この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
ロールベース アクセス コントロール(RBAC)は、ユーザのロールとロケールに基づいてユーザのシステム アクセスを制限または許可する方法です。 ロールによってシステム内でのユーザの権限が定義され、ロケールによってユーザがアクセス可能な組織(ドメイン)が定義されます。 権限がユーザに直接割り当てられることはないため、個々のユーザ権限の管理では、適切なロールとロケールを割り当てることが主な作業になります。
必要なシステム リソースへの書き込みアクセス権限がユーザに与えられるのは、割り当てられたロールによりアクセス権限が与えられ、割り当てられたロケールによりアクセスが許可されている場合に限ります。 たとえば、エンジニアリング組織内のサーバ管理者ロールを持つユーザは、エンジニアリング組織内のサーバ設定を更新できますが、そのユーザに割り当てられたロケールに財務組織が含まれていなければ、財務組織内のサーバ設定を更新できません。
ユーザ アカウントは、システムにアクセスするために使用されます。 最大で 48 のユーザ アカウントを各 Cisco UCS Manager ドメインで設定できます。 各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
ユーザ アカウントは、SSH 公開キーを付けて設定できます。 公開キーは、OpenSSH と SECSH のいずれかの形式で設定できます。
各 Cisco UCS ドメインに admin アカウントがあります。 管理者アカウントはデフォルト ユーザ アカウントで、変更も削除もできません。 このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。 admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
admin アカウントは常にアクティブで、有効期限がありません。 admin アカウントを非アクティブに設定することはできません。
ローカル認証されたユーザのアカウントは、ファブリック インターコネクトによって直接認証され、admin または aaa 権限を持つ人なら誰でもイネーブルまたはディセーブルにすることができます。 ローカル ユーザ アカウントがディセーブルになっている場合、ユーザはログインできません。 ディセーブルにされたローカル ユーザ アカウントの設定の詳細はデータベースによって削除されません。 ディセーブルにされたローカル ユーザ アカウントを再度イネーブルにすると、そのアカウントはユーザ名とパスワードを含む既存の設定で再びアクティブになります。
リモート認証されたユーザのアカウントは、LDAP、RADIUS、または TACACS+ で認証されたユーザ アカウントです。
ユーザが、ローカル ユーザ アカウントとリモート ユーザのアカウントを同時に保持すると、ローカル ユーザ アカウントに定義されているロールがリモート ユーザ アカウントに保持されているロールを上書きします。
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。 有効期限の時間になると、ユーザ アカウントはディセーブルになります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
(注) |
有効期限の日付をユーザ アカウントに設定した後で、期限切れにならないようにそのアカウントを再設定することはできません。 ただし、使用可能な最新の有効期限日でそのアカウントを設定することはできます。 |
ユーザ名は Cisco UCS Manager に対するログイン ID としても使用されます。 Cisco UCS のユーザ アカウントにログイン ID を割り当てるときは、次の注意事項および制約事項を考慮してください。
次の語はローカル ユーザ アカウントを Cisco UCS で作成する場合に使用することはできません。
ローカル認証されたユーザの各アカウントにパスワードが必要です。 admin または aaa 権限を持つユーザは、ユーザ パスワードのパスワード強度チェックを実行するように、Cisco UCS Manager を設定できます。 パスワード強度チェックをイネーブルにすると、各ユーザには強力なパスワードが必要です。
シスコでは、各ユーザが強力なパスワードを持つことを推奨します。 ローカル認証されたユーザにパスワード強度チェックをイネーブルにした場合、Cisco UCS Manager は、次の要件を満たさないすべてのパスワードを拒否します。
Web セッション制限が、特定のユーザ アカウントが常時アクセスを許可される Web セッション(GUI および XML の両方)の数を制限するために Cisco UCS Manager によって使用されます。
デフォルトでは、Cisco UCS Manager により許可される同時 Web セッションの数は 32 に設定されます。ただし、この値はシステムの最大値 256 まで設定可能です。
ユーザ ロールは、ユーザに許可された操作を定義する 1 つ以上の権限を含みます。 1 つ以上のロールを各ユーザに割り当てることができます。 複数のロールを持つユーザは、すべての割り当てロールを組み合わせた権限を持ちます。 たとえば、Role1 にストレージ関連の権限があり、Role2 にサーバ関連の権限がある場合、Role1 と Role2 を持つユーザはストレージ関連およびサーバ関連の両方の権限を持ちます。
Cisco UCS ドメインにはデフォルト ユーザ ロールを含めて最大 48 のユーザ ロールを含めることができます。 最初の 48 より後で設定されたユーザ ロールはすべて受け入れられますが、エラーが生成されて非アクティブになります。
すべてのロールには、Cisco UCS ドメイン内のすべての設定に対する読み取りアクセス権限が含まれています。 読み取り専用ロールを持つユーザは、システム状態を変更できません。
ロールは、作成、変更(新しい権限の追加や既存の権限の削除)、および削除できます。 ロールを変更すると、そのロールを持つすべてのユーザに新しい権限が適用されます。 権限の割り当ては、デフォルト ロールに定義されている権限に限定されません。 つまり、カスタムの権限の組み合わせを使用して、独自のロールを作成できます。 たとえば、デフォルトのサーバ アドミニストレータ ロールとストレージ アドミニストレータ ロールの持つ権限の組み合わせは異なっていますが、両方のロールの権限を組み合わせた新しい 1 つのサーバおよびストレージ アドミニストレータ ロールを作成できます。
ロールがユーザへの割り当て後に削除されると、それらのユーザ アカウントからも削除されます。
AAA サーバ(RADIUS または TACACS+)上のユーザ プロファイルは、そのユーザに与える権限に対応したロールを追加するように変更する必要があります。 属性はロール情報を保存するために使用されます。 AAA サーバでは、要求とともにこの属性が返され、それを解析してロールが得られます。 LDAP サーバでは、ユーザ プロファイル属性内のロールが返されます。
(注) |
ローカル ユーザ アカウントおよびリモート ユーザ アカウントが同じユーザ名である場合は、リモート ユーザに割り当てられたすべてのロールはローカル ユーザに割り当てられているロールによって上書きされます。 |
システムには、次のデフォルトのユーザ ロールが用意されています。
ユーザ、ロール、および AAA 設定に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
システム全体に対する完全な読み取りと書き込みのアクセス権。 デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
power-mgmt 権限による電源管理操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
