SANtricity System Manager 使用者存取管理常見問題解答
如果您只是想要快速回答問題、這個常見問題集就能幫上忙。
為什麼我無法登入?
如果您在嘗試登入 SANtricity 系統管理員時收到錯誤訊息,請檢閱這些可能的原因。
系統管理員可能會因為下列其中一項原因而發生登入錯誤:
-
您輸入的使用者名稱或密碼不正確。
-
您的權限不足。
-
目錄伺服器(若已設定)可能無法使用。如果是這種情況、請嘗試以本機使用者角色登入。
-
您嘗試多次登入失敗、這會觸發鎖定模式。請等待10分鐘以重新登入。
-
已觸發鎖定條件、且稽核記錄可能已滿。移至「存取管理」、並從稽核記錄中刪除舊事件。
-
已啟用SAML驗證。重新整理瀏覽器以登入。
由於下列原因之一、可能會發生遠端儲存陣列鏡射工作的登入錯誤:
-
您輸入的密碼不正確。
-
您嘗試多次登入失敗、這會觸發鎖定模式。請等待10分鐘再登入一次。
-
控制器上使用的用戶端連線數量已達上限。檢查多個使用者或用戶端。
新增目錄伺服器之前、我需要知道什麼?
在Access Management中新增目錄伺服器之前、請確定您符合下列需求。
-
必須在目錄服務中定義使用者群組。
-
LDAP伺服器認證必須可用、包括網域名稱、伺服器URL、以及可選的連結帳戶使用者名稱和密碼。
-
對於使用安全傳輸協定的LDAPS伺服器、LDAP伺服器的憑證鏈結必須安裝在本機機器上。
我需要知道哪些關於對應至儲存陣列角色的資訊?
在將群組對應至角色之前、請先檢閱下列準則。
儲存陣列的內嵌RBAC(角色型存取控制)功能包括下列角色:
-
儲存設備管理-對儲存物件(例如磁碟區和磁碟集區)的完整讀寫存取權、但無法存取安全性組態。
-
安全管理:存取存取管理、憑證管理、稽核記錄管理中的安全組態、以及開啟或關閉舊版管理介面(符號)的功能。
-
支援admin:存取儲存陣列上的所有硬體資源、故障資料、MEL事件及控制器韌體升級。無法存取儲存物件或安全性組態。
-
監控-對所有儲存物件的唯讀存取、但無法存取安全性組態。
目錄服務
如果您使用的是LDAP(輕量型目錄存取傳輸協定)伺服器和目錄服務、請確定:
-
系統管理員已在目錄服務中定義使用者群組。
-
您知道LDAP使用者群組的群組網域名稱。支援規則運算式。如果這些特殊的規則運算式字元不是規則運算式模式的一部分、則必須以反斜槓(`\)轉義:
\.[]{}()<>*+-=!?^$|
-
所有使用者(包括系統管理員)都必須具備「監控」角色。沒有監控角色的任何使用者、System Manager將無法正常運作。
SAML
如果您使用儲存陣列內嵌的安全聲明標記語言(SAML)功能、請確定:
-
身分識別供應商(IDP)管理員已在IDP系統中設定使用者屬性和群組成員資格。
-
您知道群組成員名稱。
-
您知道要對應群組的屬性值。支援規則運算式。如果這些特殊的規則運算式字元不是規則運算式模式的一部分、則必須以反斜槓(`\)轉義:
\.[]{}()<>*+-=!?^$|
-
所有使用者(包括系統管理員)都必須具備「監控」角色。沒有監控角色的任何使用者、System Manager將無法正常運作。
哪些外部管理工具可能會受此變更影響?
