Cisco UCS Central ソフトウェア ユーザ マニュアル リリース 1.2
管理設定の管理
管理設定の管理

目次

管理設定の管理

この章は、次の内容で構成されています。

Cisco UCS Central の管理設定

Cisco UCS Central では、GUI の [Administration] タブからポリシーおよびユーザ認証をネイティブに設定できます。これは、[Operations Management] タブから UCS ドメインに対して定義されているタスクと似ています。 この 2 つのタブではほとんどの機能が共通していますが、ユーザ ロールとサーバ サポートが異なります。

[Administration] タブの次の領域で管理タスクを実行できます。

  • [General Settings]

  • [Users and Authentication]

ユーザと認証

Cisco UCS Central では、システムにアクセスするローカル ユーザとリモート ユーザの作成がサポートされています。 各 Cisco UCS Central ドメインでは最大 128 のユーザ アカウントを設定できます。 各ユーザには固有のユーザ名とパスワードが必要です。 詳細については、User Managementを参照してください。

Cisco UCS Central では、ネイティブ認証に LDAP を使用しますが、このリリースでは RADIUS および TACACS+ 認証は除外されています。 ただし、RADIUS、TACACS+、および LDAP 認証は、ローカルに管理される Cisco UCS ドメインでサポートされています。 詳細については、管理設定の管理を参照してください。

ローカル認証されたユーザの作成

手順
    ステップ 1   メニュー バーで、[Administration] をクリックします。
    ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
    ステップ 3   [Work] ペインで [Local Users] をクリックします。
    ステップ 4   [Actions] 領域で、[Create Locally Authenticated Users] をクリックし、すべてのフィールドに入力します。
    ステップ 5   [Roles/Locales] タブをクリックしてロールまたはロケールのタイプを割り当て、[SSH] タブをクリックしてセキュリティ キーのタイプを割り当てます。
    ステップ 6   [OK] をクリックします。
    ステップ 7   [Save] をクリックします。

    リモート ユーザの作成

    手順
      ステップ 1   メニュー バーで、[Administration] をクリックします。
      ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
      ステップ 3   [Work] ペインで [Remote Users] をクリックします。
      ステップ 4   [Actions] 領域で、[Create Remote Users] をクリックし、すべてのフィールドに入力します。
      ステップ 5   [Roles/Locales] タブをクリックしてロールまたはロケールのタイプを割り当て、[SSH] タブをクリックしてセキュリティ キーのタイプを割り当てます。
      ステップ 6   [OK] をクリックします。
      ステップ 7   [Save] をクリックします。

      ユーザ ロールの作成

      手順
        ステップ 1   メニュー バーで、[Administration] をクリックします。
        ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
        ステップ 3   [Work] ペインで [Roles] をクリックします。
        ステップ 4   [Actions] 領域で、[Create Role] をクリックし、すべてのフィールドに入力します。
        ステップ 5   [OK] をクリックします。
        ステップ 6   [Save] をクリックします。

        ユーザ ロケールの作成

        はじめる前に

        手順
          ステップ 1   メニュー バーで、[Administration] をクリックします。
          ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
          ステップ 3   [Work] ペインで [Locales] をクリックします。
          ステップ 4   [Actions] 領域で、[Create Locales] をクリックし、すべてのフィールドに入力します。
          ステップ 5   [Assign/Unassign Organization] または [Assign/Unassign Domain Group] あるいはこの両方をクリックし、組織またはドメイン グループを、Cisco UCS Central で選択されたロケールに割り当てるか、または割り当て解除します。
          ステップ 6   [OK] をクリックします。
          ステップ 7   [Save] をクリックします。

          認証ドメインの作成

          Cisco UCS Central では、ネイティブ認証に LDAP を使用しますが、このリリースでは RADIUS および TACACS+ 認証は除外されています。 ただし RADIUS、TACACS+、または LDAP リモート認証は、Cisco UCS Central ドメイン グループ ルートから Cisco UCS ドメインでサポートされています。

          手順
            ステップ 1   メニュー バーで、[Administration] をクリックします。
            ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
            ステップ 3   [Work] ペインで [Authentication Domains] をクリックします。
            ステップ 4   [Actions] 領域で、[Create Authentication Domain] をクリックし、すべてのフィールドに入力します。
            ステップ 5   [OK] をクリックします。
            ステップ 6   [Save] をクリックします。

            LDAP プロバイダーの作成

            手順
              ステップ 1   メニュー バーで、[Administration] をクリックします。
              ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
              ステップ 3   [Work] ペインで [LDAP] をクリックします。
              ステップ 4   [Providers] をクリックします。
              ステップ 5   [Actions] 領域で、[Create LDAP Provider] をクリックし、すべてのフィールドに入力します。
              ステップ 6   [OK] をクリックします。
              ステップ 7   [Save] をクリックします。

              LDAP プロバイダー グループの作成

              手順
                ステップ 1   メニュー バーで、[Administration] をクリックします。
                ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
                ステップ 3   [Work] ペインで [LDAP] をクリックします。
                ステップ 4   [Provider Groups] をクリックします。
                ステップ 5   [Actions] 領域で、[Create LDAP Provider Group] をクリックし、すべてのフィールドに入力します。
                ステップ 6   [OK] をクリックします。
                ステップ 7   [Save] をクリックします。

                LDAP グループ マップの作成

                手順
                  ステップ 1   メニュー バーで、[Administration] をクリックします。
                  ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
                  ステップ 3   [Work] ペインで [LDAP] をクリックします。
                  ステップ 4   [Group Maps] をクリックします。
                  ステップ 5   [Actions] 領域で、[Create LDAP Group Map] をクリックし、すべてのフィールドに入力します。
                  ステップ 6   [OK] をクリックします。
                  ステップ 7   [Save] をクリックします。

                  LDAP プロバイダーの削除

                  はじめる前に

                  LDAP プロバイダーを作成する必要があります。

                  手順
                    ステップ 1   メニュー バーで、[Administration] をクリックします。
                    ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
                    ステップ 3   [Work] ペインで [LDAP] をクリックします。
                    ステップ 4   [LDAP Providers] をクリックします。
                    ステップ 5   [Actions] 領域で削除する LDAP プロバイダーを右クリックし、[Delete LDAP Provider] をクリックします。
                    ステップ 6   [Save] をクリックします。

                    LDAP プロバイダー グループの削除

                    はじめる前に

                    LDAP プロバイダー グループを作成する必要があります。

                    手順
                      ステップ 1   メニュー バーで、[Administration] をクリックします。
                      ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
                      ステップ 3   [Work] ペインで [LDAP] をクリックします。
                      ステップ 4   [Provider Groups] をクリックします。
                      ステップ 5   [Actions] 領域で削除するプロバイダー グループを右クリックし、[Delete LDAP Provider Group] をクリックします。
                      ステップ 6   [Save] をクリックします。

                      LDAP グループ マップの削除

                      はじめる前に

                      LDAP グループ マップを作成する必要があります。

                      手順
                        ステップ 1   メニュー バーで、[Administration] をクリックします。
                        ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
                        ステップ 3   [Work] ペインで [LDAP] をクリックします。
                        ステップ 4   [Group Maps] をクリックします。
                        ステップ 5   [Actions] 領域で削除する LDAP マップを右クリックし、[Delete LDAP Group Map] をクリックします。
                        ステップ 6   [Save] をクリックします。

                        General Settings

                        Cisco UCS Central GUI でポリシーを設定できます。 これらの管理ポリシーは組織レベルで定義され、インフラストラクチャのあらゆる項目(日付と時刻、SNMP トラップ、バックアップ ポリシーとエクスポート ポリシーなど)を管理できます。

                        SNMP トラップの作成

                        手順
                          ステップ 1   メニュー バーで、[Administration] をクリックします。
                          ステップ 2   [Navigation] ペインで [General] をクリックします。
                          ステップ 3   [Work] ペインで、[SNMP] をクリックします。
                          ステップ 4   [Properties] 領域で、[enabled] オプション ボタンをオンにします。 デフォルトでは、[Admin State] は無効です。 手動で有効に変更する必要があります。
                          ステップ 5   [Actions] 領域で、[Create SNMP Trap] をクリックし、すべてのフィールドに入力します。
                          ステップ 6   [OK] をクリックします。
                          ステップ 7   [Save] をクリックします。

                          次の作業

                          SNMP ユーザを作成する。

                          SNMP ユーザの作成

                          手順
                            ステップ 1   メニュー バーで、[Administration] をクリックします。
                            ステップ 2   [Navigation] ペインで [General] をクリックします。
                            ステップ 3   [Work] ペインで、[SNMP] をクリックします。
                            ステップ 4   [Actions] 領域で、[Create SNMP User] をクリックし、すべてのフィールドに入力します。
                            ステップ 5   [OK] をクリックします。
                            ステップ 6   [Save] をクリックします。

                            HTTPS 証明書の設定

                            手順
                              ステップ 1   メニュー バーで、[Administration] をクリックします。
                              ステップ 2   [Navigation] ペインで [General] をクリックします。
                              ステップ 3   [Work] ペインで [HTTPS] をクリックします。
                              ステップ 4   [Actions] 領域で、[Key Ring] ドロップダウン リストからサードパーティのキー リングを選択します。
                              ステップ 5   [Save] をクリックします。