ファブリック インターコネクト インフラストラクチャとネットワーク セキュリティ操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
システムのログ(syslog サーバを含む)と障害に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
サービス プロファイルのほとんどの側面に対する読み取りと書き込みのアクセス権。 ただし、ユーザは vNIC または vHBA の作成、変更、削除ができません。
物理サーバ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
論理サーバ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
サーバ セキュリティ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
ストレージ操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
次の語はカスタム ロールを Cisco UCS で作成するときに使用することはできません。
ユーザ ロールを割り当てられたユーザは、権限により、特定のシステム リソースへアクセスしたり、特定のタスクを実行したりできるようになります。 次の表に、各権限と、その権限がデフォルトで与えられるユーザ ロールのリストを示します。
ヒント |
これらの権限とそれによってユーザが実行できるタスクに関する詳細情報は、「Privileges in Cisco UCS」に記載されており、次の URL からアクセスできます。http://www.cisco.com/en/US/products/ps10281/prod_technical_reference_list.html |
特権 |
説明 |
デフォルトのロール割り当て |
---|---|---|
aaa |
システム セキュリティおよび AAA |
AAA アドミニストレータ |
admin |
システム管理 |
アドミニストレータ |
ext-lan-config |
外部 LAN 設定 |
ネットワーク管理者 |
ext-lan-policy |
外部 LAN ポリシー |
ネットワーク管理者 |
ext-lan-qos |
外部 LAN QoS |
ネットワーク管理者 |
ext-lan-security |
外部 LAN セキュリティ |
ネットワーク管理者 |
ext-san-config |
外部 SAN 設定 |
ストレージ アドミニストレータ |
ext-san-policy |
外部 SAN ポリシー |
ストレージ アドミニストレータ |
ext-san-qos |
外部 SAN QoS |
ストレージ アドミニストレータ |
ext-san-security |
外部 SAN セキュリティ |
ストレージ アドミニストレータ |
fault |
アラームおよびアラーム ポリシー |
オペレーション |
operations |
ログおよび Smart Call Home |
オペレーション |
org-management |
組織管理 |
オペレーション |
pod-config |
ポッド設定 |
ネットワーク管理者 |
pod-policy |
ポッド ポリシー |
ネットワーク管理者 |
pod-qos |
ポッド QoS |
ネットワーク管理者 |
pod-security |
ポッド セキュリティ |
ネットワーク管理者 |
power-mgmt |
電源管理操作に対する読み取りと書き込みのアクセス権 |
ファシリティ マネージャ |
read-only |
読み取り専用アクセス権 読み取り専用は、権限として選択できません。この権限は、すべてのユーザ ロールに割り当てられます。 |
Read-Only |
server-equipment |
サーバ ハードウェア管理 |
サーバ機器アドミニストレータ |
server-maintenance |
サーバ メンテナンス |
サーバ機器アドミニストレータ |
server-policy |
サーバ ポリシー |
サーバ機器アドミニストレータ |
server-security |
サーバ セキュリティ |
サーバ セキュリティ アドミニストレータ |
service-profile-compute |
サービス プロファイル計算 |
サーバ計算アドミニストレータ |
service-profile-config |
サービス プロファイル設定 |
サーバ プロファイル アドミニストレータ |
service-profile-config-policy |
サービス プロファイル設定ポリシー |
サーバ プロファイル アドミニストレータ |
service-profile-ext-access |
サービス プロファイル エンド ポイント アクセス |
サーバ プロファイル アドミニストレータ |
service-profile-network |
サービス プロファイル ネットワーク |
ネットワーク管理者 |
service-profile-network-policy |
サービス プロファイル ネットワーク ポリシー |
ネットワーク管理者 |
service-profile-qos |
サービス プロファイル QoS |
ネットワーク管理者 |
service-profile-qos-policy |
サービス プロファイル QoS ポリシー |
ネットワーク管理者 |
service-profile-security |
サービス プロファイル セキュリティ |
サーバ セキュリティ アドミニストレータ |
service-profile-security-policy |
サービス プロファイル セキュリティ ポリシー |
サーバ セキュリティ アドミニストレータ |
service-profile-server |
サービス プロファイル サーバ管理 |
サーバ プロファイル アドミニストレータ |
service-profile-server-oper |
サービス プロファイル コンシューマ |
サーバ プロファイル アドミニストレータ |
service-profile-server-policy |
サービス プロファイル プール ポリシー |
サーバ セキュリティ アドミニストレータ |
service-profile-storage |
サービス プロファイル ストレージ |
ストレージ アドミニストレータ |
service-profile-storage-policy |
サービス プロファイル ストレージ ポリシー |
ストレージ アドミニストレータ |
ユーザには、ロケールを 1 つ以上割り当てることができます。 各ロケールには、ユーザからのアクセスを許可する 1 つ以上の組織(ドメイン)を定義します。アクセスは、このロケールで指定された組織の範囲内に制限されます。 このルールの 1 つの例外として、組織が指定されていないロケールがあります。この場合、すべての組織内のシステム リソースに対して無制限のアクセスが可能になります。
Cisco UCS ドメインには最大 48 のユーザ ロケールを含めることができます。 最初の 48 より後で設定されたユーザ ロケールはすべて受け入れられますが、エラーが生成されて非アクティブになります。
admin または aaa 権限を持つユーザは、組織を他のユーザのロケールに割り当てることができます。 組織の割り当ては、それを行うユーザのロケール内の組織だけに制限されます。 たとえば、ロケールにエンジニアリング組織しか含まれていない場合、そのロケールを割り当てられたユーザは、他のユーザにエンジニアリング組織のみを割り当てることできます。
(注) |
次の権限を 1 つ以上持つユーザにロケールを割り当てることはできません。 |
組織は階層的に管理できます。 トップ レベルの組織に割り当てられたユーザは、自動的にその下にあるすべての組織にアクセスできます。 たとえば、エンジニアリング組織が、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織で構成されているとします。 ソフトウェア エンジニアリング組織のみを含むロケールでは、その組織内のシステム リソースにしかアクセスできません。一方、エンジニアリング組織が含まれるロケールでは、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織の両方のリソースにアクセスできます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Roles] ノードを展開します。 |
