Cisco UCS C シリーズ サーバ Integrated Management Controller CLI コンフィギュレーション ガイド リリース 1.5
ユーザ アカウントの管理
ユーザ アカウントの管理

ユーザ アカウントの管理

この章は、次の内容で構成されています。

ローカル ユーザの設定

はじめる前に

ローカル ユーザ アカウントを設定または変更するには、admin 権限を持つユーザとしてログインする必要があります。

手順
     コマンドまたはアクション目的
    ステップ 1Server# scope user usernumber  

    ユーザ番号 usernumber に対するユーザ コマンド モードを開始します。

     
    ステップ 2Server /user # set enabled {yes | no}  

    CIMC でユーザ アカウントをイネーブルまたはディセーブルにします。

     
    ステップ 3Server /user # set name username  

    ユーザのユーザ名を指定します。

     
    ステップ 4Server /user # set password  

    パスワードを 2 回入力するように求められます。

     
    ステップ 5Server /user # set role {readonly | user | admin}  
    ユーザに割り当てるロールを指定します。 ロールには、次のものがあります。
    • readonly:このユーザは情報を表示できますが、変更することはできません。

    • user:このユーザは、次の操作を実行できます。
      • すべての情報を表示する

      • 電源のオン、電源再投入、電源のオフなどの電力制御オプションを管理する

      • KVM コンソールと仮想メディアを起動する

      • すべてのログをクリアする

      • ロケータ LED を切り替える

    • admin:このユーザは、GUI、CLI、IPMI で可能なすべての処理を実行できます。

     
    ステップ 6Server /user # commit  

    トランザクションをシステムの設定にコミットします。

     

    次に、ユーザ 5 を admin として設定する例を示します。

    Server# scope user 5
    Server /user # set enabled yes
    Server /user *# set name john
    Server /user *# set password
    Please enter password:
    Please confirm password:
    Server /user *# set role readonly
    Server /user *# commit
    Server /user #  show
    User   Name             Role     Enabled  
    ------ ---------------- -------- -------- 
    5      john             readonly yes       
              
    

    LDAP サーバ

    CIMC では、情報をディレクトリ内で編成してこの情報へのアクセスを管理するディレクトリ サービスがサポートされます。 CIMC は、ネットワークでディレクトリ情報を保管および保持する Lightweight Directory Access Protocol(LDAP)をサポートします。 さらに、CIMC は Microsoft Active Directory(AD)もサポートします。 Active Directory はさまざまなネットワーク サービスを提供するテクノロジーであり、LDAP と同様のディレクトリ サービス、Kerberos ベースの認証、DNS ベースの名前付けなどが含まれます。 CIMC は LDAP での Kerberos ベースの認証サービスを利用します。

    CIMC で LDAP がイネーブルになっている場合、ローカル ユーザ データベース内に見つからないユーザ アカウントに関するユーザ認証とロール許可は、LDAP サーバによって実行されます。 LDAP ユーザ認証の形式は username@domain.com です。

    サーバの Active Directory 設定で暗号化をイネーブルにすることで、LDAP サーバへの送信データを暗号化するようサーバに要求できます。

    LDAP サーバの設定

    CIMC を設定して、LDAP をユーザの認証と許可に使用できます。 LDAP を使用するには、CIMC のユーザ ロールとロケールを保持する属性を使用してユーザを設定します。 CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用できます。または、LDAP スキーマを変更して、属性 ID 1.3.6.1.4.1.9.287247.1 を持つ CiscoAVPair 属性などの新しいカスタム属性を追加できます。

    重要:

    スキーマの変更の詳細については、http:/​/​technet.microsoft.com/​en-us/​library/​bb727064.aspx の記事を参照してください。


    (注)  


    この例では CiscoAVPair という名前のカスタム属性を作成しますが、CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用することもできます。


    LDAP サーバに対して次の手順を実行する必要があります。

    手順
      ステップ 1   LDAP スキーマ スナップインがインストールされていることを確認します。
      ステップ 2   スキーマ スナップインを使用して、次のプロパティを持つ新しい属性を追加します。

      プロパティ

      Common Name

      CiscoAVPair

      LDAP Display Name

      CiscoAVPair

      Unique X500 Object ID

      1.3.6.1.4.1.9.287247.1

      Description

      CiscoAVPair

      Syntax

      Case Sensitive String

      ステップ 3   スナップインを使用して、ユーザ クラスに CiscoAVPair 属性を追加します。
      1. 左ペインで [Classes] ノードを展開し、U を入力してユーザ クラスを選択します。
      2. [Attributes] タブをクリックして、[Add] をクリックします。
      3. C を入力して CiscoAVPair 属性を選択します。
      4. [OK] をクリックします。
      ステップ 4   CIMC にアクセスできるようにするユーザに対し、次のユーザ ロール値を CiscoAVPair 属性に追加します。