                              NTP サーバの設定

                              Cisco UCS Central では、国際タイム ゾーンと定義された NTP サーバに基づいてグローバル日時ポリシーがサポートされます。

                              はじめる前に

                              Cisco UCS Central の NTP サーバを設定するには、まず日時ポリシーを作成する必要があります。

                              手順
                                ステップ 1   メニュー バーで、[Administration] をクリックします。
                                ステップ 2   [Navigation] ペインで [General] をクリックします。
                                ステップ 3   [Work] ペインで、[Date/Time] をクリックし、[Time Zone] ドロップダウン リストからタイム ゾーンを選択します。
                                ステップ 4   [Actions] 領域で、[Add NTP Server] をクリックします。
                                ステップ 5   [OK] をクリックします。
                                ステップ 6   [Save] をクリックします。

                                DNS サーバの設定

                                手順
                                  ステップ 1   メニュー バーで、[Administration] をクリックします。
                                  ステップ 2   [Navigation] ペインで [General] をクリックします。
                                  ステップ 3   [Work] ペインで、[DNS] をクリックします。
                                  ステップ 4   [Actions] 領域で、[Add DNS Server] をクリックし、すべてのフィールドに入力します。
                                  ステップ 5   [OK] をクリックします。
                                  ステップ 6   [Save] をクリックします。

                                  障害ポリシーの設定

                                  手順
                                    ステップ 1   メニュー バーで、[Administration] をクリックします。
                                    ステップ 2   [Navigation] ペインで [General] をクリックします。
                                    ステップ 3   [Work] ペインで [Fault Policy] をクリックします。
                                    ステップ 4   [Actions] 領域で、すべてのフィールドに入力します。
                                    ステップ 5   [Save] をクリックします。

                                    次の作業

                                    エクスポート ポリシーの設定

                                    手順
                                      ステップ 1   メニュー バーで、[Administration] をクリックします。
                                      ステップ 2   [Navigation] ペインで [General] をクリックします。
                                      ステップ 3   [Work] ペインで [TFTP Core Export Policy] をクリックします。
                                      ステップ 4   [Actions] 領域で、すべてのフィールドに入力します。
                                      ステップ 5   [Save] をクリックします。

                                      IPv6 Configuration

                                      Cisco UCS Central では、スタンドアロン モードとハイ アベイラビリティ(HA)モードで IPv6 を有効にできます。 1 つの仮想マシン上で設定された Cisco UCS Central はスタンドアロン セットアップです。 スタンドアロン セットアップはどのクラスタにも属しません。 UCS Central HA セットアップは、2 つの仮想マシン(プライマリ ノードとセカンダリ ノード)で構成されます。

                                      これらの仮想マシンが HA クラスタを構成し、この HA クラスタへは共通 IP アドレスを使用してアクセスできます。 この IP アドレスは、クラスタ IP アドレスまたは仮想 IP アドレスと呼ばれます。 仮想 IP アドレス(VIP)には、IPv4 アドレスの他に IPv6 アドレスを割り当てることができます。

                                      スタンドアロン モードでの IPv6 設定

                                      手順
                                        ステップ 1   メニュー バーで、[Administration] をクリックします。
                                        ステップ 2   [Navigation] ペインで、[General] を選択します。

                                        デフォルトでは、[General] タブにより [Work] ペインにタブが表示されます。

                                        ステップ 3   [Management Interface] タブの [Node A] 領域で [IPv6] タブをクリックし、すべての必須フィールドに入力します。
                                        ステップ 4   [Save] をクリックします。

                                        HA モードでの IPv6 の設定

                                        手順
                                          ステップ 1   メニュー バーで、[Administration] をクリックします。
                                          ステップ 2   [Navigation] ペインで、[General] を選択します。

                                          デフォルトでは [General] タブにより [Work] ペインにタブが表示されます。

                                          ステップ 3   [Management Interface] タブのノード A およびノード B 領域で [IPv6] タブをクリックし、すべての必須フィールドに入力します。
                                          ステップ 4   [Save] をクリックします。
                                          ステップ 5   [Nodes] の上のメイン エリアで、仮想 IPv6 アドレス情報を追加します。
                                          ステップ 6   [Save] をクリックします。

                                          キー リング

                                          Cisco UCS Central では、より強力な認証のためにキー リングをサードパーティの証明書として作成できます。 HTTPS は 2 つのデバイス間でセキュアな通信を確立するために Public Key Infrastructure(PKI)コンポーネントを使用します。

                                          各 PKI デバイスは、内部キー リングに非対称の Rivest-Shamir-Adleman(RSA)暗号キーのペア(1 つはプライベート、もう 1 つはパブリック)を保持します。 いずれかのキーで暗号化されたメッセージは、もう一方のキーで復号化できます。 暗号化されたメッセージを送信する場合、送信者は受信者の公開キーで暗号化し、受信者は独自の秘密キーを使用してメッセージを復号化します。 送信者は、独自の秘密キーで既知のメッセージを暗号化(「署名」とも呼ばれます)して公開キーの所有者を証明することもできます。 受信者が該当する公開キーを使用してメッセージを正常に復号化できる場合は、送信者が対応する秘密キーを所有していることが証明されます。 暗号キーの長さはさまざまであり、通常の長さは 2048 ビット ~ 4096 ビットです。 一般的に、短いキーよりも長いキーの方がセキュアになります。 Cisco UCS Central では、最初に 2048 ビットのキー ペアを含むデフォルトのキー リングが提供されます。そして、追加のキー リングを作成できます。

                                          クラスタ名が変更されたり、証明書が期限切れになったりした場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。


                                          (注)  


                                          Cisco UCS Central は、UCS Central から UCS Manager への通信と、UCS Central とユーザの Web ブラウザ間の通信の両方に、同一のサードパーティ証明書を使用します。 現時点では、UCS Central では 2 種類の通信での異なる証明書の使用はサポートされていません。 現在、サードパーティ証明書は Cisco UCS Manager リリース 2.2(2c) 以降でのみサポートされます。



                                          (注)  


                                          キー リングと証明書要求を作成すると、Cisco UCS Central により証明書署名機能を使用した証明書要求が生成されます。 CA サーバによる署名後の証明書要求には、キーの用途の 1 つが「証明書署名」として設定されている必要があります。 Microsoft Windows を Internal Enterprise Certification Authority Server として使用する場合は、[Subordinate Certification Authority] テンプレートを使用して証明書を生成する必要があります。 ただしスタンドアロン CA サーバを使用する場合は、証明書テンプレートを選択する必要はありません。


                                          キー リングの作成
                                          手順
                                            ステップ 1   メニュー バーで、[Administration] をクリックします。
                                            ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
                                            ステップ 3   [Work] ペインで [Certificates] をクリックします。
                                            ステップ 4   [Actions] 領域で、[Create Key Ring] をクリックし、すべてのフィールドに入力します。
                                            ステップ 5   [Certificate Request Actions] 領域で、[Create] をクリックし、すべてのフィールドに入力します。
                                            ステップ 6   [OK] をクリックします。
                                            ステップ 7   [Save] をクリックします。

                                            トラスト ポイントの作成

                                            Cisco UCS Central では、ルート認証局(CA)および従属 CA の証明書がバンドル形式で含まれているトラスト ポイントを作成できます。 ルート CA にはプライマリ証明書と自己署名証明書が含まれている必要があります。

                                            手順
                                              ステップ 1   メニュー バーで、[Administration] をクリックします。
                                              ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
                                              ステップ 3   [Work] ペインで [Certificates] をクリックします。
                                              ステップ 4   [Actions] 領域で、[Create Trusted Point] をクリックし、すべてのフィールドに入力します。
                                              ステップ 5   [OK] をクリックします。
                                              ステップ 6   [Save] をクリックします。

                                              キーリングの削除
                                              はじめる前に

                                              HTTPS がキー リングを使用していないことを確認します。

                                              手順
                                                ステップ 1   メニュー バーで、[Administration] をクリックします。
                                                ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
                                                ステップ 3   [Work] ペインで [Certificates] をクリックします。
                                                ステップ 4   [KeyRings Actions] 領域で、削除するキー リングを右クリックし、[Delete] を選択します。
                                                ステップ 5   確認ダイアログボックスで [Yes] をクリックします。 キー リングが Cisco UCS Central から削除されます。

                                                トラスト ポイントの削除

                                                はじめる前に

                                                トラスト ポイントが使用されていないことを確認します。

                                                手順
                                                  ステップ 1   メニュー バーで、[Administration] をクリックします。
                                                  ステップ 2   [Navigation] ペインで [Users and Authentication] をクリックします。
                                                  ステップ 3   [Work] ペインで [Certificates] をクリックします。
                                                  ステップ 4   [KeyRings Actions] 領域で、削除するトラスト ポイントを右クリックし、[Delete] を選択します。
                                                  ステップ 5   確認ダイアログボックスで [Yes] をクリックします。 トラスト ポイントが Cisco UCS Central から削除されます。

                                                  ブラウザへの CA 証明書のインポート

                                                  インターネット ブラウザで Cisco UCS Central アプリケーションを初めて実行するときに、信頼できない Web サイトであるか、または Web サイトの証明書の発行元が信頼できないことを示すエラーが表示されることがあります。 このような場合、ルート CA と従属 CA(存在する場合)の証明書をブラウザにインポートする必要があります。 さまざまなブラウザでこの機能がサポートされています。 証明書をインポートするには、次の手順を実行します。