ステップ 4 | 権限を追加するロールを選択します。 |
ステップ 5 | [General] タブで、ロールに追加する権限に対応するチェックボックスをオンにします。 |
ステップ 6 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Roles] ノードを展開します。 |
ステップ 4 | 権限を削除するロールを選択します。 |
ステップ 5 | [General] タブで、ロールから削除する権限に対応するボックスをオフにします。 |
ステップ 6 | [Save Changes] をクリックします。 |
あるユーザ ロールを削除すると、Cisco UCS Manager により、そのロールは割り当て先のすべてのユーザ アカウントから削除されます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Roles] ノードを展開します。 |
ステップ 4 | 削除するロールを右クリックし、[Delete] を選択します。 |
ステップ 5 | [Delete] ダイアログボックスで、[Yes] をクリックします。 |
ロケールを作成するには、1 つ以上の組織が存在する必要があります。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Locales] を右クリックし、[Create a Locale] を選択します。 |
ステップ 4 |
[Create Locale] ページで、次の手順を実行します。
|
ステップ 5 | [Assign Organizations] ダイアログボックスで、次の手順を実行します。 |
ステップ 6 | [Finish] をクリックします。 |
ロケールを 1 つまたは複数のユーザ アカウントに追加します。 詳細については、ローカル認証されたユーザ アカウントに割り当てられたロケールの変更を参照してください。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Locales] ノードを展開し、組織を追加するロケールをクリックします。 |
ステップ 4 | [Work] ペインの [General] タブをクリックします。 |
ステップ 5 | [Organizations] 領域のテーブル アイコン バーで [+] をクリックします。 |
ステップ 6 | [Assign Organizations] ダイアログボックスで、次の手順を実行します。 |
ステップ 7 | [OK] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Locales] ノードを展開し、組織を削除するロケールをクリックします。 |
ステップ 4 | [Work] ペインの [General] タブをクリックします。 |
ステップ 5 | [Organizations] 領域で、ロケールから削除する組織を右クリックし、[Delete] を選択します。 |
ステップ 6 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Locales] ノードを展開します。 |
ステップ 4 | 削除するロケールを右クリックし、[Delete] を選択します。 |
ステップ 5 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
少なくとも、次のユーザを作成することを推奨します。
システムに次のいずれかがある場合は、該当するタスクを実行します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||||||||||||||||
ステップ 3 |
[User Services] を右クリックし、[Create User] を選択して [User Properties] ダイアログボックスを開きます。 [Locally Authenticated Users] を右クリックしてそのオプションにアクセスすることもできます。 |
||||||||||||||||||||||||||
ステップ 4 |
ユーザに関して要求される情報を使用して、次のフィールドに値を入力します。
|
||||||||||||||||||||||||||
ステップ 5 |
[Roles] 領域で 1 つ以上のボックスをオンにして、ユーザ アカウントにロールと権限を割り当てます。
|
||||||||||||||||||||||||||
ステップ 6 | (任意)システムに組織が含まれる場合、[Locales] 領域の 1 つ以上のチェックボックスをオンにして、適切なロケールをユーザに割り当てます。 | ||||||||||||||||||||||||||
ステップ 7 |
[SSH] 領域で、次のフィールドに値を入力します。
|
||||||||||||||||||||||||||
ステップ 8 | [OK] をクリックします。 |
パスワード強度のチェックを有効にするには、admin または aaa 権限を持つユーザである必要があります。 パスワード強度のチェックをイネーブルにすると、Cisco UCS Manager によって、ユーザは強力なパスワードのガイドラインを満たしていないパスワードを選択できなくなります。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Locally Authenticated Users] ノードをクリックします。 |
ステップ 4 | [Work] ペインで、[Properties] 領域の[Password Strength Check] チェックボックスをオンにします。 |
ステップ 5 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||
ステップ 3 | [Communication Services] タブをクリックします。 | ||||||
ステップ 4 |
[Web Session Limits] 領域で、次のフィールドに値を入力します。
|
||||||
ステップ 5 | [Save Changes] をクリックします。 |
(注) |
admin または aaa ロールを持つユーザにロケールを割り当てないでください。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | 修正するユーザ アカウントをクリックします。 |
ステップ 4 | [Work] ペインの [General] タブをクリックします。 |
ステップ 5 | [Locales] 領域で、次の手順を実行します。 |
ステップ 6 | [Save Changes] をクリックします。 |
ユーザ ロールと権限の変更は、ユーザが次にログインするまで有効になりません。 新しいロールをユーザ アカウントに追加するか、既存のロールをユーザ アカウントから削除するときにユーザがログインしていると、前のロールと権限を使用してアクティブなセッションが続行されます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | 修正するユーザ アカウントをクリックします。 |
ステップ 4 | [Work] ペインの [General] タブをクリックします。 |
ステップ 5 | [Roles] 領域で、次の手順を実行します。 |
ステップ 6 | [Save Changes] をクリックします。 |
ローカル ユーザ アカウントを有効または無効にするには、admin または aaa 権限を持つユーザである必要があります。
