SAN ボリューム・コントローラー・コンソールの「ユーザーの作成」パネルを使用して、クラスターのローカル・ユーザーまたはリモート・ユーザーのいずれかを作成します。
概要
クラスターにアクセスする 2 つのタイプのユーザーが作成できます。
これらのタイプは、そのユーザーのクラスターに対する認証方法をベースにしています。
ローカル・ユーザーは、パスワード、セキュア・シェル (SSH) キーのどちらか、または両方を提供する必要があります。ローカル・ユーザーは、SAN ボリューム・コントローラー・クラスター上に配置された認証方式を介して認証されます。
ローカル・ユーザーが SAN ボリューム・コントローラー・コンソールにアクセスする必要がある場合は、そのユーザーにはパスワードが必要です。
ユーザーがコマンド行インターフェースにアクセスする必要がある場合は、有効な SSH 鍵ファイルが必要です。ユーザーが両方のインターフェースで作業する場合は、パスワードと SSH 鍵の両方が必要です。
ローカル・ユーザーは、クラスターで定義されているユーザー・グループのメンバーでなければなりません。ユーザー・グループは、そのグループ内のユーザーにクラスター上の特定の操作を実行する権限を与える役割を定義します。
リモート・ユーザーは、通常、IBM® Tivoli® Storage Productivity Center などのような SAN 管理アプリケーションにより提供されるリモート・サービスで認証されます。
リモート・ユーザーは、SAN ボリューム・コントローラー・コンソールにアクセスするためにローカル資格情報を必要としません。
リモート・ユーザーのグループは、リモート認証サービスによって定義されます。
リモート・ユーザーがコマンド行インターフェースを使用する必要がある場合は、パスワードと SSH 鍵の両方が必要です。
リモート認証サービスが失敗すると、リモート・ユーザーは SAN ボリューム・コントローラー・コンソールまたはコマンド行インターフェースにアクセスできません。
この状態では、セキュリティー管理者の役割をもつローカル・ユーザーが、リモート・ユーザーを適切なユーザー・グループに追加することによりリモート・ユーザーからローカル・ユーザーに変更しなければなりません。
SAN ボリューム・コントローラー・アプリケーションにログインすると、リモート・ユーザーはデフォルトで SAN ボリューム・コントローラー CLI およびコンソールへのアクセスが認可されます。
フィールド
次のフィールドを更新できます。
- ユーザー名
- 新規ユーザーの名前を入力します。このユーザー名の先頭または末尾は、ブランク文字にできません。ユーザー名は、1 から 256 個の印刷可能 ASCII 文字の任意のストリングで構成されます。
このフィールドは必須です。
- パスワード
- ユーザーのパスワードを入力します。パスワードの始めまたは終わりにブランク文字は使用できません。
パスワードは、6 から 64 個の印刷可能 ASCII 文字の任意のストリングで構成されます。
- パスワードの再入力
- ユーザーのパスワードを再入力します。
- 認証タイプ
- ユーザーの認証タイプを選択します。
以下の値が考えられます。
- リモート
- ユーザーがリモート・サービスによってクラスターに認証される場合は、このオプションを選択します。
注: このオプションを選択すると、ユーザー・グループ・テーブルは使用不可になります。
- ローカル
- ユーザーが SAN ボリューム・コントローラー・クラスターによって認証される場合は、このオプションを選択します。
これはデフォルト設定です。
- ユーザー・グループ
- ユーザーを所属させたいユーザー・グループを選択します。ユーザー・グループを使用して、グループへの認証済みユーザーをそのアクセス・レベルおよび役割に基づいて管理することができます。
役割によって、グループ内のユーザーのクラスター機能へのアクセス権が決定されます。
ローカルで認証されたユーザーは、単一グループにのみ属することができます。
以下の属性がテーブルに表示されます。
- 選択
- 新規ユーザーのユーザー・グループを指定します。
- 名前
- ユーザー・グループの名前を表示します。
- 役割
- グループ内のすべてのユーザーに適用される役割を表示します。
以下の値が考えられます。
- モニター