                                                  Mozilla Firefox
                                                  手順
                                                    ステップ 1   [Menu] バーで [Tools] > [Options] [Advanced] > [Certificates] をクリックします。
                                                    ステップ 2   [View Certificate] をクリックします。
                                                    ステップ 3   [Authorities] をクリックします。
                                                    ステップ 4   [Import] をクリックします。
                                                    ステップ 5   コンピュータに保存されている CA 証明書を選択して開きます。

                                                    [Downloading Certificate] ポップアップ ウィンドウが開きます。

                                                    ステップ 6   [Trust this CA to identify Websites] チェックボックスをオンにします。
                                                    ステップ 7   [OK] をクリックします。

                                                    Microsoft Internet Explorer
                                                    手順
                                                      ステップ 1   [Menu] バーで [Tools] > [Internet Options] [Content] > [Certificates] をクリックします。
                                                      ステップ 2   [Trusted Root Certification Authorities] をクリックします。
                                                      ステップ 3   [Import] をクリックします。

                                                      [Certificate Import Wizard] ポップアップ ウィンドウが開きます。

                                                      ステップ 4   コンピュータに保存されている CA 証明書を選択するまで、ウィザードの手順に従います。
                                                      ステップ 5   [Finish] をクリックします。

                                                      Google Chrome
                                                      手順
                                                        ステップ 1   [URL address] バーの右側で [Settings] を選択します。
                                                        ステップ 2   [HTTPS/SSL] セクションで [Manage Certificates] をクリックします。
                                                        ステップ 3   [Trusted Root Certification Authorities] をクリックします。
                                                        ステップ 4   [Import] をクリックします。

                                                        [Certificate Import Wizard] ポップアップ ウィンドウが開きます。

                                                        ステップ 5   コンピュータに保存されている CA 証明書を選択するまで、ウィザードの手順に従います。
                                                        ステップ 6   [Finish] をクリックします。

                                                        リモート アクセス ポリシー

                                                        Cisco UCS Central は、インターフェイス モニタリング ポリシーを定義し、SSH 設定ステータスを表示し、HTTP、Telnet、Web セッション制限、および CIM XML のポリシー設定を提供するグローバル リモート アクセス ポリシーをサポートしています。

                                                        HTTP の設定

                                                        HTTP リモート アクセス ポリシーの設定

                                                        はじめる前に

                                                        ドメイン グループ下で HTTP リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。

                                                        手順
                                                          ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                          ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                          ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                          ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                          ステップ 5   [Work] ペインで、[Remote Access] をクリックします。
                                                          ステップ 6   [Work] ペインで、[HTTP] タブをクリックします。
                                                          ステップ 7   [Actions] 領域で、[Create] をクリックし、該当するすべてのフィールドに入力します。

                                                          [Domain Group root] ノード下の [Operational Policies] では、[Create] をクリックして該当するすべてのフィールドに入力する必要はありません。

                                                          ステップ 8   [Save] をクリックします。

                                                          次の作業

                                                          必要に応じて、次のリモート アクセス ポリシーを設定します。

                                                          • Telnet

                                                          • Web セッション制限

                                                          • CIM XML

                                                          • インターフェイス モニタリング ポリシー

                                                          • SSH の設定

                                                          HTTP リモート アクセス ポリシーの削除

                                                          HTTP リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の HTTP リモート アクセス ポリシーは、削除できません。

                                                          手順
                                                            ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                            ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                            ステップ 3   削除するポリシーを含むドメイン グループのノードを展開します。
                                                            ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                            ステップ 5   [Work] ペインで、[Remote Access] をクリックします。
                                                            ステップ 6   [Work] ペインで、[HTTP] タブをクリックします。
                                                            ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                            削除されたポリシーは、再設定されるまでドメイン グループの親から設定を継承します。

                                                            ステップ 8   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。
                                                            ステップ 9   [Save] をクリックします。

                                                            Telnet の設定

                                                            Telnet リモート アクセス ポリシーの設定

                                                            はじめる前に

                                                            ドメイン グループ下で Telnet リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。

                                                            手順
                                                              ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                              ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                              ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                              ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                              ステップ 5   [Work] ペインで、[Remote Access] をクリックします。
                                                              ステップ 6   [Work] ペインで、[Telnet] タブをクリックします。
                                                              ステップ 7   [Actions] 領域で、[Create] をクリックし、該当するすべてのフィールドに入力します。

                                                              [Domain Group root] ノード下の [Operational Policies] では、[Create] をクリックして該当するすべてのフィールドに入力する必要はありません。

                                                              ステップ 8   [Save] をクリックします。

                                                              次の作業

                                                              必要に応じて、次のリモート アクセス ポリシーを設定します。

                                                              • HTTP

                                                              • Web セッション制限

                                                              • CIM XML

                                                              • インターフェイス モニタリング ポリシー

                                                              • SSH の設定

                                                              Telnet リモート アクセス ポリシーの削除

                                                              Telnet リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の Telnet リモート アクセス ポリシーは、削除できません。

                                                              手順
                                                                ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                ステップ 3   削除するポリシーを含むドメイン グループのノードを展開します。
                                                                ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                ステップ 5   [Work] ペインで、[Remote Access] をクリックします。
                                                                ステップ 6   [Work] ペインで、[Telnet] タブをクリックします。
                                                                ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                削除されたポリシーは、再設定されるまでドメイン グループの親から設定を継承します。

                                                                ステップ 8   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。
                                                                ステップ 9   [Save] をクリックします。

                                                                Web セッション制限の設定

                                                                Web セッション制限の設定

                                                                はじめる前に

                                                                ドメイン グループ下で Web セッション制限リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。

                                                                手順
                                                                  ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                  ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                  ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                  ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                  ステップ 5   [Work] ペインで、[Remote Access] をクリックします。
                                                                  ステップ 6   [Work] ペインで、[Web Session Limits] タブをクリックします。
                                                                  ステップ 7   [Actions] 領域で、[Create] をクリックし、該当するすべてのフィールドに入力します。

                                                                  [Domain Group root] ノード下の [Operational Policies] では、[Create] をクリックして該当するすべてのフィールドに入力する必要はありません。

                                                                  ステップ 8   [Save] をクリックします。

                                                                  次の作業

                                                                  必要に応じて、次のリモート アクセス ポリシーを設定します。

                                                                  • HTTP

                                                                  • Telnet

                                                                  • CIM XML

                                                                  • インターフェイス モニタリング ポリシー

                                                                  Web セッション制限の削除

                                                                  Web セッション制限リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の Web セッション制限リモート アクセス ポリシーは削除できません。

                                                                  手順
                                                                    ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                    ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                    ステップ 3   削除するポリシーを含むドメイン グループのノードを展開します。
                                                                    ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                    ステップ 5   [Work] ペインで、[Remote Access] をクリックします。
                                                                    ステップ 6   [Work] ペインで、[Web Session Limits] タブをクリックします。
                                                                    ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                    削除されたポリシーは、再設定されるまでドメイン グループの親から設定を継承します。

                                                                    ステップ 8   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。
                                                                    ステップ 9   [Save] をクリックします。

                                                                    CIM XML の設定

                                                                    CIM XML リモート アクセス ポリシーの設定

                                                                    はじめる前に

                                                                    ドメイン グループ下で CIM XML リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。

                                                                    手順
                                                                      ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                      ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                      ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                      ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                      ステップ 5   [Work] ペインで、[Remote Access] をクリックします。
                                                                      ステップ 6   [Work] ペインで、[CIM XML] タブをクリックします。
                                                                      ステップ 7   [Actions] 領域で、[Create] をクリックし、該当するすべてのフィールドに入力します。

                                                                      [Domain Group root] ノード下の [Operational Policies] では、[Create] をクリックして該当するすべてのフィールドに入力する必要はありません。

                                                                      ステップ 8   [Save] をクリックします。

                                                                      次の作業

                                                                      必要に応じて、次のリモート アクセス ポリシーを設定します。

                                                                      • HTTP

                                                                      • Telnet

                                                                      • Web セッション制限

                                                                      • インターフェイス モニタリング ポリシー

                                                                      CIM XML リモート アクセス ポリシーの削除

                                                                      CIM XML リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の CIM XML リモート アクセス ポリシーは、削除できません。

                                                                      手順
                                                                        ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                        ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                        ステップ 3   削除するポリシーを含むドメイン グループのノードを展開します。
                                                                        ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                        ステップ 5   [Work] ペインで、[Remote Access] をクリックします。
                                                                        ステップ 6   [Work] ペインで、[CIM XML] タブをクリックします。
                                                                        ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                        削除されたポリシーは、再設定されるまでドメイン グループの親から設定を継承します。

                                                                        ステップ 8   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。
                                                                        ステップ 9   [Save] をクリックします。

                                                                        インターフェイス モニタリングの設定

                                                                        インターフェイス モニタリング リモート アクセス ポリシーの設定

                                                                        はじめる前に

                                                                        ドメイン グループ下のインターフェイス モニタリング リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。