ローカル ユーザ アカウントを作成します。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | 有効にするユーザをクリックします。 |
ステップ 4 | [Work] ペインの [General] タブをクリックします。 |
ステップ 5 | [Account Status] フィールドで、[active] オプション ボタンをクリックします。 |
ステップ 6 | [Save Changes] をクリックします。 |
ローカル ユーザ アカウントを有効または無効にするには、admin または aaa 権限を持つユーザである必要があります。
(注) |
ディセーブルにされているアカウントのパスワードを Cisco UCS Manager GUI によって変更すると、ユーザはアカウントをイネーブルにしてアクティブにした後でこの変更されたパスワードを使用できません。 ユーザはアカウントがイネーブルにされアクティブになった後で、必要なパスワードをもう一度入力する必要があります。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | 無効にするユーザをクリックします。 |
ステップ 4 | [Work] ペインの [General] タブをクリックします。 |
ステップ 5 |
[Account Status] フィールドで、[inactive] オプション ボタンをクリックします。 admin ユーザ アカウントは常にアクティブに設定されます。 これは変更できません。 |
ステップ 6 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | パスワード履歴をクリアするユーザをクリックします。 |
ステップ 4 | [Actions] 領域で、[Clear Password History] をクリックします。 |
ステップ 5 | Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Locally Authenticated Users] ノードを展開します。 |
ステップ 4 | 削除するユーザ アカウントを右クリックし、[Delete] を選択します。 |
ステップ 5 | [Delete] ダイアログボックスで、[Yes] をクリックします。 |
パスワード プロファイルには、Cisco UCS Manager のすべてのローカル認証されたユーザのパスワード履歴およびパスワード変更間隔のプロパティが含まれます。 それぞれのローカル認証されたユーザに異なるパスワード プロファイルを指定することはできません。
(注) |
パスワード プロファイル プロパティを変更するには、admin または AAA 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは admin または AAA 権限を持つユーザには適用されません。 |
パスワード履歴カウントにより、ローカル認証されたユーザが同じパスワードを何度も再利用することを防止できます。 このプロパティが設定されている場合、Cisco UCS Manager は、ローカル認証されたユーザが以前に使用したパスワードを最大 15 パスワードまで保存します。 パスワードは、履歴カウントしきい値に達した場合に最も古いパスワードだけが再使用できるように、最新パスワードから最初に新しい順に保存されます。
ユーザは、パスワード履歴に設定されている数のパスワードを作成して使用しなければ、パスワードを再利用できるようになりません。 たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは、9 番めのパスワードが期限切れになってからでなければ、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。 この値は、履歴カウントをディセーブルにし、ユーザがいつでも前のパスワードを使用できるようになります。
必要に応じて、ローカル認証されたユーザに対してパスワード履歴カウントをクリアし、以前のパスワードの再利用をイネーブルにできます。
パスワード変更間隔を使用すると、ローカル認証されたユーザが一定の時間内に行うことができるパスワード変更の回数を制限できます。 次の表に、パスワード変更間隔の 2 つの設定オプションについての説明を示します。
間隔の設定 | 説明 | 例 |
---|---|---|
許可するパスワード変更なし |
このオプションは、ローカル認証されたユーザのパスワードが、パスワード変更後の指定時間内に変更されることを許可しません。 変更なし間隔に指定できる時間の範囲は、1 ~ 745 時間です。 デフォルトでは、変更なし間隔は 24 時間です。 |
たとえば、ローカル認証されたユーザが自分のパスワードを変更してから 48 時間以内に、パスワードが変更されないようにするには、次のように設定します。 |
変更間隔内でパスワード変更を許可 |
このオプションはローカル認証されたユーザのパスワードを定義済み間隔内に変更できる最大回数を指定します。 変更間隔は 1 ~ 745 時間の範囲で、パスワード変更の最大回数は 0 ~ 10 の範囲で指定できます。 デフォルトでは、ローカル認証されたユーザは、48 時間間隔内で最大 2 回のパスワード変更を許可されます。 |
たとえば、ローカル認証されたユーザが自分のパスワードを変更してから 24 時間以内に、最大 1 回の変更を許可するには、次のように設定します。 |
パスワード プロファイル プロパティを変更するには、admin または AAA 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは admin または AAA 権限を持つユーザには適用されません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Locally Authenticated Users] ノードをクリックします。 |
ステップ 4 |
[Password Profile] 領域で、次の手順を実行します。
|
ステップ 5 | [Save Changes] をクリックします。 |
パスワード プロファイル プロパティを変更するには、admin または AAA 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは admin または AAA 権限を持つユーザには適用されません。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Locally Authenticated Users] ノードをクリックします。 |
ステップ 4 |
[Password Profile] 領域で、次の手順を実行します。
|
ステップ 5 | [Save Changes] をクリックします。 |
パスワード プロファイル プロパティを変更するには、admin または AAA 権限を持っている必要があります。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 |
ステップ 2 | [Admin] タブで、 を展開します。 |
ステップ 3 | [Locally Authenticated Users] ノードをクリックします。 |
ステップ 4 |
[Password Profile] 領域で、[History Count] フィールドに、ローカル認証されたユーザが以前に使用したパスワードを再使用できるようになる前に作成する必要がある一意のパスワードの数を入力します。 この値は 0 ~ 15 の間で、自由に設定できます。 デフォルトで、[History Count] フィールドは 0 に設定されます。これによって履歴数がディセーブルになり、ユーザは以前に使用したパスワードをいつでも使用できるようになります。 |
ステップ 5 | [Save Changes] をクリックします。 |
CLI または GUI のいずれでログインしているかに関係なく、ローカル認証されたユーザとリモート認証されたユーザの両方について、Cisco UCS Manager セッションをモニタできます。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||||||||