- モニターの役割をもつユーザーは、SAN ボリューム・コントローラー・コンソールで使用可能なすべての表示操作にアクセスできます。
このユーザーは、クラスターまたはクラスターが管理するリソースの状態を変更するいかなる操作もできません。
このユーザーは、すべての情報関連パネルおよびコマンドへのアクセス、構成データのバックアップ、該当パスワードの変更、コマンドの finderr、dumperrlog、dumpinternallog、 ping、および chcurrentuser の発行が可能です。
- コピー・オペレーター
- コピー・オペレーターの役割をもつユーザーは、すべての既存の FlashCopy、メトロ・ミラー、およびグローバル・ミラー関係の管理ができます。
この役割をもつユーザーは、FlashCopy マッピング、FlashCopy 整合性グループ、メトロ・ミラーまたはグローバル・ミラー関係、およびメトロ・ミラーおよびグローバル・ミラー整合性グループの作成および削除もできます。
さらに追加して、このユーザーはモニター役割で使用可能なすべての機能にアクセスできます。
- サービス
- サービスの役割をもつユーザーは、クラスター表示パネルの表示、SAN ボリューム・コントローラー・コンソールの起動、進行表示パネルを使用してのクラスター上の処置の進行の表示、ディスク・ディスカバリー処理の開始、およびディスクのディスカバーおよび組み込みができます。
このユーザーは次のコマンドにアクセスできます。applysoftware、setlocale、addnode、rmnode、cherrstate、setevent、
writesernum、detectmdisk、および includemdisk。この役割のユーザーは、モニター役割で使用可能なすべての機能にアクセスできます。
- 管理者
- 管理者の役割をもつユーザーは、SAN ボリューム・コントローラー・コンソールのすべての機能にアクセスでき、すべてのコマンド行インターフェース (CLI) コマンド (ユーザー、ユーザー・グループ、および認証の管理に関するものを除く) が発行できます。
- セキュリティー管理者
- セキュリティー管理者の役割をもつユーザーは、SAN ボリューム・コントローラー・コンソールのすべての機能にアクセスでき、すべての CLI コマンドが発行できます。
この役割のユーザーは、ユーザーおよびユーザー・グループの管理、およびユーザー認証の管理も行うことができます。
- メンバー
- ユーザー・グループ内のユーザー数を表示します。
- リモート可視性
- このユーザー・グループがリモート認証中に使用できるかを示します。
リモート認証の構成の一部として、管理者はユーザー・グループをクラスターに作成し、リモート認証サービスによって提供された許可とマッチングさせることができます。
リモート認証サービスで定義されたユーザーの各グループについて、対応する SAN ボリューム・コントローラー・ユーザー・グループを、同じ名前でリモート可視性オプションを有効にして作成することができます。
例えば、sysadmins と呼ばれるリモート認証サービスにユーザーのグループが存在する場合、sysadmins と呼ばれる対応するグループが SAN ボリューム・コントローラー・クラスター上に管理者役割を持ち、リモート可視性オプションを有効にして作成される必要があります。
SAN ボリューム・コントローラー・ユーザー・グループにマッチングするユーザー・グループがリモート認証サービスにない場合は、ユーザーはクラスターへのアクセスが許可されません。
以下の
値が考えられます。
- はい
- このユーザー・グループがリモート認証中に使用できることを示します。
- いいえ
- このユーザー・グループがリモート認証中に使用できないことを示します。
- SSH 公開鍵ファイル
- ユーザーに関連付けされた SSH 鍵ファイルを入力します。
「参照」をクリックして、ファイルを選択します。このユーザーがコマンド行インターフェースを使用してクラスターを管理することを計画している場合、SSH 鍵が必要です。
アクション
以下のアクションが選択可能です。
- OK
- このボタンをクリックすると、指定した値に基づく新規ユーザーを作成します。
- キャンセル
- 新規ユーザーを作成せずにこのパネルを終了する場合は、このボタンをクリックします。