Skip to main content
SANtricity software
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

SANtricity System Manager 使用者存取管理常見問題集

PDF

如果您只是想快速找到某個問題的答案,此常見問題解答可能會有所幫助。

為什麼我無法登入?

如果您在嘗試登入 SANtricity System Manager 時收到錯誤提示,請查看以下可能的原因。

登入 System Manager 時發生錯誤可能是由於下列其中一個原因:

  • 您輸入的使用者名稱或密碼不正確。

  • 您的權限不足。

  • 目錄伺服器(如果已配置)可能無法使用。如果發生這種情況,請嘗試使用本機使用者角色登入。

  • 您多次嘗試登入均告失敗,導致帳號被鎖定。請等待 10 分鐘後再重新登入。

  • 系統觸發了鎖定條件,您的稽核日誌可能已滿。請前往存取管理,並從稽核日誌中刪除舊事件。

  • SAML 身份驗證已啟用。請重新整理瀏覽器以登入。

登入遠端儲存陣列以執行鏡像任務時發生錯誤,可能是由下列原因之一造成:

  • 您輸入的密碼錯誤。

  • 您多次嘗試登入均告失敗,導致帳號被鎖定。請等待 10 分鐘後再重新登入。

  • 控制器上使用的用戶端連線數已達上限。請檢查是否存在多個使用者或用戶端。

在新增目錄伺服器之前、我需要瞭解哪些資訊?

在 Access Management 中新增目錄伺服器之前、請確保滿足以下要求。

  • 使用者群組必須在您的目錄服務中定義。

  • LDAP 伺服器認證資料必須可用,包括網域名稱、伺服器 URL,以及選擇性的繫結帳戶使用者名稱和密碼。

  • 對於使用安全協定的 LDAPS 伺服器,必須將 LDAP 伺服器的憑證鏈安裝在本機電腦上。

關於對應至儲存陣列角色,我需要了解哪些資訊?

在將群組對應至角色之前,請檢閱下列準則。

儲存陣列的嵌入式 RBAC (role-based access control) 功能包括以下角色:

  • Storage admin — 對儲存物件(例如、磁碟區和磁碟集區)具有完全的讀取 / 寫入權限、但無權存取安全性組態。

  • Security admin — 可以存取 Access Management 中的安全性設定、憑證管理、稽核日誌管理,以及啟用或停用舊版管理介面(SYMbol)的功能。

  • Support admin — 可存取儲存陣列上的所有硬體資源、故障資料、MEL 事件和控制器韌體升級。無權存取儲存物件或安全性配置。

  • Monitor — 對所有儲存物件具有唯讀存取權限,但無權存取安全性組態。

目錄服務

如果您正在使用 LDAP(Lightweight Directory Access Protocol)伺服器和 Directory Services,請確保:

  • 管理員已在目錄服務中定義使用者群組。

  • 您知道 LDAP 使用者群組的群組網域名稱。支援規則運算式。如果這些特殊規則運算式字元不是規則運算式模式的一部分,則必須使用反斜線((\)進行轉義:

    \.[]{}()<>*+-=!?^$|

  • 所有使用者(包括管理員)都必須擁有 Monitor 角色。如果使用者沒有 Monitor 角色,System Manager 將無法正常運作。

SAML

如果您正在使用儲存陣列中嵌入的 Security Assertion Markup Language (SAML) 功能,請確保:

  • Identity Provider (IdP) 管理員已在 IdP 系統中配置使用者屬性和群組成員資格。

  • 您知道群組成員資格名稱。

  • 您知道要對應的群組的屬性值。支援正規表達式。如果這些特殊正規表達式字元不是正規表達式模式的一部分,則必須使用反斜線((\)進行轉義:

    \.[]{}()<>*+-=!?^$|

  • 所有使用者(包括管理員)都必須擁有 Monitor 角色。如果使用者沒有 Monitor 角色,System Manager 將無法正常運作。

哪些外部管理工具可能會受到此變更的影響?

