Skip to main content
SANtricity software
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

SANtricity System Manager에 대한 사용자 액세스 관리 FAQ

PDF

이 FAQ는 질문에 대한 간단한 답변을 찾는 경우에 도움이 될 수 있습니다.

왜 로그인할 수 없나요?

SANtricity 시스템 관리자에 로그인하려고 할 때 오류가 발생하면 가능한 원인을 검토하십시오.

다음 이유 중 하나로 System Manager에 로그인 오류가 발생할 수 있습니다.

  • 잘못된 사용자 이름 또는 암호를 입력했습니다.

  • 권한이 부족합니다.

  • 디렉토리 서버(구성된 경우)를 사용할 수 없습니다. 이 경우 로컬 사용자 역할로 로그인을 시도하십시오.

  • 여러 번 로그인을 시도했으나 실패하여 잠금 모드가 시작되었습니다. 다시 로그인하려면 10분 정도 기다립니다.

  • 잠금 조건이 트리거되었고 감사 로그가 꽉 찼을 수 있습니다. Access Management(액세스 관리)로 이동하여 감사 로그에서 이전 이벤트를 삭제합니다.

  • SAML 인증이 활성화되었습니다. 로그인하려면 브라우저를 새로 고치십시오.

미러링 작업을 위해 원격 스토리지 어레이에 로그인 오류가 발생하는 원인은 다음과 같습니다.

  • 잘못된 암호를 입력했습니다.

  • 여러 번 로그인을 시도했으나 실패하여 잠금 모드가 시작되었습니다. 10분 정도 기다린 후 다시 로그인하십시오.

  • 컨트롤러에 사용된 최대 클라이언트 연결 수에 도달했습니다. 여러 사용자 또는 클라이언트를 확인합니다.

디렉토리 서버를 추가하기 전에 알아야 할 사항은 무엇입니까?

Access Management에서 디렉터리 서버를 추가하기 전에 다음 요구 사항을 충족하는지 확인합니다.

  • 사용자 그룹은 디렉토리 서비스에 정의되어 있어야 합니다.

  • 도메인 이름, 서버 URL, 그리고 선택적으로 바인딩 계정 사용자 이름 및 암호를 포함하여 LDAP 서버 자격 증명을 사용할 수 있어야 합니다.

  • 보안 프로토콜을 사용하는 LDAPS 서버의 경우 로컬 시스템에 LDAP 서버의 인증서 체인을 설치해야 합니다.

스토리지 어레이 역할에 매핑하는 방법에 대해 알아야 할 내용은 무엇입니까?

그룹을 역할에 매핑하기 전에 다음 지침을 검토하십시오.

스토리지 시스템의 내장 RBAC(역할 기반 액세스 제어) 기능에는 다음과 같은 역할이 포함됩니다.

  • * 스토리지 관리자 * — 스토리지 객체(예: 볼륨 및 디스크 풀)에 대한 전체 읽기/쓰기 액세스이지만 보안 구성에 대한 액세스는 없습니다.

  • * 보안 관리자 * — 액세스 관리, 인증서 관리, 감사 로그 관리 및 레거시 관리 인터페이스(기호)를 켜거나 끌 수 있는 기능의 보안 구성에 액세스합니다.

  • * 지원 관리자 * — 스토리지 어레이의 모든 하드웨어 리소스, 장애 데이터, MEL 이벤트 및 컨트롤러 펌웨어 업그레이드에 액세스합니다. 스토리지 객체 또는 보안 구성에 대한 액세스 권한이 없습니다.

  • * Monitor * — 모든 스토리지 객체에 대한 읽기 전용 액세스이지만 보안 구성에 대한 액세스는 없습니다.

디렉터리 서비스

LDAP(Lightweight Directory Access Protocol) 서버 및 디렉터리 서비스를 사용하는 경우 다음 사항을 확인하십시오.

  • 관리자가 디렉토리 서비스에 사용자 그룹을 정의했습니다.