ステップ 2 | [Admin] タブで、 を展開します。 | ||||||||||||||||||||
ステップ 3 | [User Services] ノードをクリックします。 | ||||||||||||||||||||
ステップ 4 |
[Work] ペインで [Sessions] タブをクリックします。 このタブには、ユーザ セッションに関する次の詳細情報が表示されます。
|
目次
- ロールベース アクセス コントロールの設定
- ロールベース アクセス コントロール
- Cisco UCS のユーザ アカウント
- Cisco UCS ユーザ名に関する注意事項
- 予約語:ローカル認証されたユーザのアカウント
- Cisco UCS パスワードの注意事項
- ユーザ アカウントの Web セッション制限
- ユーザ ロール
- デフォルトのユーザ ロール
- 予約語:ユーザ ロール
- 権限
- ユーザ ロケール
- ユーザ ロールの設定
- ユーザ ロールの作成
- ユーザ ロールへの権限の追加
- ユーザ ロールからの権限の削除
- ユーザ ロールの削除
- ロケールの設定
- ロケールの作成
- ロケールへの組織の割り当て
- ロケールからの組織の削除
- ロケールの削除
- ローカル認証されたユーザ アカウントの設定
- ユーザ アカウントの作成
- ローカル認証されたユーザのパスワード強度チェックのイネーブル化
- Cisco UCS Manager GUI ユーザの Web セッション制限の設定
- ローカル認証されたユーザ アカウントに割り当てられたロケールの変更
- ローカル認証されたユーザ アカウントに割り当てられたロールの変更
- ユーザ アカウントの有効化
- ユーザ アカウントの無効化
- ローカル認証されたユーザのパスワード履歴のクリア
- ローカルに認証されたユーザ アカウントの削除
- ローカル認証されたユーザのパスワード プロファイル
- 変更間隔のパスワード変更の最大回数の設定
- パスワードの変更なし間隔の設定
- パスワード履歴カウントの設定
- ユーザ セッションのモニタリング
この章の内容は、次のとおりです。
- ロールベース アクセス コントロール
- Cisco UCS のユーザ アカウント
- ユーザ ロール
- ユーザ ロケール
- ユーザ ロールの設定
- ロケールの設定
- ローカル認証されたユーザ アカウントの設定
- ローカル認証されたユーザのパスワード プロファイル
- ユーザ セッションのモニタリング
ロールベース アクセス コントロール
ロールベース アクセス コントロール(RBAC)は、ユーザのロールとロケールに基づいてユーザのシステム アクセスを制限または許可する方法です。 ロールによってシステム内でのユーザの権限が定義され、ロケールによってユーザがアクセス可能な組織(ドメイン)が定義されます。 権限がユーザに直接割り当てられることはないため、個々のユーザ権限の管理では、適切なロールとロケールを割り当てることが主な作業になります。
必要なシステム リソースへの書き込みアクセス権限がユーザに与えられるのは、割り当てられたロールによりアクセス権限が与えられ、割り当てられたロケールによりアクセスが許可されている場合に限ります。 たとえば、エンジニアリング組織内のサーバ管理者ロールを持つユーザは、エンジニアリング組織内のサーバ設定を更新できますが、そのユーザに割り当てられたロケールに財務組織が含まれていなければ、財務組織内のサーバ設定を更新できません。
Cisco UCS のユーザ アカウント
ユーザ アカウントは、システムにアクセスするために使用されます。 最大で 48 のユーザ アカウントを各 Cisco UCS Manager ドメインで設定できます。 各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
ユーザ アカウントは、SSH 公開キーを付けて設定できます。 公開キーは、OpenSSH と SECSH のいずれかの形式で設定できます。
Admin アカウント
各 Cisco UCS ドメインに admin アカウントがあります。 管理者アカウントはデフォルト ユーザ アカウントで、変更も削除もできません。 このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。 admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
admin アカウントは常にアクティブで、有効期限がありません。 admin アカウントを非アクティブに設定することはできません。
ローカル認証されたユーザのアカウント
ローカル認証されたユーザのアカウントは、ファブリック インターコネクトによって直接認証され、admin または aaa 権限を持つ人なら誰でもイネーブルまたはディセーブルにすることができます。 ローカル ユーザ アカウントがディセーブルになっている場合、ユーザはログインできません。 ディセーブルにされたローカル ユーザ アカウントの設定の詳細はデータベースによって削除されません。 ディセーブルにされたローカル ユーザ アカウントを再度イネーブルにすると、そのアカウントはユーザ名とパスワードを含む既存の設定で再びアクティブになります。
Cisco UCS ユーザ名に関する注意事項
ユーザ名は Cisco UCS Manager に対するログイン ID としても使用されます。 Cisco UCS のユーザ アカウントにログイン ID を割り当てるときは、次の注意事項および制約事項を考慮してください。
ユーザ ロール
ユーザ ロールは、ユーザに許可された操作を定義する 1 つ以上の権限を含みます。 1 つ以上のロールを各ユーザに割り当てることができます。 複数のロールを持つユーザは、すべての割り当てロールを組み合わせた権限を持ちます。 たとえば、Role1 にストレージ関連の権限があり、Role2 にサーバ関連の権限がある場合、Role1 と Role2 を持つユーザはストレージ関連およびサーバ関連の両方の権限を持ちます。
Cisco UCS ドメインにはデフォルト ユーザ ロールを含めて最大 48 のユーザ ロールを含めることができます。 最初の 48 より後で設定されたユーザ ロールはすべて受け入れられますが、エラーが生成されて非アクティブになります。
すべてのロールには、Cisco UCS ドメイン内のすべての設定に対する読み取りアクセス権限が含まれています。 読み取り専用ロールを持つユーザは、システム状態を変更できません。
ロールは、作成、変更(新しい権限の追加や既存の権限の削除)、および削除できます。 ロールを変更すると、そのロールを持つすべてのユーザに新しい権限が適用されます。 権限の割り当ては、デフォルト ロールに定義されている権限に限定されません。 つまり、カスタムの権限の組み合わせを使用して、独自のロールを作成できます。 たとえば、デフォルトのサーバ アドミニストレータ ロールとストレージ アドミニストレータ ロールの持つ権限の組み合わせは異なっていますが、両方のロールの権限を組み合わせた新しい 1 つのサーバおよびストレージ アドミニストレータ ロールを作成できます。
ロールがユーザへの割り当て後に削除されると、それらのユーザ アカウントからも削除されます。
AAA サーバ(RADIUS または TACACS+)上のユーザ プロファイルは、そのユーザに与える権限に対応したロールを追加するように変更する必要があります。 属性はロール情報を保存するために使用されます。 AAA サーバでは、要求とともにこの属性が返され、それを解析してロールが得られます。 LDAP サーバでは、ユーザ プロファイル属性内のロールが返されます。
(注)
ローカル ユーザ アカウントおよびリモート ユーザ アカウントが同じユーザ名である場合は、リモート ユーザに割り当てられたすべてのロールはローカル ユーザに割り当てられているロールによって上書きされます。
デフォルトのユーザ ロール
システムには、次のデフォルトのユーザ ロールが用意されています。