      ロール

      CiscoAVPair 属性値

      admin

      shell:roles="admin"

      user

      shell:roles="user"

      read-only

      shell:roles="read-only"

      (注)     

      属性に値を追加する方法の詳細については、http:/​/​technet.microsoft.com/​en-us/​library/​bb727064.aspx の記事を参照してください。


      次の作業

      CIMC を使用して LDAP サーバを設定します。

      CIMC での LDAP の設定

      ローカル ユーザの認証と許可に LDAP サーバを使用するには、CIMC で LDAP を設定します。

      はじめる前に

      このタスクを実行するには、admin 権限を持つユーザとしてログインする必要があります。

      手順
         コマンドまたはアクション目的
        ステップ 1Server# scope ldap  

        LDAP コマンド モードを開始します。

         
        ステップ 2Server /ldap # set enabled {yes | no}  

        LDAP セキュリティをイネーブルまたはディセーブルにします。 LDAP セキュリティがイネーブルの場合、ローカル ユーザ データベースにないユーザ アカウントに対し、ユーザ認証とロール許可が LDAP によって実行されます。

         
        ステップ 3Server /ldap # set domainLDAP domain name  

        LDAP ドメイン名を指定します。

         
        ステップ 4Server /ldap # set timeout seconds  

        LDAP 検索操作がタイムアウトするまで CIMC が待機する秒数を指定します。 0 ~ 1800 秒の間隔を指定する必要があります。

         
        ステップ 5Server /ldap # set encrypted {yes | no}  

        暗号化がイネーブルである場合、サーバは AD に送信されるすべての情報を暗号化します。

         
        ステップ 6Server /ldap # set base-dn domain-name  

        LDAP サーバで検索するベース DN を指定します。

         
        ステップ 7Server /ldap # set attribute name  

        ユーザのロールとロケール情報を保持する LDAP 属性を指定します。 このプロパティは、常に、名前と値のペアで指定されます。 システムは、ユーザ レコードで、この属性名と一致する値を検索します。

        CIMC ユーザ ロールおよびロケールにマップされた既存の LDAP 属性を使用するか、CiscoAVPair 属性など、次の属性 ID を持つカスタム属性を作成できます。

        1.3.6.1.4.1.9.287247.1
        
        
        (注)     

        このプロパティを指定しない場合、ユーザ アクセスが拒否されます。

         
        ステップ 8Server /ldap # set filter-attribute  

        アカウント名属性を指定します。 Active Directory を使用している場合は、このフィールドに sAMAccountName を指定します。

         
        ステップ 9Server /ldap # commit  

        トランザクションをシステムの設定にコミットします。

         
        ステップ 10Server /ldap # show [detail]  

        (任意)LDAP の設定を表示します。

         

        次に、CiscoAVPair 属性を使用して LDAP を設定する例を示します。

        Server# scope ldap
        Server /ldap # set enabled yes
        Server /ldap *# set domain sample-domain
        Server /ldap *# set timeout 60
        Server /ldap *# set encrypted yes
        Server /ldap *# set base-dn example.com
        Server /ldap *# set attribute CiscoAVPair
        Server /ldap *# set filter-attribute sAMAccountName
        Server /ldap *# commit
        Server /ldap # show detail
        LDAP Settings:
            Enabled: yes
            Encrypted: yes
            Domain: sample-domain
            BaseDN: example.com
            Timeout: 60
            Filter-Attribute: sAMAccountName
            Attribute: CiscoAvPair
        Server /ldap #             
        
        次の作業

        グループ許可用に LDAP グループを使用する場合は、CIMC での LDAP グループの設定 を参照してください。

        CIMC での LDAP グループの設定


        (注)  


        Active Directory(AD)グループ許可をイネーブルにして設定すると、ローカル ユーザ データベースにないユーザや、Active Directory で CIMC の使用を許可されていないユーザに対するグループ レベルでのユーザ認証も行われます。