當您在 SANtricity 系統管理員中進行某些變更(例如切換管理介面或使用 SAML 進行驗證方法)時,可能會限制某些外部工具和功能的使用。
管理介面
直接與舊版管理介面(符號)通訊的工具(例如SANtricity 、功能完善的SESSMI-S Provider或OnCommand Insight 功能完善的OCI(OCI))、除非已啟用「舊版管理介面」設定、否則無法運作。此外、如果停用此設定、則無法使用舊版CLI命令或執行鏡射作業。
如需詳細資訊、請聯絡技術支援部門。
SAML驗證
啟用SAML時、下列用戶端無法存取儲存陣列服務和資源:
-
企業管理所需時間(EMW)
-
命令列介面(CLI)
-
軟體開發人員套件(SDK)用戶端
-
頻內用戶端
-
HTTP基本驗證REST API用戶端
-
使用標準REST API端點登入
如需詳細資訊、請聯絡技術支援部門。
在設定及啟用SAML之前、我需要知道哪些資訊?
在設定及啟用安全性聲明標記語言(SAML)功能以進行驗證之前、請確定您符合下列需求、並瞭解SAML限制。
需求
開始之前、請確定:
-
您的網路中已設定身分識別供應商(IDP)。IDP是一種外部系統、用於向使用者要求認證、並判斷使用者是否已成功驗證。您的安全團隊負責維護IDP。
-
IDP管理員已在IDP系統中設定使用者屬性和群組。
-
IDP管理員已確保IDP支援在驗證時傳回名稱ID的功能。
-
系統管理員已確保IDP伺服器與控制器時鐘同步(透過NTP伺服器或調整控制器時鐘設定)。
-
IDP中繼資料檔案會從IDP系統下載、並可在本機系統上使用、以供存取System Manager。
-
您知道儲存陣列中每個控制器的IP位址或網域名稱。
限制
除了上述要求之外、請務必瞭解下列限制:
-
一旦啟用SAML、您就無法透過使用者介面停用SAML、也無法編輯IDP設定。如果您需要停用或編輯SAML組態、請聯絡技術支援部門以取得協助。建議您在最終組態步驟中啟用SAML之前先測試SSO登入。(系統也會在啟用SAML之前執行SSO登入測試。)
-
如果您日後停用SAML、系統會自動還原先前的組態(本機使用者角色和/或目錄服務)。
-
如果目錄服務目前設定為使用者驗證、則SAML會覆寫該組態。
-
設定SAML時、下列用戶端無法存取儲存陣列資源:
-
企業管理所需時間(EMW)
-
命令列介面(CLI)
-
軟體開發人員套件(SDK)用戶端
-
頻內用戶端
-
HTTP基本驗證REST API用戶端
-
使用標準REST API端點登入
-
稽核記錄中記錄了哪些類型的事件?
稽核日誌可記錄修改事件、或同時記錄修改和唯讀事件。
視原則設定而定、會顯示下列類型的事件:
-
修改事件:系統管理程式中涉及系統變更(例如資源配置儲存設備)的使用者動作。
-
修改和唯讀事件:涉及系統變更的使用者動作、以及涉及檢視或下載資訊的事件、例如檢視磁碟區指派。
設定syslog伺服器之前、我需要知道什麼?
您可以將稽核記錄歸檔至外部syslog伺服器。
在設定syslog伺服器之前、請記住下列準則。
-
請確定您知道伺服器位址、傳輸協定和連接埠號碼。伺服器位址可以是完整網域名稱、IPv4位址或IPv6位址。
-
如果您的伺服器使用安全傳輸協定(例如TLS)、則您的本機系統必須具備憑證授權單位(CA)憑證。CA憑證可識別網站擁有者、以確保伺服器與用戶端之間的安全連線。
-
設定完成後、所有新的稽核記錄都會傳送到syslog伺服器。不會傳輸先前的記錄。
-
覆寫原則設定(可從*檢視/編輯設定*取得)不會影響使用syslog伺服器組態來管理記錄的方式。
-
稽核記錄遵循RFC 5424訊息格式。
系統記錄伺服器不再接收稽核記錄。我該怎麼辦?
如果您設定的syslog伺服器採用TLS傳輸協定、則伺服器在憑證因任何原因而失效時、將無法接收訊息。稽核記錄會張貼有關無效憑證的錯誤訊息。
若要解決此問題、您必須先修正syslog伺服器的憑證。一旦有效的憑證鏈結就位、請前往功能表:「Settings[Audit Log(設定稽核記錄)> Configure Syslog Servers(設定Syslog伺服器)> Test All(全部測試)」。