访问管理在 SANtricity System Manager 中的工作原理
建议更改
PDF
访问管理是在 SANtricity System Manager 中建立用户身份验证的方法。
配置和用户身份验证的工作原理如下:
-
管理员使用包含安全管理员权限的用户配置文件登录到 System Manager。
首次登录时,用户名 `admin`会自动显示且无法更改。 `admin`用户可以完全访问系统中的所有功能。
-
管理员导航到用户界面中的访问管理。存储阵列已预配置为使用本地用户角色,这是 RBAC(基于角色的访问控制)功能的实现。
-
管理员配置以下一种或多种身份验证方法:
-
本地用户角色 — 身份验证通过存储阵列中强制实施的 RBAC 功能进行管理。本地用户角色包括预定义的用户配置文件和具有特定访问权限的角色。管理员可以将这些本地用户角色用作单一身份验证方法,也可以将其与目录服务结合使用。除了为用户设置密码外,无需进行其他配置。
-
目录服务 — 身份验证通过 LDAP(轻型目录访问协议)服务器和目录服务(例如 Microsoft 的 Active Directory)进行管理。管理员连接到 LDAP 服务器,然后将 LDAP 用户映射到嵌入在存储阵列中的本地用户角色。
-
SAML — 身份验证通过身份提供程序 (IdP) 使用安全断言标记语言 (SAML) 2.0 进行管理。管理员在 IdP 系统和存储阵列之间建立通信,然后将 IdP 用户映射到嵌入在存储阵列中的本地用户角色。
-
-
管理员为用户提供 System Manager 的登录凭据。
-
用户通过输入其凭据登录到系统。
如果使用 SAML 和 SSO(单点登录)管理身份验证,则系统可能会绕过 System Manager 登录对话框。
在登录过程中,系统会执行以下后台任务:
-
根据用户帐户对用户名和密码进行身份验证。
-
根据分配的角色确定用户的权限。
-
为用户提供对用户界面中任务的访问权限。
-
在界面右上角显示用户名。
-
System Manager 中的可用任务
对任务的访问取决于用户分配的角色,包括以下内容:
-
Storage admin — 对存储对象(例如卷和磁盘池)的完全读/写访问权限,但不能访问安全配置。
-
安全管理员 — 访问 Access Management 中的安全配置、证书管理、审核日志管理,以及打开或关闭旧版管理界面 (SYMbol) 的能力。
-
Support admin — 访问存储阵列上的所有硬件资源、故障数据、MEL 事件和控制器固件升级。无法访问存储对象或安全配置。
-
Monitor — 对所有存储对象的只读访问,但无法访问安全配置。
不可用的任务要么变为灰色,要么不显示在用户界面中。例如,具有 Monitor 角色的用户可以查看有关卷的所有信息,但不能访问修改该卷的功能。Copy Services 和 Add to Workload 等功能的选项卡将变为灰色;仅 View/Edit Settings 可用。
Unified Manager 和 Storage Manager 中的限制
如果为存储阵列配置了 SAML,则用户无法从 Unified Manager 或旧版 Storage Manager 界面发现或管理该阵列的存储。
配置本地用户角色和目录服务时,用户必须在执行以下任一功能之前输入凭据:
-
重命名存储阵列
-
升级控制器固件
-
加载存储阵列配置
-
执行脚本
-
尝试在未使用的会话超时时执行活动操作