- AAA アドミニストレータ
ユーザ、ロール、および AAA 設定に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
- アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権。 デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
- ファシリティ マネージャ
power-mgmt 権限による電源管理操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
- ネットワーク管理者
ファブリック インターコネクト インフラストラクチャとネットワーク セキュリティ操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
- オペレーション
システムのログ(syslog サーバを含む)と障害に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
- Read-Only
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
- サーバ計算
サービス プロファイルのほとんどの側面に対する読み取りと書き込みのアクセス権。 ただし、ユーザは vNIC または vHBA の作成、変更、削除ができません。
- サーバ機器アドミニストレータ
物理サーバ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
- サーバ プロファイル アドミニストレータ
論理サーバ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
- サーバ セキュリティ アドミニストレータ
サーバ セキュリティ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
- ストレージ アドミニストレータ
ストレージ操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
権限
ユーザ ロールを割り当てられたユーザは、権限により、特定のシステム リソースへアクセスしたり、特定のタスクを実行したりできるようになります。 次の表に、各権限と、その権限がデフォルトで与えられるユーザ ロールのリストを示します。
ヒント
これらの権限とそれによってユーザが実行できるタスクに関する詳細情報は、「Privileges in Cisco UCS」に記載されており、次の URL からアクセスできます。http://www.cisco.com/en/US/products/ps10281/prod_technical_reference_list.html
表 1 ユーザの権限 特権
説明
デフォルトのロール割り当て
aaa
システム セキュリティおよび AAA
AAA アドミニストレータ
admin
システム管理
アドミニストレータ
ext-lan-config
外部 LAN 設定
ネットワーク管理者
ext-lan-policy
外部 LAN ポリシー
ネットワーク管理者
ext-lan-qos
外部 LAN QoS
ネットワーク管理者
ext-lan-security
外部 LAN セキュリティ
ネットワーク管理者
ext-san-config
外部 SAN 設定
ストレージ アドミニストレータ
ext-san-policy
外部 SAN ポリシー
ストレージ アドミニストレータ
ext-san-qos
外部 SAN QoS
ストレージ アドミニストレータ
ext-san-security
外部 SAN セキュリティ
ストレージ アドミニストレータ
fault
アラームおよびアラーム ポリシー
オペレーション
operations
ログおよび Smart Call Home
オペレーション
org-management
組織管理
オペレーション
pod-config
ポッド設定
ネットワーク管理者
pod-policy
ポッド ポリシー
ネットワーク管理者
pod-qos
ポッド QoS
ネットワーク管理者
pod-security
ポッド セキュリティ
ネットワーク管理者
power-mgmt
電源管理操作に対する読み取りと書き込みのアクセス権
ファシリティ マネージャ
read-only
読み取り専用アクセス権
読み取り専用は、権限として選択できません。この権限は、すべてのユーザ ロールに割り当てられます。
Read-Only
server-equipment
サーバ ハードウェア管理
サーバ機器アドミニストレータ
server-maintenance
サーバ メンテナンス
サーバ機器アドミニストレータ
server-policy
サーバ ポリシー
サーバ機器アドミニストレータ
server-security
サーバ セキュリティ
サーバ セキュリティ アドミニストレータ
service-profile-compute
サービス プロファイル計算
サーバ計算アドミニストレータ
service-profile-config
サービス プロファイル設定
サーバ プロファイル アドミニストレータ
service-profile-config-policy
サービス プロファイル設定ポリシー
サーバ プロファイル アドミニストレータ
service-profile-ext-access
サービス プロファイル エンド ポイント アクセス
サーバ プロファイル アドミニストレータ
service-profile-network
サービス プロファイル ネットワーク
ネットワーク管理者
service-profile-network-policy
サービス プロファイル ネットワーク ポリシー
ネットワーク管理者
service-profile-qos
サービス プロファイル QoS
ネットワーク管理者
service-profile-qos-policy
サービス プロファイル QoS ポリシー
ネットワーク管理者
service-profile-security
サービス プロファイル セキュリティ
サーバ セキュリティ アドミニストレータ
service-profile-security-policy
サービス プロファイル セキュリティ ポリシー
サーバ セキュリティ アドミニストレータ
service-profile-server
サービス プロファイル サーバ管理
サーバ プロファイル アドミニストレータ
service-profile-server-oper
サービス プロファイル コンシューマ
サーバ プロファイル アドミニストレータ
service-profile-server-policy
サービス プロファイル プール ポリシー
サーバ セキュリティ アドミニストレータ
service-profile-storage
サービス プロファイル ストレージ
ストレージ アドミニストレータ
service-profile-storage-policy
サービス プロファイル ストレージ ポリシー
ストレージ アドミニストレータ
ユーザ ロケール
ユーザには、ロケールを 1 つ以上割り当てることができます。 各ロケールには、ユーザからのアクセスを許可する 1 つ以上の組織(ドメイン)を定義します。アクセスは、このロケールで指定された組織の範囲内に制限されます。 このルールの 1 つの例外として、組織が指定されていないロケールがあります。この場合、すべての組織内のシステム リソースに対して無制限のアクセスが可能になります。
Cisco UCS ドメインには最大 48 のユーザ ロケールを含めることができます。 最初の 48 より後で設定されたユーザ ロケールはすべて受け入れられますが、エラーが生成されて非アクティブになります。
admin または aaa 権限を持つユーザは、組織を他のユーザのロケールに割り当てることができます。 組織の割り当ては、それを行うユーザのロケール内の組織だけに制限されます。 たとえば、ロケールにエンジニアリング組織しか含まれていない場合、そのロケールを割り当てられたユーザは、他のユーザにエンジニアリング組織のみを割り当てることできます。
