Skip to main content
SANtricity software
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

SANtricity System Manager 用户访问管理常见问题解答

PDF

如果您只是在寻找问题的快速答案,此常见问题可以为您提供帮助。

为什么我无法登录?

如果在尝试登录到 SANtricity System Manager 时收到错误,请查看这些可能的原因。

由于以下原因之一,可能会发生到 System Manager 的登录错误:

  • 您输入了错误的用户名或密码。

  • 您的权限不足。

  • 目录服务器(如果已配置)可能不可用。如果是这种情况,请尝试使用本地用户角色登录。

  • 您多次尝试登录失败,这触发了锁定模式。请等待 10 分钟以重新登录。

  • 已触发锁定条件,您的审核日志可能已满。转到 Access Management 并从审核日志中删除旧事件。

  • 已启用 SAML 身份验证。刷新浏览器以登录。

用于镜像任务的远程存储阵列的登录错误可能出于以下原因之一:

  • 您输入的密码不正确。

  • 您多次尝试登录失败,这触发了锁定模式。请等待 10 分钟后重新登录。

  • 已达到控制器上使用的客户端连接数上限。检查是否有多个用户或客户端。

在添加目录服务器之前,我需要知道什么?

在 Access Management 中添加目录服务器之前,请确保满足下列要求。

  • 必须在您的目录服务中定义用户组。

  • LDAP 服务器凭据必须可用,包括域名、服务器 URL 以及可选的绑定帐户用户名和密码。

  • 对于使用安全协议的 LDAPS 服务器,必须在本地计算机上安装 LDAP 服务器的证书链。

关于映射到存储阵列角色,我需要了解哪些信息?

在将组映射到角色之前,请查看以下指南。

存储阵列的嵌入式 RBAC(基于角色的访问控制)功能包括以下角色:

  • Storage admin — 对存储对象(例如卷和磁盘池)的完全读/写访问权限,但不能访问安全配置。

  • 安全管理员 — 访问 Access Management 中的安全配置、证书管理、审核日志管理,以及打开或关闭旧版管理界面 (SYMbol) 的能力。

  • Support admin — 访问存储阵列上的所有硬件资源、故障数据、MEL 事件和控制器固件升级。无法访问存储对象或安全配置。

  • Monitor — 对所有存储对象的只读访问,但无法访问安全配置。

目录服务

如果使用 LDAP(轻型目录访问协议)服务器和目录服务,请确保:

  • 管理员在目录服务中定义了用户组。

  • 您知道 LDAP 用户组的组域名。支持正则表达式。如果这些特殊正则表达式字符不是正则表达式模式的一部分,则必须使用反斜杠(`\`转义:

    \.[]{}()<>*+-=!?^$|

  • 所有用户(包括管理员)都需要 Monitor 角色。如果没有 Monitor 角色,System Manager 将无法为任何用户正常运行。

SAML

如果您使用存储阵列中嵌入的 Security Assertion Markup Language (SAML) 功能,请确保:

  • 身份提供程序 (IdP) 管理员在 IdP 系统中配置了用户属性和组成员身份。

  • 您知道组成员身份名称。

  • 您知道要映射的组的属性值。支持正则表达式。如果这些特殊正则表达式字符不是正则表达式模式的一部分,则必须使用反斜杠 (\ 转义它们:

    \.[]{}()<>*+-=!?^$|

  • 所有用户(包括管理员)都需要 Monitor 角色。如果没有 Monitor 角色,System Manager 将无法为任何用户正常运行。

哪些外部管理工具可能会受到此变更的影响?