                                                                        手順
                                                                          ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                          ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                          ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                          ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                          ステップ 5   [Work] ペインで、[Remote Access] をクリックします。
                                                                          ステップ 6   [Work] ペインで、[Interfaces Monitoring] タブをクリックします。
                                                                          ステップ 7   [Actions] 領域で、[Create] をクリックし、該当するすべてのフィールドに入力します。
                                                                          1. [Monitoring Mechanism] 領域で、[Mii Status] を選択して [Media Independent Interface Monitoring] を選択します。
                                                                          2. [Monitoring Mechanism] 領域で、[Ping ARP Targets] を選択して [ARP Target Monitoring] を選択します。
                                                                          3. [Monitoring Mechanism] 領域で、[Ping Gateway] を選択して [Gateway Ping Monitoring] を選択します。
                                                                          ステップ 8   [Save] をクリックします。

                                                                          次の作業

                                                                          必要に応じて、次のリモート アクセス ポリシーを設定します。

                                                                          • HTTP

                                                                          • Telnet

                                                                          • Web セッション制限

                                                                          • CIM XML

                                                                          インターフェイス モニタリング リモート アクセス ポリシーの削除

                                                                          インターフェイス モニタリング リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下のインターフェイス モニタリング リモート アクセス ポリシーは、削除できません。

                                                                          手順
                                                                            ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                            ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                            ステップ 3   削除するポリシーを含むドメイン グループのノードを展開します。
                                                                            ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                            ステップ 5   [Work] ペインで、[Remote Access] をクリックします。
                                                                            ステップ 6   [Work] ペインで、[Interfaces Monitoring] タブをクリックします。
                                                                            ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                            削除されたポリシーは、再設定されるまでドメイン グループの親から設定を継承します。

                                                                            ステップ 8   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。
                                                                            ステップ 9   [Save] をクリックします。

                                                                            認証サービス

                                                                            Cisco UCS Central は、ネイティブ認証に LDAP を使用し、リモート認証に RADIUS と TACACS+ を使用します。

                                                                            リモート認証プロバイダーに関する注意事項および推奨事項

                                                                            システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Central がそのサービスと通信できるようにする必要があります。 また、ユーザ許可に影響する次のガイドラインに留意する必要があります。

                                                                            リモート認証サービスのユーザ アカウント

                                                                            ユーザ アカウントは、Cisco UCS Central にローカルに存在するか、またはリモート認証サーバに存在することができます。 リモート認証サービスを介してログインしているユーザの一時的なセッションは、Cisco UCS Central GUI または Cisco UCS Central CLI で表示できます。

                                                                            リモート認証サービスのユーザ ロール

                                                                            リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが Cisco UCS Central で作業するために必要なロールをそれらのアカウントに含めること、およびそれらのロールの名前を Cisco UCS Central で使用される名前と一致させることが必要です。 ロール ポリシーによっては、ユーザがログインできない場合があり、その場合は読み取り専用権限だけが付与されます。

                                                                            ローカルおよびリモート ユーザ認証のサポート

                                                                            Cisco UCS Central はリモート認証のために LDAP を使用しますが、このリリースでは RADIUS および TACACS+ 認証を除外します。 ただし、RADIUS、TACACS+、および LDAP 認証は、ローカルに管理される Cisco UCS ドメイン でサポートされています。

                                                                            リモート認証プロバイダーのユーザ属性

                                                                            ユーザがログインすると、Cisco UCS Central は次を実行します。

                                                                            1. リモート認証サービスに問い合わせます。

                                                                            2. ユーザを検証します。

                                                                            3. ユーザが検証されると、そのユーザに割り当てられているロールとロケールをチェックします。

                                                                            次の表に、Cisco UCS Central によってサポートされるリモート認証プロバイダーのユーザ属性要件の比較を示します。

                                                                            表 1 リモート認証プロバイダーによるユーザ属性の比較
                                                                            認証プロバイダー カスタム属性 スキーマの拡張 属性 ID 要件

                                                                            LDAP

                                                                            任意

                                                                            オプション。 次のいずれかを選択して実行できます。

                                                                            • LDAP スキーマを拡張せず、要件を満たす既存の未使用の属性を設定します。

                                                                            • LDAP スキーマを拡張して、CiscoAVPair などの一意の名前でカスタム属性を作成します。

                                                                            シスコの LDAP の実装では、Unicode タイプの属性が必要です。

                                                                            CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します

                                                                            次の項で、サンプル OID を示します。

                                                                            LDAP ユーザ属性のサンプル OID

                                                                            カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。

                                                                            CN=CiscoAVPair,CN=Schema,
                                                                            CN=Configuration,CN=X
                                                                            objectClass: top
                                                                            objectClass: attributeSchema
                                                                            cn: CiscoAVPair
                                                                            distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X
                                                                            instanceType: 0x4
                                                                            uSNCreated: 26318654
                                                                            attributeID: 1.3.6.1.4.1.9.287247.1
                                                                            attributeSyntax: 2.5.5.12
                                                                            isSingleValued: TRUE
                                                                            showInAdvancedViewOnly: TRUE
                                                                            adminDisplayName: CiscoAVPair
                                                                            adminDescription: UCS User Authorization Field
                                                                            oMSyntax: 64
                                                                            lDAPDisplayName: CiscoAVPair
                                                                            name: CiscoAVPair
                                                                            objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X
                                                                            

                                                                            LDAP プロバイダー

                                                                            Cisco UCS Manager で LDAP ユーザを作成する場合と同様の方法で、リモート ユーザを設定し、Cisco UCS Central からロールとロケールを割り当てることができます。 常に Cisco UCS Central ドメイン グループ ルートから LDAP プロバイダーを作成してください。

                                                                            LDAP プロバイダー グループ

                                                                            最大 28 の LDAP プロバイダー グループを定義できます。また Active Directory では Cisco UCS Central でのネストがサポートされているため、任意の数のレベルまでネストできます。 ネスト グループにプロバイダーを割り当てると、プロバイダーが異なる LDAP グループのメンバーであっても、親ネスト グループの認証メンバーになります。 認証中、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。 設定されたすべてのサーバが使用できない場合、または到達不能な場合、Cisco UCS Central は、ローカル ユーザ名とパスワードを使用するローカル認証方式に自動的にフォールバックします。

                                                                            LDAP プロバイダーの作成

                                                                            Cisco UCS Central は最大 16 の LDAP プロバイダーをサポートします。

                                                                            はじめる前に

                                                                            Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS Central にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。

                                                                            • Cisco UCS Central で、次のいずれかを設定します。

                                                                              • LDAP グループ:LDAP グループには、ユーザのロールとロケール情報が含まれています。

                                                                              • Cisco UCS Central のユーザ ロールおよびロケール情報を保持する属性が指定されているユーザ:この属性のために LDAP スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS Central ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、CiscoAVPair 属性などのカスタム属性を作成します。

                                                                                シスコの LDAP の実装では、Unicode タイプの属性が必要です。

                                                                                CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します

                                                                              • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Central によって使用されている仮想 IP アドレスではありません。

                                                                            • セキュア通信を使用するには、Cisco UCS Central で LDAP サーバのルート認証局(CA)の証明書を含むトラスト ポイントを作成します。

                                                                            手順
                                                                              ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                              ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                              ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                              ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                              ステップ 5   [Work] ペインで、[LDAP] を展開し、[Providers] をクリックします。
                                                                              ステップ 6   [Create LDAP Provider] をクリックし、すべてのフィールドに必要な情報を入力します。
                                                                              ステップ 7   [OK] をクリックします。

                                                                              次の作業

                                                                              単一の LDAP データベースが関係する実装の場合は、認証サービスとして LDAP を選択します。


                                                                              (注)  


                                                                              実装に複数のデータベースを指定すると、データベース内で特定のユーザを選択した場合に、サーバはユーザを認証する前に、指定した LDAP データベースの順になります。


                                                                              LDAP プロバイダーのデフォルト設定

                                                                              この [Properties (LDAP)] ダイアログボックスで Cisco UCS Centralに定義されているすべてのプロバイダーのデフォルト設定を設定できます。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。

                                                                              手順
                                                                                ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                ステップ 5   [Work] ペインで、[LDAP] を展開し、[Providers] をクリックします。
                                                                                ステップ 6   [Actions] 領域で、[Properties] をクリックし、すべてのフィールドに入力します。
                                                                                ステップ 7   [Properties (LDAP)] ダイアログボックスで、[General] タブのすべてのフィールドに入力し、[OK] をクリックします。

                                                                                LDAP プロバイダーの削除

                                                                                手順
                                                                                  ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                  ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                  ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                  ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                  ステップ 5   [Work] ペインで、[LDAP] > [Provider] を展開します。
                                                                                  ステップ 6   [Work] ペインで、削除する LDAP プロバイダーをクリックします。
                                                                                  ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                                  また、削除する [LDAP Provider] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                  ステップ 8   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                                                                                  LDAP プロバイダーの LDAP グループ ルールの変更

                                                                                  手順
                                                                                    ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                    ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                    ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                    ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                    ステップ 5   [Work] ペインで、[LDAP] > [Provider] を展開します。
                                                                                    ステップ 6   グループ ルールを変更する LDAP プロバイダーの名前を右クリックします。
                                                                                    ステップ 7   [Properties (LDAP Provider name)] ダイアログボックスの [LDAP Group Rules] セクションで、グループ ルールを変更します。
                                                                                    ステップ 8   [OK] をクリックします。

