ユーザー・グループの作成

SAN ボリューム・コントローラー・クラスターのユーザーを 役割別に編成するユーザー・グループを作成できます。 役割によって、さまざまなクラスター機能に対するアクセス権限が定義されます。管理者は、役割ベースのユーザー・グループを作成することができ、 グループに追加されるユーザーはすべて、そのグループに割り当てられている役割を担います。 ユーザー・グループによって、クラスターへのユーザー・アクセスの管理が単純化されます。

始める前に

ユーザー・グループを作成、削除、または変更するには、 セキュリティー管理者の役割を持っていなければなりません。

このタスクについて

役割は、クラスター上のローカル・ユーザーおよびリモート・ユーザーの両方に適用され、 ユーザーが所属するユーザー・グループをベースにしています。 ローカル・ユーザーは、単一グループにしか所属できません。したがって、ローカル・ユーザーの役割は、 そのユーザーが所属する単一グループによって定義されます。 リモート・ユーザーは 1 つ以上のグループに所属できます。したがって、リモート・ユーザーの役割は、 そのリモート・ユーザーが所属するグループに従って割り当てられます。

この作業は、SAN ボリューム・コントローラー・コンソールを既に起動済みであることを前提としています。 ユーザー・グループを作成するには、以下のステップを実行します。

手順

  1. ポートフォリオで「認証の管理」 > 「ユーザー・グループ」をクリックする。「ユーザー・グループの表示」パネルが表示されます。
  2. タスク・リストから「ユーザー・グループの作成」を選択して、「実行」をクリックする。 「ユーザー・グループの作成」パネルが表示されます。
  3. ユーザー・グループの名前を入力する。
  4. ユーザーがこのユーザー・グループに追加されるときにすべてのユーザーが採用する役割を選択する。 以下の役割を選択できます。
    モニター
    ユーザーに、SAN ボリューム・コントローラー・コンソールで使用可能な すべての表示アクションにアクセスさせたい場合、この役割を選択します。 このユーザーは、クラスターまたはクラスターが管理するリソースの状態を変更するいかなる操作もできません。 ユーザーは、すべての情報関連パネルおよびコマンドへのアクセス、 構成データのバックアップ、パスワードの変更、および、次のコマンド、 すなわち、finderrdumperrlogdumpinterallog、 および chcurrentuser の発行を行うことができます。
    コピー・オペレーター
    ユーザーにすべての既存の FlashCopy® 関係、メトロ・ミラー関係、 およびグローバル・ミラー関係を管理させたい場合は、この役割を選択します。また、そのようなユーザーは、 FlashCopy マッピング、FlashCopy 整合性グループ、 メトロ・ミラー関係またはグローバル・ミラー関係、および、 メトロ・ミラー整合性グループおよびグローバル・ミラー整合性グループの作成と削除を行うことができます。 さらに、モニターの役割で使用可能なすべての機能にアクセスできます。
    サービス
    ユーザーに、「クラスターの表示」パネルの表示、 SAN ボリューム・コントローラー・コンソールの起動、 クラスターに対するアクションの進行状況の、「進行状況の表示」パネルの使用による表示、ディスク・ディスカバリー処理の開始、 および、ディスクのディスカバーと組み込みを行わせたい場合、この役割を選択します。 このユーザーは次のコマンドにアクセスできます。applysoftwaresetlocaleaddnodermnodecherrstateseteventwritesernumdetectmdisk、および includemdisk。この役割のユーザーは、モニター役割で使用可能なすべての機能にアクセスできます。
    管理者
    ユーザーに、SAN ボリューム・コントローラー・コンソールですべての機能にアクセスさせ、 すべてのコマンド行インターフェース (CLI) ・コマンド (ユーザー、ユーザー・グループ、 および認証の管理にかかわるコマンドを除く) を発行させたい場合、この役割を選択します。
    セキュリティー管理者
    ユーザーに SAN ボリューム・コントローラー・コンソールですべての機能にアクセスさせ、 さらに、任意の CLI コマンドを発行させたい場合、この役割を選択します。この役割のユーザーは、ユーザーおよびユーザー・グループの管理、およびユーザー認証の管理も行うことができます。
  5. ユーザー・グループに、リモート認証サービス上のユーザー・グループ内に定義されているアクセス権限に一致させたい場合、 「このユーザー・グループをリモート認証サービスから見えるようにする」を選択する。 リモート認証サービス上のユーザーの各グループごとに、 同じ名前を持つ SAN ボリューム・コントローラーのユーザー・グループが 1 つなければならず、 さらに、このユーザー・グループは、リモート認証サービスに見えていなければなりません。 セキュリティー管理者は、 リモート認証サービス上のユーザー・グループのアクセス権限に一致できるユーザー・グループを制御できます。 SAN ボリューム・コントローラー・コンソールは、リモート・ユーザーを認証する場合、 そのユーザーが所属しているグループのリストをリモート認証サービスに要求します。 次に、システムは、SAN ボリューム・コントローラー上に同じ名前の既存のユーザー・グループがあるか、 また、そのユーザー・グループがリモート可視性を許可しているかに基づいて、リモート・ユーザーに役割を割り当てます。 これらの基準が満たされると、SAN ボリューム・コントローラーは、 ユーザー・グループの役割の指定に基づいて役割を割り当てます。ユーザーが、複数の役割に一致する複数のグループのメンバーである場合、 そのユーザーに最も強力な役割が与えられます。 ユーザーが、コピー・オペレーターとサービス役割の組み合わせを持っている場合、 SAN ボリューム・コントローラーは、両方の役割をユーザーに割り当てます。
  6. 「OK」をクリックする。
親トピック: ユーザー認証の構成
ライブラリー | サポート | ご利用条件 | フィードバック
(C) Copyright IBM Corporation 2003, 2010. All Rights Reserved.