当您在 SANtricity System Manager 中进行某些更改时(例如切换管理接口或使用 SAML 作为身份验证方法),某些外部工具和功能可能会被限制使用。

管理界面

除非启用了"旧版管理界面"设置,否则直接与旧版管理界面 (SYMbol) 进行通信的工具(例如 SANtricity SMI-S Provider 或 OnCommand Insight (OCI))将不起作用。此外,如果禁用此设置,则无法使用旧版 CLI 命令或执行镜像操作。

有关详细信息,请与技术支持联系。

SAML 身份验证

启用 SAML 后,以下客户端无法访问存储阵列服务和资源:

  • 企业管理窗口 (EMW)

  • 命令行界面 (CLI)

  • 软件开发工具包 (SDK) 客户端

  • 带内客户端

  • HTTP 基本身份验证 REST API 客户端

  • 使用标准 REST API 端点登录

有关详细信息,请与技术支持联系。

在配置和启用 SAML 之前,我需要了解什么?

在配置和启用安全断言标记语言 (SAML) 身份验证功能之前,请确保满足下列要求并了解 SAML 限制。

要求

在开始之前,请确保:

  • 在网络中配置了标识提供程序 (IdP)。IdP 是用于向用户请求凭据并确定用户是否成功通过身份验证的外部系统。您的安全团队负责维护 IdP。

  • IdP 管理员在 IdP 系统中配置了用户属性和组。

  • IdP 管理员已确保 IdP 支持在身份验证时返回名称 ID 的功能。

  • 管理员已确保 IdP 服务器和控制器时钟同步(通过 NTP 服务器或通过调整控制器时钟设置)。

  • IdP 元数据文件是从 IdP 系统下载的,可在用于访问 System Manager 的本地系统上使用。

  • 您知道存储阵列中每个控制器的 IP 地址或域名。

限制

除了上述要求之外,请务必了解以下限制:

  • 启用 SAML 后,您_不能_通过用户界面禁用它,也不能编辑 IdP 设置。如果需要禁用或编辑 SAML 配置,请联系技术支持以获得帮助。我们建议您在最终配置步骤中启用 SAML 之前测试 SSO 登录。(系统在启用 SAML 之前还会执行 SSO 登录测试。)

  • 如果以后禁用 SAML,系统会自动恢复以前的配置(本地用户角色和/或目录服务)。

  • 如果当前为用户身份验证配置了 Directory Services,则 SAML 将覆盖该配置。

  • 配置 SAML 时,以下客户端无法访问存储阵列资源:

    • 企业管理窗口 (EMW)

    • 命令行界面 (CLI)

    • 软件开发工具包 (SDK) 客户端

    • 带内客户端

    • HTTP 基本身份验证 REST API 客户端

    • 使用标准 REST API 端点登录

审计日志中记录了哪些类型的事件?

审核日志可以记录修改事件,也可以同时记录修改和只读事件。

根据策略设置,将显示以下类型的事件:

  • 修改事件 — 来自 System Manager 中的用户操作,涉及对系统的更改,例如配置存储。

  • 修改和只读事件 — 涉及系统更改的用户操作,以及涉及查看或下载信息的事件,例如查看卷分配。

在配置 syslog 服务器之前,我需要知道什么?

您可以将审核日志存档到外部 syslog 服务器上。

在配置 syslog 服务器之前,请记住以下指导原则。

  • 确保您知道服务器地址、协议和端口号。服务器地址可以是完全限定的域名、IPv4 地址或 IPv6 地址。

  • 如果您的服务器使用安全协议(例如 TLS),则必须在本地系统上提供证书颁发机构 (CA) 证书。CA 证书用于识别网站所有者,以确保服务器和客户端之间的安全连接。

  • 配置完成后,所有新的审核日志都将发送到 syslog 服务器。不会传输以前的日志。

  • 覆盖策略设置(可从 查看/编辑设置 获得)不影响使用 syslog 服务器配置管理日志的方式。

  • 审核日志遵循 RFC 5424 消息格式。

syslog 服务器不再接收审核日志。我该怎么办?

如果使用 TLS 协议配置了 syslog 服务器,则如果证书因任何原因无效,服务器将无法接收消息。有关无效证书的错误消息被发布到审核日志中。

要解决此问题,必须首先修复 syslog 服务器的证书。有效的证书链到位后,请转到菜单:设置[审核日志 > 配置 Syslog 服务器 > 全部测试]。