                                                                                    LDAP グループ マップ

                                                                                    すでに LDAP グループを使用して LDAP データベースへのアクセスを制限している組織の場合、グループ メンバーシップ情報は、ログイン中にロールまたはロケールを LDAP ユーザに割り当てるために Cisco UCS ドメインで使用できます。 これにより、Cisco UCS Central が展開されるときに LDAP ユーザ オブジェクトのロールまたはロケール情報を定義する必要がなくなります。

                                                                                    Cisco UCS Central は、ユーザ ロールとロケールをリモート ユーザに割り当てるときに、LDAP グループ ルールを使用して LDAP グループを判別します。 ユーザがログインすると、Cisco UCS Centralはユーザのロールとロケールに関する情報を LDAP グループ マップから取得します。 ロールとロケールの条件がポリシーの情報に一致すると、Cisco UCS Centralはそのユーザにアクセス権を提供します。

                                                                                    ロールとロケールの定義は Cisco UCS Central でローカルに設定され、LDAP ディレクトリへの変更に基づいて自動的に更新されません。 LDAP ディレクトリで LDAP グループを削除または名前変更する場合、Cisco UCS Centralで変更を更新してください。

                                                                                    LDAP グループ マップは、次のロールとロケールのいずれかの組み合わせを含むように設定できます。
                                                                                    • ロールのみ

                                                                                    • ロケールのみ

                                                                                    • ロールとロケールの両方

                                                                                    例:特定のロケーションのサーバ管理者グループを表す LDAP グループの認証を設定する場合は、server-profile や server-equipment などのユーザ ロールを LDAP グループに含めることができます。 特定のロケーションのサーバ管理者に対しアクセスを制限する場合は、特定のサイト名をロケールに指定できます。

                                                                                    (注)  


                                                                                    Cisco UCS Central には、すぐに使用可能な多くのユーザ ロールが含まれていますが、ロケールは含まれていません。 このため LDAP プロバイダー グループをロケールにマップするカスタム ロケールを作成する必要があります。


                                                                                    ネストされた LDAP グループ

                                                                                    LDAP グループ マップで定義されている別のグループ内にネストされた LDAP グループを検索できます。 この新しい機能を使用すると、Cisco UCS Central のグループ マップでサブグループを常に作成する必要がなくなります。


                                                                                    (注)  


                                                                                    • ネストされた LDAP の検索サポートは Microsoft Active Directory サーバに対してのみサポートされます。 サポートされているバージョンは Microsoft Windows 2003 SP3、Microsoft Windows 2008 R2、および Microsoft Windows 2012 です。

                                                                                    • MS-AD 内でネストされた LDAP グループを作成する場合、名前に特殊文字を使用するには、\\ を使用して特殊文字を設定してください( , \\)。 次に、Cisco UCS Central CLI を使用してネストされた LDAP グループを作成する例を示します。

                                                                                      create ldap-group CN=test1\\(\\),CN=Users,DC=ucsm,DC=qasam-lab,DC=in

                                                                                    LDAP ネスティング機能を使用して、LDAP グループを他のグループおよびネスト グループのメンバーとして追加し、メンバー アカウントを統合してトラフィックの重複を減らすことができます。

                                                                                    デフォルトでは、LDAP グループを別のグループ内にネストするときにユーザ権限が継承されます。 たとえば、Group_2 のメンバーとして Group_1 を作成する場合、Group_1 のユーザは Group_2 のメンバーと同じ権限が与えられます。 その結果、Group_1 のメンバーであるユーザを検索するときは、LDAP グループ マップで Group_2 だけを選択します。Group_1 と Group_2 を別々に検索する必要はありません。

                                                                                    LDAP グループ マップの作成

                                                                                    はじめる前に
                                                                                    • LDAP サーバで LDAP グループを作成します。

                                                                                    • LDAP サーバで LDAP グループの識別名を設定します。

                                                                                    • Cisco UCS Central でロケールを作成します(任意)。

                                                                                    • Cisco UCS Central でカスタム ロールを作成します(任意)。

                                                                                    手順
                                                                                      ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                      ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                      ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                      ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                      ステップ 5   [Work] ペインで、[LDAP] を展開し、[Group Maps] をクリックします。
                                                                                      ステップ 6   [Actions] 領域で、[Create LDAP Group Map] をクリックし、すべてのフィールドに入力し、[OK] をクリックします。

                                                                                      次の作業

                                                                                      LDAP グループ ルールを設定します。

                                                                                      LDAP グループ マップの削除

                                                                                      手順
                                                                                        ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                        ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                        ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                        ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                        ステップ 5   [Work] ペインで、[LDAP] > [Group Maps] を展開します。
                                                                                        ステップ 6   [Work] ペインで、削除するグループ マップをクリックします。
                                                                                        ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                                        また、削除する [Group Map] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                        ステップ 8   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                                                                                        RADIUS プロバイダーの設定

                                                                                        RADIUS プロバイダーのプロパティの設定

                                                                                        このタスクで設定するプロパティは、Cisco UCS ManagerCisco UCS Central で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS ManagerCisco UCS Central でその設定が使用され、デフォルト設定は無視されます。


                                                                                        (注)  


                                                                                        RADIUS ネイティブ認証は、このリリースではサポートされていません。また、ドメイン グループ ルートおよびドメイン グループ下の Cisco UCS Central のポリシーの作成には使用できません。 RADIUS は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。


                                                                                        手順
                                                                                          ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                          ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                          ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                          ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                          ステップ 5   [Work] ペインで [RADIUS] をクリックします。
                                                                                          ステップ 6   [Actions] 領域で、[Properties] をクリックし、すべてのフィールドに入力します。

                                                                                          また、[RADIUS] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                          1. [Properties (RADIUS)] ダイアログボックスで、[General] タブのすべてのフィールドに入力します。
                                                                                          2. [OK] をクリックします。
                                                                                          ステップ 7   [Save] をクリックします。

                                                                                          次の作業

                                                                                          RADIUS プロバイダーを作成します。

                                                                                          RADIUS プロバイダーの作成

                                                                                          Cisco UCS Central は最大 16 の RADIUS プロバイダーをサポートします。 RADIUS ネイティブ認証は、このリリースではサポートされていません。また、ドメイン グループ ルートおよびドメイン グループ下の Cisco UCS Central のポリシーの作成には使用できません。 RADIUS は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。

                                                                                          はじめる前に

                                                                                          RADIUS サーバで、次の設定を行います。

                                                                                          • Cisco UCS Central のユーザ ロールとロケール情報を保持する属性でユーザを設定します。 この属性について RADIUS スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。

                                                                                            シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。

                                                                                            次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、区切り文字としてカンマ「,」を使用します。

                                                                                          • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Central によって使用されている仮想 IP アドレスではありません。

                                                                                          手順
                                                                                            ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                            ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                            ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                            ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                            ステップ 5   [Work] ペインで、[RADIUS] を展開し、[Providers] をクリックします。
                                                                                            ステップ 6   [Actions] 領域で、[Create RADIUS Provider] をクリックし、すべてのフィールドに入力します。

                                                                                            また、[Providers] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                            1. [Create RADIUS Provider] ダイアログボックスで、[General] タブのすべてのフィールドに入力します。
                                                                                            2. [OK] をクリックします。
                                                                                            ステップ 7   [Save] をクリックします。

                                                                                            次の作業

                                                                                            • 単一の RADIUS データベースが関係する実装の場合は、RADIUS をプライマリ認証サービスとして選択します。

                                                                                            • 複数の RADIUS データベースが関係する実装の場合は、RADIUS プロバイダー グループを設定します。

                                                                                            RADIUS プロバイダーの削除

                                                                                            手順
                                                                                              ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                              ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                              ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                              ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                              ステップ 5   [Work] ペインで、[RADIUS] を展開し、[Providers] をクリックします。
                                                                                              ステップ 6   [Work] ペインで、削除する [RADIUS Provider] をクリックします。
                                                                                              ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                                              また、削除する [RADIUS Provider] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                              ステップ 8   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                                                                                              TACACS+ プロバイダーの設定

                                                                                              TACACS+ プロバイダーのプロパティの設定

                                                                                              このタスクで設定するプロパティは、Cisco UCS ManagerCisco UCS Central で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS ManagerCisco UCS Central でその設定が使用され、デフォルト設定は無視されます。


                                                                                              (注)  


                                                                                              TACACS+ ネイティブ認証は、このリリースではサポートされていません。また、Cisco UCS Central でのポリシーの作成には使用できません。 TACACS+ は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。


                                                                                              手順
                                                                                                ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                                ステップ 5   [Work] ペインで [TACACS+] をクリックします。
                                                                                                ステップ 6   [Actions] 領域で、[Properties] をクリックします。

                                                                                                また、[TACACS+] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                                1. [Properties (TACACS+)] ダイアログボックスで、[General] タブのすべてのフィールドに入力します。
                                                                                                2. [OK] をクリックします。
                                                                                                ステップ 7   [Save] をクリックします。

                                                                                                次の作業

                                                                                                TACACS+ プロバイダーを作成します。

                                                                                                TACACS+ プロバイダーの作成

                                                                                                Cisco UCS Central は最大 16 の TACACS+ プロバイダーをサポートします。 TACACS+ ネイティブ認証は、このリリースではサポートされていません。また、Cisco UCS Central でのポリシーの作成には使用できません。 TACACS+ は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。