        はじめる前に
        • このタスクを実行するには、admin 権限を持つユーザとしてログインする必要があります。

        • Active Directory(または LDAP)をイネーブルにして、設定する必要があります。

        手順
           コマンドまたはアクション目的
          ステップ 1Server# scope ldap  

          LDAP コマンド モードを開始して、AD を設定します。

           
          ステップ 2Server /ldap# scope ldap-group-rule  

          LDAP グループ ルール コマンド モードを開始して、AD を設定します。

           
          ステップ 3Server /ldap/ldap-group-rule # set group-auth {yes | no}  

          LDAP グループ許可をイネーブルまたはディセーブルにします。

           
          ステップ 4Server /ldap # scope role-group index  

          設定に使用可能なグループ プロファイルのいずれかを選択します。ここで、index は 1 から 28 までの数字です。

           
          ステップ 5Server /ldap/role-group # set name group-name 

          サーバへのアクセスが許可されているグループの名前を AD データベースに指定します。

           
          ステップ 6Server /ldap/role-group # set domain domain-name 

          グループが存在する必要がある AD ドメインを指定します。

           
          ステップ 7Server /ldap/role-group # set role {admin | user | readonly} 

          この AD グループのすべてのユーザに割り当てられる権限レベル(ロール)を指定します。 次のいずれかになります。

          • admin:ユーザは使用可能なすべてのアクションを実行できます。

          • user:ユーザは、次のタスクを実行できます。

            • すべての情報を表示する

            • 電源のオン、電源再投入、電源のオフなどの電力制御オプションを管理する

            • KVM コンソールと仮想メディアを起動する

            • すべてのログをクリアする

            • ロケータ LED を切り替え

          • readonly:ユーザは情報を表示できますが、変更はできません。

           
          ステップ 8Server /ldap/role-group # commit  

          トランザクションをシステムの設定にコミットします。

           

          次に、LDAP グループの許可を設定する例を示します。

          Server# scope ldap
          Server /ldap # scope ldap-group-rule
          Server /ldap/ldap-group-rule # set group-auth yes
          Server /ldap *# scope role-group 5
          Server /ldap/role-group # set name Training
          Server /ldap/role-group* # set domain example.com
          Server /ldap/role-group* # set role readonly
          Server /ldap/role-group* # commit
          ucs-c250-M2 /ldap # show role-group
          Group  Group Name       Domain Name      Assigned Role     
          ------ -----------     --------------   -------------- 
          1      (n/a)            (n/a)            admin    
          2      (n/a)            (n/a)            user     
          3      (n/a)            (n/a)            readonly 
          4      (n/a)            (n/a)            (n/a)    
          5      Training         example.com      readonly 
          
          Server /ldap/role-group # 
          

          ユーザ セッションの表示

          手順
             コマンドまたはアクション目的
            ステップ 1Server# show user-session  

            現在のユーザ セッションの情報を表示します。

             

            コマンドの出力には、現在のユーザ セッションに関する次の情報が表示されます。

            名前 説明

            [Session ID] カラム

            セッションの固有識別情報。

            [Username] カラム

            ユーザのユーザ名。

            [IP Address] カラム

            ユーザがサーバにアクセスした IP アドレス。

            [Type] カラム

            ユーザがサーバにアクセスした方法。

            [Action] カラム

            ユーザ アカウントに admin ユーザ ロールが割り当てられている場合、関連付けられたユーザ セッションを強制的に終了できるときはこのカラムに [Terminate] と表示されます。 それ以外の場合は、N/A と表示されます。

            (注)     

            このタブから現在のセッションを終了することはできません。

            次に、現在のユーザ セッションに関する情報を表示する例を示します。

            Server# show user-session
            ID     Name             IP Address        Type         Killable 
            ------ ---------------- ----------------- ------------ -------- 
            15     admin            10.20.30.138      CLI          yes      
            
            Server /user #             
            

            ユーザ セッションの終了

            はじめる前に

            ユーザ セッションを終了するには、admin 権限を持つユーザとしてログインする必要があります。

            手順
               コマンドまたはアクション目的
              ステップ 1Server# show user-session  

              現在のユーザ セッションの情報を表示します。 終了するユーザ セッションは、終了可能(killable)であり、独自のセッションではないことが必要です。

               
              ステップ 2Server /user-session # scope user-session session-number  

              終了する番号付きのユーザ セッションに対してユーザ セッション コマンド モードを開始します。

               
              ステップ 3Server /user-session # terminate  

              ユーザ セッションを終了します。

               

              次に、ユーザ セッション 10 の admin がユーザ セッション 15 を終了する例を示します。

              Server# show user-session
              ID     Name             IP Address        Type         Killable 
              ------ ---------------- ----------------- ------------ -------- 
              10     admin            10.20.41.234      CLI          yes  
              15     admin            10.20.30.138      CLI          yes      
              Server# scope user-session 15
              Server /user-session # terminate
              User session 15 terminated.
              
              Server /user-session #