(注)
次の権限を 1 つ以上持つユーザにロケールを割り当てることはできません。
組織は階層的に管理できます。 トップ レベルの組織に割り当てられたユーザは、自動的にその下にあるすべての組織にアクセスできます。 たとえば、エンジニアリング組織が、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織で構成されているとします。 ソフトウェア エンジニアリング組織のみを含むロケールでは、その組織内のシステム リソースにしかアクセスできません。一方、エンジニアリング組織が含まれるロケールでは、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織の両方のリソースにアクセスできます。
ユーザ ロールの作成
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [User Services] を右クリックし、[Create Role] を選択します。 [Roles] を右クリックしてそのオプションにアクセスすることもできます。
ステップ 4 [Create Role] ダイアログボックスで、次のフィールドに値を入力します。 ステップ 5 [OK] をクリックします。
ロケールの作成
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Locales] を右クリックし、[Create a Locale] を選択します。 ステップ 4 [Create Locale] ページで、次の手順を実行します。
ステップ 5 [Assign Organizations] ダイアログボックスで、次の手順を実行します。 ステップ 6 [Finish] をクリックします。
次の作業
ロケールを 1 つまたは複数のユーザ アカウントに追加します。 詳細については、ローカル認証されたユーザ アカウントに割り当てられたロケールの変更を参照してください。
ロケールへの組織の割り当て
ユーザ アカウントの作成
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [User Services] を右クリックし、[Create User] を選択して [User Properties] ダイアログボックスを開きます。 [Locally Authenticated Users] を右クリックしてそのオプションにアクセスすることもできます。
ステップ 4 ユーザに関して要求される情報を使用して、次のフィールドに値を入力します。
名前 説明 [Login ID] フィールド
このアカウントにログインするときに使用されるアカウント名。 このアカウントは固有であるとともに、Cisco UCS Manager ユーザ アカウントに関する次のガイドラインと制約事項を満たしている必要があります。
ログイン ID には、次を含む 1 ~ 32 の文字を含めることができます。
ログイン ID は Cisco UCS Manager 内で固有でなければなりません。
ログイン ID は英字で開始する必要があります。 アンダースコアなどの特殊文字または数字で開始することはできません。
ログイン ID では、大文字と小文字が区別されます。
すべて数字のログイン ID を作成することはできません。
ユーザ アカウントを作成した後は、ログイン ID を変更できません ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。
ユーザを保存した後は、ログイン ID を変更できません。 ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。
[First Name] フィールド
ユーザの名。 このフィールドには、32 文字までの値を入力できます。
[Last Name] フィールド
ユーザの姓。 このフィールドには、32 文字までの値を入力できます。
[Email] フィールド
ユーザの電子メール アドレス。
[Phone] フィールド
ユーザの電話番号。
[Password] フィールド
このアカウントに関連付けられているパスワード。 パスワード強度のチェックをイネーブルにすると、ユーザ パスワードを強くする必要があり、次の要件を満たしていないパスワードは Cisco UCS Manager によってすべて拒否されます。
[Confirm Password] フィールド
確認のためのパスワードの再入力。
[Account Status] フィールド
ステータスが [Active] に設定されている場合、ユーザはこのログイン ID とパスワードを使用して Cisco UCS Manager にログインできます。
[Account Expires] チェックボックス
オンにすると、[Expiration Date] フィールドに指定された日を経過した後、このアカウントは期限切れになり、使用できなくなります。
(注) 有効期限の日付をユーザ アカウントに設定した後で、期限切れにならないようにそのアカウントを再設定することはできません。 ただし、使用可能な最新の有効期限日でそのアカウントを設定することはできます。
[Expiration Date] フィールド
アカウントの期限が切れる日付。 日付の形式は yyyy-mm-dd です。
このフィールドの終端にある下矢印をクリックするとカレンダーが表示されるので、それを使用して期限日を選択できます。
(注) [Account Expires] チェックボックスをオンにすると、Cisco UCS Manager GUI にこのフィールドが表示されます。
ステップ 5 [Roles] 領域で 1 つ以上のボックスをオンにして、ユーザ アカウントにロールと権限を割り当てます。
(注) admin または aaa ロールを持つユーザにロケールを割り当てないでください。
ステップ 6 (任意)システムに組織が含まれる場合、[Locales] 領域の 1 つ以上のチェックボックスをオンにして、適切なロケールをユーザに割り当てます。 ステップ 7 [SSH] 領域で、次のフィールドに値を入力します。
ステップ 8 [OK] をクリックします。
ローカル認証されたユーザのパスワード強度チェックのイネーブル化
手順パスワード強度のチェックを有効にするには、admin または aaa 権限を持つユーザである必要があります。 パスワード強度のチェックをイネーブルにすると、Cisco UCS Manager によって、ユーザは強力なパスワードのガイドラインを満たしていないパスワードを選択できなくなります。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Locally Authenticated Users] ノードをクリックします。 ステップ 4 [Work] ペインで、[Properties] 領域の[Password Strength Check] チェックボックスをオンにします。 ステップ 5 [Save Changes] をクリックします。
Cisco UCS Manager GUI ユーザの Web セッション制限の設定
ローカル認証されたユーザ アカウントに割り当てられたロケールの変更
ローカル認証されたユーザ アカウントに割り当てられたロールの変更
手順ユーザ ロールと権限の変更は、ユーザが次にログインするまで有効になりません。 新しいロールをユーザ アカウントに追加するか、既存のロールをユーザ アカウントから削除するときにユーザがログインしていると、前のロールと権限を使用してアクティブなセッションが続行されます。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 修正するユーザ アカウントをクリックします。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [Roles] 領域で、次の手順を実行します。 ステップ 6 [Save Changes] をクリックします。
ユーザ アカウントの有効化
ユーザ アカウントの無効化