                                                                                                はじめる前に

                                                                                                TACACS+ サーバで、次の設定を行います。

                                                                                                • cisco-av-pair 属性を作成します。 既存の TACACS+ 属性は使用できません。

                                                                                                  cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。

                                                                                                  次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。 複数の値を区切るには、区切り文字としてスペースを使用します。

                                                                                                • クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Central によって使用されている仮想 IP アドレスではありません。

                                                                                                手順
                                                                                                  ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                  ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                  ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                  ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                                  ステップ 5   [Work] ペインで、[TACACS+] を展開し、[Providers] をクリックします。
                                                                                                  ステップ 6   [Actions] 領域で、[Create TACACS+ Provider] をクリックし、すべてのフィールドに入力します。

                                                                                                  また、[Providers] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                                  1. [Create TACACS+ Provider] ダイアログボックスで、[General] タブのすべてのフィールドに入力します。
                                                                                                  2. [OK] をクリックします。
                                                                                                  ステップ 7   [Save] をクリックします。

                                                                                                  次の作業

                                                                                                  • 単一の TACACS+ データベースが関係する実装の場合は、TACACS+ をプライマリ認証サービスとして選択します。

                                                                                                  • 複数の TACACS+ データベースが関係する実装の場合は、TACACS+ プロバイダー グループを設定します。

                                                                                                  TACACS+ プロバイダーの削除

                                                                                                  手順
                                                                                                    ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                    ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                    ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                    ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                                    ステップ 5   [Work] ペインで、[TACACS+] > [Provider] を展開します。
                                                                                                    ステップ 6   [Work] ペインで、削除する TACACS+ プロバイダーをクリックします。
                                                                                                    ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                                                    また、削除する [TACACS+ Provider] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                                    ステップ 8   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                                                                                                    マルチ認証システムの設定

                                                                                                    マルチ認証システム

                                                                                                    Cisco UCS を設定して、次の機能を設定することによって複数の認証システムを使用できます。

                                                                                                    • プロバイダー グループ

                                                                                                    • 認証ドメイン

                                                                                                    Cisco UCS Central GUI でプロバイダー グループと認証ドメインを設定すると、ucs- auth-domain 構文を使用して Cisco UCS Central CLI でシステムにログインできます。

                                                                                                    リモート認証サービスで複数の認証ドメインおよびネイティブ認証が設定されている場合、次のいずれかの構文例を使用して SSH または Putty でログインします。

                                                                                                    Linux ターミナルから:

                                                                                                    • ssh ucs-auth-domain\\username@Cisco UCS domain-ip-address

                                                                                                      ssh ucs-example\\jsmith@192.0.20.11

                                                                                                    • ssh -l ucs-auth-domain\\username {Cisco UCS domain-ip-address | Cisco UCS domain-host-name}

                                                                                                      ssh -l ucs-example\\jsmith 192.0.20.11

                                                                                                    • ssh {Cisco UCS domain-ip-address | Cisco UCS domain-host-name} -l ucs-auth-domain\\username

                                                                                                      ssh 192.0.20.11 -l ucs-example\\jsmith

                                                                                                    Putty クライアントから:

                                                                                                    • Login as: ucs-auth-domain\\username

                                                                                                      Login as: ucs-example\\jsmith

                                                                                                    SSH クライアントから:

                                                                                                    • Host Name: Cisco UCS domain-ip-address

                                                                                                      User Name: ucs-auth-domain\\username

                                                                                                      Host Name: 192.0.20.11

                                                                                                      User Name: ucs-example\\jsmith

                                                                                                    プロバイダー グループ

                                                                                                    プロバイダー グループは、認証プロセス中に Cisco UCS によって使用されるプロバイダーのセットです。 Cisco UCS Central では、グループごとに最大 8 個のプロバイダーが許可された、最大 16 個のプロバイダー グループを作成できます。

                                                                                                    認証中、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。 設定されたすべてのサーバが使用できない場合、または到達不能な場合、Cisco UCS Central は、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。

                                                                                                    LDAP プロバイダー グループの作成

                                                                                                    LDAP プロバイダー グループを作成すると、複数の LDAP データベースを使用して認証できます。

                                                                                                    (注)  


                                                                                                    単一の LDAP データベースを使用した認証では、LDAP プロバイダー グループを設定する必要はありません。


                                                                                                    はじめる前に

                                                                                                    1 つ以上の LDAP プロバイダーを作成します。

                                                                                                    手順
                                                                                                      ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                      ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                      ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                      ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                                      ステップ 5   [Work] ペインで、[LDAP] を展開し、[Provider Groups] をクリックします。
                                                                                                      ステップ 6   [Actions] 領域で、[Create LDAP Provider Group] をクリックし、すべてのフィールドに入力します。

                                                                                                      また、[Provider Groups] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                                      1. [Create LDAP Provider Group] ダイアログボックスで、[General] タブのすべてのフィールドに入力します。
                                                                                                      2. [OK] をクリックします。
                                                                                                      ステップ 7   [Save] をクリックします。

                                                                                                      次の作業

                                                                                                      単一の LDAP データベースが関係する実装の場合は、認証サービスとして LDAP を選択します。

                                                                                                      LDAP プロバイダー グループの削除

                                                                                                      手順
                                                                                                        ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                        ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                        ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                        ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                                        ステップ 5   [Work] ペインで、[LDAP] > [Provider Groups] を展開します。
                                                                                                        ステップ 6   [Work] ペインで、削除する LDAP プロバイダー グループをクリックします。
                                                                                                        ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                                                        また、削除する [LDAP Provider Group] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                                        ステップ 8   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                                                                                                        RADIUS プロバイダー グループの作成

                                                                                                        RADIUS プロバイダー グループを作成すると、複数の RADIUS データベースを使用して認証できます。

                                                                                                        (注)  


                                                                                                        単一の RADIUS データベースを使用した認証では、RADIUS プロバイダー グループを設定する必要はありません。


                                                                                                        はじめる前に

                                                                                                        1 つ以上の RADIUS プロバイダーを作成します。

                                                                                                        手順
                                                                                                          ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                          ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                          ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                          ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                                          ステップ 5   [Work] ペインで、[RADIUS] を展開し、[Providers] をクリックします。
                                                                                                          ステップ 6   [Actions] 領域で、[Create RADIUS Provider Group] をクリックし、すべてのフィールドに入力します。

                                                                                                          また、[Provider Groups] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                                          1. [Create RADIUS Provider] ダイアログボックスで、[General] タブのすべてのフィールドに入力します。
                                                                                                          2. [OK] をクリックします。
                                                                                                          ステップ 7   [Save] をクリックします。

                                                                                                          次の作業

                                                                                                          認証ドメインを設定するか、デフォルト認証サービスを選択します。

                                                                                                          RADIUS プロバイダー グループの削除

                                                                                                          手順
                                                                                                            ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                            ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                            ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                            ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                                            ステップ 5   [Work] ペインで、[RADIUS] > [Provider Groups] を展開します。
                                                                                                            ステップ 6   [Work] ペインで、削除する RADIUS プロバイダー グループをクリックします。
                                                                                                            ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                                                            また、削除する [RADIUS Provider Group] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                                            ステップ 8   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                                                                                                            TACACS+ プロバイダー グループの作成

                                                                                                            TACACS+ プロバイダー グループを作成すると、複数の TACACS+ データベースを使用して認証できます。

                                                                                                            (注)  


                                                                                                            単一の TACACS+ データベースを使用した認証では、TACACS+ プロバイダー グループを設定する必要はありません。


                                                                                                            はじめる前に

                                                                                                            1 つ以上の TACACS+ プロバイダーを作成します。

                                                                                                            手順
                                                                                                              ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                              ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                              ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                              ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                                              ステップ 5   [Work] ペインで、[TACACS+] を展開し、[Provider Groups] をクリックします。
                                                                                                              ステップ 6   [Actions] 領域で、[Create TACACS+ Provider Group] をクリックし、すべてのフィールドに入力します。

                                                                                                              また、[Provider Groups] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                                              1. [Create TACACS+ Provider Group] ダイアログボックスで、[General] タブのすべてのフィールドに入力します。
                                                                                                                名前 説明

                                                                                                                [Name] フィールド

                                                                                                                TACACS+ プロバイダー グループの名前。

                                                                                                                [Available Providers] リスト ボックス

                                                                                                                TACACS+ グループに追加できる使用可能な TACACS+ プロバイダー。

                                                                                                                Shift+Click および Ctrl+Click を使用して、複数のプロバイダーを選択できます。

                                                                                                                [>>] ボタン

                                                                                                                [Available Providers] リスト ボックスでどのプロバイダーが選択されているかに関係なく、使用可能なすべてのプロバイダーをグループに追加します。

                                                                                                                [>] ボタン

                                                                                                                [Available Providers] リスト ボックスで選択されたプロバイダーをグループに追加します。

                                                                                                                [<] ボタン

                                                                                                                [Assigned Providers] リスト ボックスで選択されたプロバイダーをグループから削除します。

                                                                                                                [<<] ボタン

                                                                                                                [Assigned Providers] リスト ボックスでどのプロバイダーが選択されているかに関係なく、すべてのプロバイダーをグループから削除します。

                                                                                                                [Assigned Providers] リスト ボックス

                                                                                                                TACACS+ グループに含まれている TACACS+ プロバイダー。

                                                                                                                Cisco UCS は、テーブルに表示される順序でプロバイダーを検索します。 プロバイダーのプライオリティを変更するには、プロバイダーを選択し、リストの上にある矢印ボタンを使用して、目的の位置にプロバイダーを移動します。