  • LDAP 사용자 그룹의 그룹 도메인 이름을 알고 있습니다. 정규식이 지원됩니다. 이러한 특수 정규식 문자는 정규식 패턴의 일부가 아닌 경우 백슬래시("\")로 이스케이프되어야 합니다.

    \.[]{}()<>*+-=!?^$|

  • Monitor 역할은 관리자를 포함한 모든 사용자에게 필요합니다. Monitor 역할이 없는 사용자에 대해서는 System Manager가 올바르게 작동하지 않습니다.

SAML

스토리지 어레이에 포함된 SAML(Security Assertion Markup Language) 기능을 사용하는 경우 다음 사항을 확인하십시오.

  • IDP(Identity Provider) 관리자가 IDP 시스템에서 사용자 속성 및 그룹 구성원을 구성했습니다.

  • 그룹 구성원 이름을 알고 있습니다.

  • 매핑할 그룹의 속성 값을 알고 있습니다. 정규식이 지원됩니다. 이러한 특수 정규식 문자는 정규식 패턴의 일부가 아닌 경우 백슬래시("\")로 이스케이프되어야 합니다.

    \.[]{}()<>*+-=!?^$|

  • Monitor 역할은 관리자를 포함한 모든 사용자에게 필요합니다. Monitor 역할이 없는 사용자에 대해서는 System Manager가 올바르게 작동하지 않습니다.

이 변경의 영향을 받을 수 있는 외부 관리 도구는 무엇입니까?

관리 인터페이스 전환이나 인증 방법을 위해 SAML을 사용하는 등 SANtricity System Manager에서 특정 변경 사항을 적용하면 일부 외부 툴과 기능의 사용이 제한될 수 있습니다.

관리 인터페이스

레거시 관리 인터페이스 설정이 활성화되어 있지 않으면 SANtricity SMI-S Provider 또는 OnCommand Insight(OCI)와 같은 기존 관리 인터페이스(기호)와 직접 통신하는 도구가 작동하지 않습니다. 또한 이 설정이 비활성화되어 있으면 레거시 CLI 명령을 사용하거나 미러링 작업을 수행할 수 없습니다.

자세한 내용은 기술 지원 부서에 문의하십시오.

SAML 인증

SAML이 활성화되면 다음 클라이언트가 스토리지 서비스 및 리소스에 액세스할 수 없습니다.

  • 엔터프라이즈 관리 창(EMW)

  • CLI(Command-Line Interface)

  • SDK(소프트웨어 개발자 키트) 클라이언트

  • 대역내 클라이언트

  • HTTP 기본 인증 REST API 클라이언트

  • 표준 REST API 끝점을 사용하여 로그인합니다

자세한 내용은 기술 지원 부서에 문의하십시오.

SAML을 구성 및 활성화하기 전에 알아야 할 내용은 무엇입니까?

인증을 위해 SAML(Security Assertion Markup Language) 기능을 구성 및 활성화하기 전에 다음 요구 사항을 충족하고 SAML 제한 사항을 이해해야 합니다.

요구 사항

시작하기 전에 다음 사항을 확인하십시오.

  • ID 공급자(IDP)가 네트워크에 구성되어 있습니다. IDP는 사용자의 자격 증명을 요청하고 사용자가 성공적으로 인증되었는지 확인하는 데 사용되는 외부 시스템입니다. 보안 팀은 IDP를 유지 관리할 책임이 있습니다.

  • IDP 관리자가 IDP 시스템에서 사용자 속성 및 그룹을 구성했습니다.

  • IDP 관리자는 IDP가 인증 시 이름 ID를 반환하는 기능을 지원하도록 했습니다.

  • 관리자는 NTP 서버를 통해 또는 컨트롤러 클럭 설정을 조정하여 IDP 서버 및 컨트롤러 클럭이 동기화되도록 했습니다.

  • IDP 메타데이터 파일은 IDP 시스템에서 다운로드되며 System Manager 액세스에 사용되는 로컬 시스템에서 사용할 수 있습니다.