手順ローカル ユーザ アカウントを有効または無効にするには、admin または aaa 権限を持つユーザである必要があります。
(注)
ディセーブルにされているアカウントのパスワードを Cisco UCS Manager GUI によって変更すると、ユーザはアカウントをイネーブルにしてアクティブにした後でこの変更されたパスワードを使用できません。 ユーザはアカウントがイネーブルにされアクティブになった後で、必要なパスワードをもう一度入力する必要があります。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 無効にするユーザをクリックします。 ステップ 4 [Work] ペインの [General] タブをクリックします。 ステップ 5 [Account Status] フィールドで、[inactive] オプション ボタンをクリックします。 admin ユーザ アカウントは常にアクティブに設定されます。 これは変更できません。
ステップ 6 [Save Changes] をクリックします。
ローカル認証されたユーザのパスワード プロファイル
パスワード プロファイルには、Cisco UCS Manager のすべてのローカル認証されたユーザのパスワード履歴およびパスワード変更間隔のプロパティが含まれます。 それぞれのローカル認証されたユーザに異なるパスワード プロファイルを指定することはできません。
(注)
パスワード プロファイル プロパティを変更するには、admin または AAA 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは admin または AAA 権限を持つユーザには適用されません。
パスワード履歴カウント
パスワード履歴カウントにより、ローカル認証されたユーザが同じパスワードを何度も再利用することを防止できます。 このプロパティが設定されている場合、Cisco UCS Manager は、ローカル認証されたユーザが以前に使用したパスワードを最大 15 パスワードまで保存します。 パスワードは、履歴カウントしきい値に達した場合に最も古いパスワードだけが再使用できるように、最新パスワードから最初に新しい順に保存されます。
ユーザは、パスワード履歴に設定されている数のパスワードを作成して使用しなければ、パスワードを再利用できるようになりません。 たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは、9 番めのパスワードが期限切れになってからでなければ、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。 この値は、履歴カウントをディセーブルにし、ユーザがいつでも前のパスワードを使用できるようになります。
必要に応じて、ローカル認証されたユーザに対してパスワード履歴カウントをクリアし、以前のパスワードの再利用をイネーブルにできます。
パスワード変更間隔
パスワード変更間隔を使用すると、ローカル認証されたユーザが一定の時間内に行うことができるパスワード変更の回数を制限できます。 次の表に、パスワード変更間隔の 2 つの設定オプションについての説明を示します。
間隔の設定 説明 例 許可するパスワード変更なし
このオプションは、ローカル認証されたユーザのパスワードが、パスワード変更後の指定時間内に変更されることを許可しません。
変更なし間隔に指定できる時間の範囲は、1 ~ 745 時間です。 デフォルトでは、変更なし間隔は 24 時間です。
たとえば、ローカル認証されたユーザが自分のパスワードを変更してから 48 時間以内に、パスワードが変更されないようにするには、次のように設定します。
変更間隔内でパスワード変更を許可
このオプションはローカル認証されたユーザのパスワードを定義済み間隔内に変更できる最大回数を指定します。
変更間隔は 1 ~ 745 時間の範囲で、パスワード変更の最大回数は 0 ~ 10 の範囲で指定できます。 デフォルトでは、ローカル認証されたユーザは、48 時間間隔内で最大 2 回のパスワード変更を許可されます。
たとえば、ローカル認証されたユーザが自分のパスワードを変更してから 24 時間以内に、最大 1 回の変更を許可するには、次のように設定します。
変更間隔のパスワード変更の最大回数の設定
手順パスワード プロファイル プロパティを変更するには、admin または AAA 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは admin または AAA 権限を持つユーザには適用されません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Locally Authenticated Users] ノードをクリックします。 ステップ 4 [Password Profile] 領域で、次の手順を実行します。
ステップ 5 [Save Changes] をクリックします。
パスワードの変更なし間隔の設定
手順パスワード プロファイル プロパティを変更するには、admin または AAA 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは admin または AAA 権限を持つユーザには適用されません。
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Locally Authenticated Users] ノードをクリックします。 ステップ 4 [Password Profile] 領域で、次の手順を実行します。
ステップ 5 [Save Changes] をクリックします。
パスワード履歴カウントの設定
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [Locally Authenticated Users] ノードをクリックします。 ステップ 4 [Password Profile] 領域で、[History Count] フィールドに、ローカル認証されたユーザが以前に使用したパスワードを再使用できるようになる前に作成する必要がある一意のパスワードの数を入力します。 この値は 0 ~ 15 の間で、自由に設定できます。
デフォルトで、[History Count] フィールドは 0 に設定されます。これによって履歴数がディセーブルになり、ユーザは以前に使用したパスワードをいつでも使用できるようになります。
ステップ 5 [Save Changes] をクリックします。
ユーザ セッションのモニタリング
手順
ステップ 1 [Navigation] ペインの [Admin] タブをクリックします。 ステップ 2 [Admin] タブで、 を展開します。 ステップ 3 [User Services] ノードをクリックします。 ステップ 4 [Work] ペインで [Sessions] タブをクリックします。 このタブには、ユーザ セッションに関する次の詳細情報が表示されます。
名前 説明 [Name] カラム
セッションの名前。
[User] カラム
セッションに参加しているユーザ名。
[Refresh Period] カラム
Web クライアントが Cisco UCS Manager に接続する場合、クライアントはリフレッシュ要求を Cisco UCS Manager に送信して Web セッションをアクティブに保つ必要があります。 このオプションによって、このドメイン内のユーザに対するリフレッシュ要求の間に許容される最大時間が指定されます。
この時間制限を超えると、Cisco UCS Manager は Web セッションが非アクティブであると見なしますが、セッションは終了されません。
[Session Timeout] カラム
Cisco UCS Manager が、Web セッションが終了したと見なす前提となる最終リフレッシュ要求後の最大経過時間。 この時間制限を超えると、Cisco UCS Manager は自動的に Web セッションを終了します。
[Current Session] カラム
このカラムに [Y] が表示された場合、関連付けられているユーザ セッションは現在アクティブです。