                                                                                                              2. [OK] をクリックします。
                                                                                                              ステップ 7   [Save] をクリックします。

                                                                                                              TACACS+ プロバイダー グループの削除

                                                                                                              認証設定で使用されているプロバイダー グループは削除できません。

                                                                                                              手順
                                                                                                                ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                                                ステップ 5   [Work] ペインで、[TACACS+] > [Provider Groups] を展開します。
                                                                                                                ステップ 6   [Work] ペインで、削除する [TACACS+ Provider Group] グループをクリックします。
                                                                                                                ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                                                                また、削除する [TACACS+ Provider Group] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                                                ステップ 8   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                                                                                                                認証ドメイン

                                                                                                                認証ドメインは、マルチ認証システムを活用するために Cisco UCS ドメインによって使用されます。 各認証ドメインは、ログイン中に指定および設定されます。 認証ドメインを指定しないと、デフォルトの認証サービス設定が使用されます。

                                                                                                                最大 8 個の認証ドメインを作成できます。 各認証ドメインは、Cisco UCS ドメイン内のプロバイダー グループと領域に関連付けられています。 プロバイダー グループが指定されていない場合は、領域内のすべてのサーバが使用されます。


                                                                                                                (注)  


                                                                                                                このリリースでは LDAP の認証ドメインが Cisco UCS Centralでサポートされます。 ただし、Cisco UCS Central ドメイン グループ ルートの管理対象 Cisco UCS ドメインで認証ドメインがサポートされています。


                                                                                                                認証ドメインの作成

                                                                                                                手順
                                                                                                                  ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                  ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                  ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                  ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                                                  ステップ 5   [Work] ペインで、[Authentication] を展開し、[Authentication Domains] をクリックします。
                                                                                                                  ステップ 6   [Actions] 領域で、[Create Authentication Domain] をクリックし、すべてのフィールドに入力します。

                                                                                                                  また、[Authentication Domains] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                                                  1. [Create Authentication] ダイアログボックスで、[General] タブのすべてのフィールドに入力します。
                                                                                                                  2. [OK] をクリックします。
                                                                                                                  ステップ 7   [Save] をクリックします。

                                                                                                                  プライマリ認証サービスの選択

                                                                                                                  コンソール認証サービスの選択

                                                                                                                  はじめる前に

                                                                                                                  システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。

                                                                                                                  手順
                                                                                                                    ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                    ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                    ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                    ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                                                    ステップ 5   [Work] ペインで、[Authentication] を展開し、[Native Authentication] をクリックします。
                                                                                                                    ステップ 6   [Actions] 領域で、[Properties] をクリックし、すべてのフィールドに入力します。

                                                                                                                    また、[Properties] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                                                    1. [Properties (Native Authentication)] ダイアログボックスで、[General] タブのすべての [Default Authentication] フィールドに入力します。
                                                                                                                    2. [Properties (Native Authentication)] ダイアログボックスで、[General] タブのすべての [Console Authentication] フィールドに入力します。
                                                                                                                    3. [Properties (Native Authentication)] ダイアログボックスで、[General] タブのすべての [Remote Users Policy] フィールドに入力します。
                                                                                                                    4. [OK] をクリックします。
                                                                                                                    ステップ 7   [Save] をクリックします。

                                                                                                                    デフォルト認証サービスの選択

                                                                                                                    はじめる前に

                                                                                                                    システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。

                                                                                                                    手順
                                                                                                                      ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                      ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                      ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                      ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                                                      ステップ 5   [Work] ペインで、[Authentication] を展開し、[Native Authentication] をクリックします。
                                                                                                                      ステップ 6   [Actions] 領域で、[Properties] をクリックし、すべてのフィールドに入力します。

                                                                                                                      また、[Native Authentication] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                                                      1. [Properties (Native Authentication)] ダイアログボックスで、[General] タブのすべての [Default Authentication] フィールドに入力します。
                                                                                                                      2. [OK] をクリックします。
                                                                                                                      ステップ 7   [Save] をクリックします。

                                                                                                                      リモート ユーザのロール ポリシー

                                                                                                                      デフォルトでは、ユーザ ロールが Cisco UCS Central で設定されていない場合、LDAP プロトコル(このリリースでは RADIUS および TACACS+ 認証を除く)を使用して、リモート サーバから Cisco UCS Central にログインしたすべてのユーザに読み取り専用アクセス権が付与されます。


                                                                                                                      (注)  


                                                                                                                      RADIUS、TACACS+、および LDAP 認証は、ローカルに管理された Cisco UCS ドメインでサポートされています。


                                                                                                                      リモート ユーザのロール ポリシーは、次の方法で設定できます。
                                                                                                                      • assign-default-role

                                                                                                                        ユーザ ロールに基づいて、Cisco UCS Central へのユーザ アクセスを制限しません。 その他のユーザ ロールが Cisco UCS Central で定義されていない限り、読み取り専用アクセス権がすべてのユーザに付与されます。

                                                                                                                        これはデフォルトの動作です。

                                                                                                                      • no-login

                                                                                                                        ユーザ ロールに基づいて、Cisco UCS Central へのユーザ アクセスを制限します。 リモート認証システムにユーザ ロールが割り当てられていない場合、アクセスが拒否されます。

                                                                                                                      セキュリティ上の理由から、Cisco UCS Central で確立されたユーザ ロールに一致するユーザへのアクセスを制限するのが望ましい場合があります。

                                                                                                                      リモート ユーザのロール ポリシーの設定

                                                                                                                      手順
                                                                                                                        ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                        ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                        ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                        ステップ 4   [Work] ペインで、[Security] をクリックします。
                                                                                                                        ステップ 5   [Work] ペインで、[Authentication] を展開し、[Native Authentication] をクリックします。
                                                                                                                        ステップ 6   [Actions] 領域で、[Properties] をクリックし、すべてのフィールドに入力します。

                                                                                                                        また、[Native Authentication] を右クリックして、そのオプションにアクセスすることもできます。

                                                                                                                        1. [Properties (Native Authentication)] ダイアログボックスで、[General] タブのすべての [Remote Users Policy] フィールドに入力します。
                                                                                                                        2. [OK] をクリックします。
                                                                                                                        ステップ 7   [Save] をクリックします。

                                                                                                                        DNS サーバの設定

                                                                                                                        DNS ポリシーの管理

                                                                                                                        Cisco UCS Central は、DNS サーバおよびドメイン名を定義するグローバル DNS ポリシーをサポートしています。 登録済み Cisco UCS ドメインでは、そのドメインのポリシー解決コントロール内で DNS 管理をグローバルに定義するようにしている場合、DNS 管理について Cisco UCS Central への登録に従うことになります。

                                                                                                                        DNS ポリシーの設定

                                                                                                                        はじめる前に

                                                                                                                        ドメイン グループ ルート下でドメイン グループの DNS ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。

                                                                                                                        手順
                                                                                                                          ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                          ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                          ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                          ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                          ステップ 5   [Work] ペインで、[DNS] をクリックします。
                                                                                                                          ステップ 6   [Actions] 領域で、[Create] をクリックし、該当するすべてのフィールドに入力します。
                                                                                                                          ステップ 7   [Save] をクリックします。

                                                                                                                          DNS ポリシーの削除

                                                                                                                          DNS ポリシーを削除すると、そのポリシー内のすべての DNS サーバ設定が削除されます。

                                                                                                                          手順
                                                                                                                            ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                            ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                            ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                            ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                            ステップ 5   [Work] ペインで、[DNS] をクリックします。
                                                                                                                            ステップ 6   [Actions] 領域で、[Delete] をクリックします。

                                                                                                                            削除されたポリシーは、再設定されるまでドメイン グループの親から設定を継承します。

                                                                                                                            ステップ 7   [Save] をクリックします。

                                                                                                                            DNS ポリシーの DNS サーバの設定

                                                                                                                            はじめる前に

                                                                                                                            DNS ポリシーを設定します。

                                                                                                                            手順
                                                                                                                              ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                              ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                              ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                              ステップ 4   [Work] ペインで、[DNS] をクリックします。
                                                                                                                              ステップ 5   [Actions] 領域で、[Add DNS Server] をクリックし、すべてのフィールドに入力します。
                                                                                                                              1. [Add DNS Server] ダイアログボックスで、すべてのフィールドに値を入力します。
                                                                                                                              2. [OK] をクリックします。
                                                                                                                              ステップ 6   [Save] をクリックします。

                                                                                                                              DNS ポリシーからの DNS サーバの削除

                                                                                                                              手順
                                                                                                                                ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                                ステップ 4   [Work] ペインで、[DNS] をクリックします。
                                                                                                                                ステップ 5   [Actions] 領域で、削除する DNS サーバを選択し、[Delete] をクリックします。

                                                                                                                                また、DNS サーバを右クリックして、そのオプションにアクセスすることもできます。

                                                                                                                                ステップ 6   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。
                                                                                                                                ステップ 7   [Save] をクリックします。