當您在 SANtricity System Manager 中進行某些變更時,例如切換管理介面或使用 SAML 作為驗證方法,某些外部工具和功能可能會受到限制而無法使用。

管理介面

如果未啟用「舊版管理介面」設定,則直接與舊版管理介面(SYMbol)通訊的工具(例如 SANtricity SMI-S Provider 或 OnCommand Insight(OCI))將無法運作。此外,如果停用此設定,則無法使用舊版 CLI 命令或執行鏡像作業。

請聯絡技術支援以取得更多資訊。

SAML 身份驗證

啟用 SAML 後,以下用戶端將無法存取儲存陣列服務和資源:

  • 企業管理視窗 (EMW)

  • 命令列介面(CLI)

  • 軟體開發工具包(SDK)用戶端

  • 頻內用戶端

  • HTTP Basic Authentication REST API 用戶端

  • 使用標準 REST API 端點登入

請聯絡技術支援以取得更多資訊。

在設定和啟用 SAML 之前、我需要了解哪些資訊?

在設定和啟用 Security Assertion Markup Language (SAML) 驗證功能之前,請確保滿足以下要求並了解 SAML 限制。

需求

開始之前、請確保:

  • 您的網路中已配置身分提供者(IdP)。IdP 是一個外部系統,用於向使用者請求憑證並確定使用者是否已成功通過身份驗證。您的安全團隊負責維護 IdP。

  • IdP 管理員已在 IdP 系統中設定使用者屬性和群組。

  • IdP 管理員已確保 IdP 支援在身分驗證時傳回名稱 ID 的功能。

  • 管理員已確保 IdP 伺服器和控制器時鐘同步(透過 NTP 伺服器或調整控制器時鐘設定)。

  • 從 IdP 系統下載 IdP 中繼資料檔案,並可在用於存取 System Manager 的本機系統上使用。

  • 您知道儲存陣列中每個控制器的 IP 位址或網域名稱。

限制

除了上述要求外,請務必了解以下限制:

  • 啟用 SAML 後,您_無法_透過使用者介面停用它,也無法編輯 IdP 設定。如果您需要停用或編輯 SAML 組態,請聯絡技術支援以尋求協助。我們建議您在最終組態步驟中啟用 SAML 之前,先測試 SSO 登入。(系統也會在啟用 SAML 之前執行 SSO 登入測試。)

  • 如果將來停用 SAML,系統會自動恢復先前的組態(本機使用者角色和/或目錄服務)。

  • 如果目前已設定目錄服務進行使用者驗證,則 SAML 會覆寫該設定。

  • 配置 SAML 後,以下用戶端無法存取儲存陣列資源:

    • 企業管理視窗 (EMW)

    • 命令列介面(CLI)

    • 軟體開發工具包(SDK)用戶端

    • 頻內用戶端

    • HTTP Basic Authentication REST API 用戶端

    • 使用標準 REST API 端點登入

稽核日誌中會記錄哪些類型的事件?

稽核記錄可以記錄修改事件,或同時記錄修改事件和唯讀事件。

根據原則設定,會顯示下列類型的事件:

  • 修改事件 — 使用者在 System Manager 中執行涉及系統變更的操作,例如配置儲存設備。

  • 修改和唯讀事件 — 涉及系統變更的使用者動作,以及涉及檢視或下載資訊的事件,例如檢視磁碟區指派。

在配置 syslog 伺服器之前我需要了解哪些資訊?

您可以將稽核日誌歸檔至外部 syslog 伺服器。

在配置 syslog 伺服器之前、請記住以下準則。

  • 請確保您知道伺服器位址、傳輸協定和連接埠號碼。伺服器位址可以是完整網域名稱、IPv4 位址或 IPv6 位址。

  • 如果您的伺服器使用安全性協定(例如 TLS),則您的本機系統上必須安裝憑證授權單位 (CA) 憑證。CA 憑證用於識別網站擁有者,以確保伺服器和用戶端之間的安全連線。

  • 配置完成後,所有新的稽核記錄都會傳送到 syslog 伺服器。先前的記錄不會傳輸。

  • 覆蓋策略設定(可從 View/Edit Settings 取得)不會影響使用 syslog 伺服器組態管理記錄的方式。

  • 稽核日誌遵循 RFC 5424 訊息格式。

系統日誌伺服器不再接收稽核日誌。我該怎麼辦?

如果您設定的 syslog 伺服器使用了 TLS 協定,一旦憑證因任何原因失效,伺服器將無法接收訊息。有關憑證失效的錯誤訊息將記錄到稽核記錄中。

要解決此問題,您必須先修復 syslog 伺服器的憑證。有效的憑證鏈就位後,請前往選單:設定 [稽核記錄 > 設定 Syslog 伺服器 > 全部測試]。