv6 주소일 수 있습니다.

  • 서버에서 보안 프로토콜(예: TLS)을 사용하는 경우 로컬 시스템에 인증 기관(CA) 인증서가 있어야 합니다. CA 인증서는 서버와 클라이언트 간의 안전한 연결을 위해 웹사이트 소유자를 식별하는 역할을 합니다.

  • 구성 후 모든 새 감사 로그는 syslog 서버로 전송됩니다. 이전 로그는 전송되지 않습니다.

  • 덮어쓰기 정책 설정(*설정 보기/편집*에서 사용 가능)은 syslog 서버 구성으로 로그를 관리하는 방법에 영향을 주지 않습니다.

  • 감사 로그는 RFC 5424 메시지 형식을 따릅니다.

syslog 서버가 더 이상 감사 로그를 수신하지 않습니다. 어떻게 해야 하나요?

TLS 프로토콜을 사용하여 syslog 서버를 구성한 경우, 어떤 이유로든 인증서가 무효화되면 서버는 메시지를 수신할 수 없습니다. 유효하지 않은 인증서에 대한 오류 메시지가 감사 로그에 게시됩니다.

이 문제를 해결하려면 먼저 syslog 서버의 인증서를 수정해야 합니다. 유효한 인증서 체인이 설정되면 Settings  감사 로그  Syslog 서버 구성  모두 테스트로 이동하십시오.