Skip to main content
SANtricity software
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

SANtricity System Manager 用户访问管理常见问题解答

PDF

如果您只是想快速了解问题解答,此常见问题解答会很有帮助。

为什么我无法登录?

如果在尝试登录到SANtricity系统管理器时收到错误、请查看这些可能的原因。

System Manager登录错误可能是由于以下原因之一:

  • 您输入的用户名或密码不正确。

  • 您的权限不足。

  • 目录服务器(如果已配置)可能不可用。如果是这种情况、请尝试使用本地用户角色登录。

  • 您尝试多次登录失败、从而触发锁定模式。等待10分钟以重新登录。

  • 已触发锁定条件、并且您的审核日志可能已满。转至访问管理并从审核日志中删除旧事件。

  • 已启用SAML身份验证。刷新浏览器以登录。

由于以下原因之一、可能会在远程存储阵列上登录错误以执行镜像任务:

  • 您输入的密码不正确。

  • 您尝试多次登录失败、从而触发锁定模式。请等待10分钟以重新登录。

  • 已达到控制器上使用的最大客户端连接数。检查是否存在多个用户或客户端。

在添加目录服务器之前、我需要了解哪些信息?

在Access Management中添加目录服务器之前、请确保满足以下要求。

  • 必须在目录服务中定义用户组。

  • LDAP服务器凭据必须可用、包括域名、服务器URL以及可选的绑定帐户用户名和密码。

  • 对于使用安全协议的LDAPS服务器、必须在本地计算机上安装LDAP服务器的证书链。

关于映射到存储阵列角色、我需要了解哪些信息?

在将组映射到角色之前、请查看以下准则。

存储阵列的嵌入式RBAC (基于角色的访问控制)功能包括以下角色:

  • 存储管理—对存储对象(例如卷和磁盘池)具有完全读/写访问权限、但无法访问安全配置。

  • 安全管理—访问访问管理、证书管理、审核日志管理中的安全配置、以及打开或关闭原有管理界面(符号)的功能。

  • 支持管理—访问存储阵列上的所有硬件资源、故障数据、MEL事件和控制器固件升级。无法访问存储对象或安全配置。

  • 监控—对所有存储对象的只读访问、但无法访问安全配置。

目录服务

如果您使用的是LDAP (轻型目录访问协议)服务器和目录服务、请确保:

  • 管理员已在目录服务中定义用户组。

  • 您知道LDAP用户组的组域名。支持正则表达式。如果这些特殊正则表达式字符不属于正则表达式模式、则必须使用反斜杠(\)进行转义:

    \.[]{}()<>*+-=!?^$|

  • 包括管理员在内的所有用户都需要"监控"角色。如果没有"监控"角色、则System Manager将无法正常运行。

SAML

如果您使用的是存储阵列中嵌入的安全断言标记语言(SAML)功能、请确保:

  • 身份提供程序(Identity Provider、IdP)管理员已在IdP系统中配置用户属性和组成员资格。

  • 您知道组成员资格名称。

  • 您知道要映射的组的属性值。支持正则表达式。如果这些特殊正则表达式字符不属于正则表达式模式、则必须使用反斜杠(\)进行转义:

    \.[]{}()<>*+-=!?^$|

  • 包括管理员在内的所有用户都需要"监控"角色。如果没有"监控"角色、则System Manager将无法正常运行。

哪些外部管理工具可能会受到此更改的影响?

在SANtricity系统管理器中进行某些更改(例如切换管理接口或使用SAML进行身份验证方法)时、可能会限制使用某些外部工具和功能。

管理接口

除非启用旧版管理接口设置、否则直接与旧版管理界面(符号)通信的工具(例如SANtricity SMI-S Provider或OnCommand Insight (OCI))无法正常工作。此外、如果禁用了此设置、则不能使用传统CLI命令或执行镜像操作。

有关详细信息,请联系技术支持。

SAML 身份验证

启用SAML后、以下客户端将无法访问存储阵列服务和资源:

  • 企业管理窗口(EMW)

  • 命令行界面( CLI )

  • 软件开发人员套件(SDK)客户端

  • 带内客户端

  • HTTP基本身份验证REST API客户端

  • 使用标准REST API端点登录

有关详细信息,请联系技术支持。

在配置和启用SAML之前、我需要了解哪些信息?

在配置和启用安全断言标记语言(SAML)身份验证功能之前、请确保满足以下要求并了解SAML限制。

要求

开始之前、请确保:

  • 已在网络中配置身份提供程序(Identity Provider、IdP)。IdP是一种外部系统、用于向用户请求凭据并确定用户是否已成功通过身份验证。您的安全团队负责维护IdP。

  • IdP管理员已在IdP系统中配置用户属性和组。

  • IdP管理员已确保IdP支持在身份验证时返回名称ID。

  • 管理员已确保IdP服务器和控制器时钟保持同步(通过NTP服务器或通过调整控制器时钟设置)。

  • IdP元数据文件从IdP系统下载、并可从用于访问System Manager的本地系统上获得。

  • 您知道存储阵列中每个控制器的IP地址或域名。

限制

除了上述要求之外、请确保您了解以下限制:

  • 启用SAML后、您无法通过用户界面将其禁用、也无法编辑IdP设置。如果需要禁用或编辑SAML配置、请联系技术支持以获得帮助。建议您先测试SSO登录、然后再在最终配置步骤中启用SAML。(系统还会在启用SAML之前执行SSO登录测试。)

  • 如果您将来禁用SAML、则系统会自动还原先前的配置(本地用户角色和/或目录服务)。

  • 如果当前已为用户身份验证配置目录服务、则SAML将覆盖此配置。

  • 配置SAML后、以下客户端将无法访问存储阵列资源:

    • 企业管理窗口(EMW)

    • 命令行界面( CLI )

    • 软件开发人员套件(SDK)客户端

    • 带内客户端

    • HTTP基本身份验证REST API客户端

    • 使用标准REST API端点登录

审核日志中记录了哪些类型的事件?

审核日志可以记录修改事件、也可以同时记录修改和只读事件。

根据策略设置、将显示以下类型的事件:

  • 修改事件- System Manager中涉及系统更改的用户操作、例如配置存储。

  • 修改和只读事件-涉及系统更改的用户操作以及涉及查看或下载信息的事件、例如查看卷分配。

在配置系统日志服务器之前、我需要了解哪些信息?

您可以将审核日志归档到外部系统日志服务器。

在配置系统日志服务器之前、请记住以下准则。

  • 确保您知道服务器地址、协议和端口号。服务器地址可以是完全限定域名、IPv4地址或IPv6地址。

  • 如果您的服务器使用安全协议(例如TLS)、则本地系统上必须具有证书颁发机构(CA)证书。CA证书用于标识服务器和客户端之间安全连接的网站所有者。

  • 配置后、所有新审核日志都会发送到系统日志服务器。不会传输先前的日志。

  • 覆盖策略设置(可从*查看/编辑设置*获得)不会影响使用系统日志服务器配置管理日志的方式。

  • 审核日志采用RFC 5424消息格式。

系统日志服务器不再接收审核日志。我该怎么办?

如果您为系统日志服务器配置了TLS协议、则如果证书因任何原因而无效、则服务器将无法接收消息。审核日志中会发布一条有关此无效证书的错误消息。

要解决此问题描述 、必须先修复系统日志服务器的证书。建立有效的证书链后、转到菜单:设置[审核日志>配置系统日志服务器>测试全部]。