  • 스토리지 어레이에 있는 각 컨트롤러의 IP 주소 또는 도메인 이름을 알고 있습니다.

제한 사항

위의 요구 사항 외에 다음과 같은 제한 사항을 이해해야 합니다.

  • SAML이 활성화되면 사용자 인터페이스를 통해 이를 _비활성화할 수 없으며 IDP 설정을 편집할 수도 없습니다. SAML 구성을 비활성화하거나 편집해야 하는 경우 기술 지원 부서에 지원을 요청하십시오. 최종 구성 단계에서 SAML을 활성화하기 전에 SSO 로그인을 테스트하는 것이 좋습니다. (SAML을 활성화하기 전에 SSO 로그인 테스트도 수행합니다.)

  • 나중에 SAML을 사용하지 않도록 설정하면 이전 구성(로컬 사용자 역할 및/또는 디렉터리 서비스)이 자동으로 복원됩니다.

  • 디렉토리 서비스가 현재 사용자 인증을 위해 구성된 경우 SAML은 해당 구성을 재정의합니다.

  • SAML이 구성된 경우 다음 클라이언트가 스토리지 시스템 리소스에 액세스할 수 없습니다.

    • 엔터프라이즈 관리 창(EMW)

    • CLI(Command-Line Interface)

    • SDK(소프트웨어 개발자 키트) 클라이언트

    • 대역내 클라이언트

    • HTTP 기본 인증 REST API 클라이언트

    • 표준 REST API 끝점을 사용하여 로그인합니다

감사 로그에 기록되는 이벤트 유형은 무엇입니까?

감사 로그는 수정 이벤트 또는 수정 이벤트와 읽기 전용 이벤트를 모두 기록할 수 있습니다.

정책 설정에 따라 다음과 같은 유형의 이벤트가 표시됩니다.

  • * 수정 이벤트 * — 시스템 변경(예: 스토리지 프로비저닝)이 포함된 System Manager 내 사용자 조치.

  • * 수정 및 읽기 전용 이벤트 * — 볼륨 할당 보기와 같은 정보 보기 또는 다운로드와 관련된 이벤트뿐만 아니라 시스템에 대한 변경 사항을 포함하는 사용자 작업입니다.

syslog 서버를 구성하기 전에 알아야 할 내용은 무엇입니까?

외부 syslog 서버에 감사 로그를 보관할 수 있습니다.

syslog 서버를 구성하기 전에 다음 지침을 염두에 두십시오.

  • 서버 주소, 프로토콜 및 포트 번호를 알고 있어야 합니다. 서버 주소는 정규화된 도메인 이름, IPv4 주소 또는 IPv6 주소일 수 있습니다.

  • 서버에서 보안 프로토콜(예: TLS)을 사용하는 경우 로컬 시스템에서 인증 기관(CA) 인증서를 사용할 수 있어야 합니다. CA 인증서는 서버와 클라이언트 간의 보안 연결을 위해 웹 사이트 소유자를 식별합니다.

  • 구성 후 모든 새 감사 로그가 syslog 서버로 전송됩니다. 이전 로그는 전송되지 않습니다.

  • 덮어쓰기 정책 설정(* 보기/편집 설정 * 에서 사용 가능)은 syslog 서버 구성을 사용하여 로그를 관리하는 방법에 영향을 주지 않습니다.

  • 감사 로그는 RFC 5424 메시징 형식을 따릅니다.

syslog 서버가 더 이상 감사 로그를 수신하지 않습니다. 어떻게 해야 합니까?

TLS 프로토콜을 사용하여 syslog 서버를 구성한 경우 어떤 이유로든 인증서가 유효하지 않으면 서버에서 메시지를 수신할 수 없습니다. 유효하지 않은 인증서에 대한 오류 메시지가 감사 로그에 게시됩니다.

이 문제를 해결하려면 먼저 syslog 서버의 인증서를 수정해야 합니다. 유효한 인증서 체인이 배치되면 설정 [감사 로그 > Syslog 서버 구성 > 모두 테스트] 메뉴로 이동합니다.