                                                                                                                                電力ポリシーの管理

                                                                                                                                Cisco UCS Central は、グローバルな電力割り当てポリシー(ポリシー ドリブン シャーシ グループ キャップ方式または手動のブレード レベル キャップ方式に基づく)、電力ポリシー(グリッド、n+1、または非冗長方式に基づく)を定義するグローバルな装置ポリシーをサポートしています。 登録済み Cisco UCS ドメインでは、そのクライアントのポリシー解決コントロール内で電源管理と電源装置ユニットをグローバルに定義するようにしている場合、電源管理と電源装置ユニットについて Cisco UCS Central への登録に従うことになります。

                                                                                                                                グローバルな電力割り当て装置ポリシーの設定

                                                                                                                                はじめる前に

                                                                                                                                ドメイン グループ下でグローバルな電力割り当て装置ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。

                                                                                                                                手順
                                                                                                                                  ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                  ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                  ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                                  ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                  ステップ 5   [Work] ペインで、[Equipment] をクリックします。
                                                                                                                                  ステップ 6   [Work] ペインで [Global Power Allocation Policy] タブをクリックします。
                                                                                                                                  ステップ 7   [Actions] 領域で、[Create] をクリックし、該当するすべてのフィールドに入力します。
                                                                                                                                  ステップ 8   [Save] をクリックします。

                                                                                                                                  グローバルな電力割り当て装置ポリシーの削除

                                                                                                                                  手順
                                                                                                                                    ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                    ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                    ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                                    ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                    ステップ 5   [Work] ペインで、[Equipment] をクリックします。
                                                                                                                                    ステップ 6   [Work] ペインで [Global Power Allocation Policy] タブをクリックします。
                                                                                                                                    ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                                                                                    削除されたポリシーは、再設定されるまでドメイン グループの親から設定を継承します。

                                                                                                                                    ステップ 8   [Save] をクリックします。

                                                                                                                                    電力装置ポリシーの設定

                                                                                                                                    はじめる前に

                                                                                                                                    ドメイン グループ下で電力装置ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。

                                                                                                                                    手順
                                                                                                                                      ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                      ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                      ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                                      ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                      ステップ 5   [Work] ペインで、[Equipment] をクリックします。
                                                                                                                                      ステップ 6   [Work] ペインで、[Power Policy] タブをクリックします。
                                                                                                                                      ステップ 7   [Actions] 領域で、[Create] をクリックし、該当するすべてのフィールドに入力します。
                                                                                                                                      ステップ 8   [Save] をクリックします。

                                                                                                                                      電力装置ポリシーの削除

                                                                                                                                      手順
                                                                                                                                        ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                        ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                        ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                                        ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                        ステップ 5   [Work] ペインで、[Equipment] をクリックします。
                                                                                                                                        ステップ 6   [Work] ペインで、[Power Policy] タブをクリックします。
                                                                                                                                        ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                                                                                        削除されたポリシーは、再設定されるまでドメイン グループの親から設定を継承します。

                                                                                                                                        ステップ 8   [Save] をクリックします。

                                                                                                                                        タイム ゾーンの管理

                                                                                                                                        タイム ゾーンの管理

                                                                                                                                        Cisco UCS Central は、国際的なタイム ゾーンと定義された NTP サーバに基づいて、グローバルな日付と時刻ポリシーをサポートしています。 登録済み Cisco UCS Manager クライアントでは、そのクライアントのポリシー解決コントロール内で日付と時刻をグローバルに定義するようにしている場合、日付と時刻の設定について Cisco UCS Central への登録に従うことになります。

                                                                                                                                        日付と時刻ポリシーの設定

                                                                                                                                        はじめる前に

                                                                                                                                        ドメイン グループ下で日付と時刻ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。

                                                                                                                                        手順
                                                                                                                                          ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                          ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                          ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                                          ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                          ステップ 5   [Work] ペインで、[DateTime] をクリックします。
                                                                                                                                          ステップ 6   [Actions] 領域で、[Create] をクリックし、該当するすべてのフィールドに入力します。
                                                                                                                                          ステップ 7   [Save] をクリックします。

                                                                                                                                          日付と時刻ポリシーの削除

                                                                                                                                          日付と時刻ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の日付と時刻ポリシーは、削除できません。

                                                                                                                                          日付と時刻ポリシーを削除すると、そのポリシー内のすべての NTP サーバ設定が削除されます。

                                                                                                                                          手順
                                                                                                                                            ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                            ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                            ステップ 3   削除するポリシーを含むドメイン グループのノードを展開します。
                                                                                                                                            ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                            ステップ 5   [Work] ペインで、[DateTime] をクリックします。
                                                                                                                                            ステップ 6   [Actions] 領域で、[Delete] をクリックします。

                                                                                                                                            削除されたポリシーは、再設定されるまでドメイン グループの親から設定を継承します。

                                                                                                                                            ステップ 7   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。
                                                                                                                                            ステップ 8   [Save] をクリックします。

                                                                                                                                            日付と時刻ポリシーの NTP サーバの設定

                                                                                                                                            はじめる前に

                                                                                                                                            ドメイン グループ ルート下にあるドメイン グループの NTP サーバを設定するには、最初に日付と時刻ポリシーを作成しておく必要があります。

                                                                                                                                            手順
                                                                                                                                              ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                              ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                              ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                                              ステップ 4   [Work] ペインで、[DateTime] をクリックします。
                                                                                                                                              ステップ 5   [Actions] 領域で、[Add NTP Server] をクリックし、すべてのフィールドに入力し、[OK] をクリックします。
                                                                                                                                              ステップ 6   [Save] をクリックします。

                                                                                                                                              NTP サーバのプロパティの設定

                                                                                                                                              既存の NTP サーバのプロパティは、NTP サーバ インスタンスを保存する前に更新される場合があります。 保存された NTP サーバの名前を変更するには、削除して再作成する必要があります。

                                                                                                                                              手順
                                                                                                                                                ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                                ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                                ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                                                ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                                ステップ 5   [Work] ペインで、[DateTime] をクリックします。
                                                                                                                                                ステップ 6   [Actions] 領域で、設定する NTP サーバを選択して [Properties] をクリックし、すべてのフィールドに入力します。

                                                                                                                                                また、NTP サーバを右クリックして、そのオプションにアクセスすることもできます。 NTP サーバが保存されている場合は、[Actions] 領域の [Properties] をクリックしてアクセスできる [Properties (NTP Provider)] ダイアログを編集できません。 保存されている NTP サーバのサーバ名を変更するには、NTP サーバを削除して再作成します。

                                                                                                                                                1. [Properties (NTP Provider)] ダイアログボックスで、すべてのフィールドに値を入力します。
                                                                                                                                                  名前 説明

                                                                                                                                                  [NTP Server] フィールド

                                                                                                                                                  使用する NTP サーバの IP アドレスまたはホスト名。

                                                                                                                                                  (注)     

                                                                                                                                                  IPv4 アドレスではなくホスト名を使用する場合、DNS サーバを設定する必要があります。 Cisco UCS ドメインCisco UCS Central に登録されていないか、DNS 管理が [ローカル] に設定されている場合は、Cisco UCS Manager で DNS サーバを設定します。 Cisco UCS ドメイン Cisco UCS Central に登録されていないか、DNS 管理が [グローバル] に設定されている場合は、Cisco UCS Central で DNS サーバを設定します。

                                                                                                                                                2. [OK] をクリックします。
                                                                                                                                                ステップ 7   [Save] をクリックします。

                                                                                                                                                日付と時刻ポリシーからの NTP サーバの削除

                                                                                                                                                手順
                                                                                                                                                  ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                                  ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                                  ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                                                  ステップ 4   [Work] ペインで、[DateTime] をクリックします。
                                                                                                                                                  ステップ 5   [Actions] 領域で、削除する NTP サーバを選択し、[Delete] をクリックします。

                                                                                                                                                  また、NTP サーバを右クリックして、そのオプションにアクセスすることもできます。 削除される NTP サーバは、再設定されるまでドメイン グループの親からの設定を継承します。

                                                                                                                                                  ステップ 6   Cisco UCS Central GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                                                                                                                                                  SNMP ポリシー

                                                                                                                                                  Cisco UCS Central は、SNMP トラップおよび SNMP ユーザの有効化と無効化、定義を行うグローバル SNMP ポリシーをサポートしています(通常のパスワードとプライバシー パスワード、認証タイプ md5 または sha、および暗号化タイプ DES と AES-128 により)。 登録済み Cisco UCS ドメインでは、そのクライアントのポリシー解決コントロール内で SNMP ポリシーをグローバルに定義するようにしている場合、すべての SNMP ポリシーについて Cisco UCS Central への登録に従うことになります。

                                                                                                                                                  SNMP エージェント機能は、Cisco UCS Centralをリモートでモニタする機能を提供します。 また、Cisco UCS Central ホスト IP を変更し、新しい IP で SNMP エージェントを再起動することもできます。 SNMP が、アクティブとスタンバイの両方の Cisco UCS Central サーバで稼働しており、設定が両方のサーバで保持されます。 Cisco UCS Central は、オペレーティング システムにより管理される情報ベース(MIB)のみへの読み取りアクセス権を提供します。Cisco UCS Central CLI を使用して、SNMP v1、v2c のコミュニティ ストリングを設定し、SNMPv3 ユーザを作成および削除することができます。

                                                                                                                                                  SNMP 機能の概要

                                                                                                                                                  SNMP フレームワークは 3 つの部分で構成されます。

                                                                                                                                                  • SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。

                                                                                                                                                  • SNMP エージェント:管理対象デバイスである Cisco UCS Central 内のソフトウェア コンポーネントで、Cisco UCS Central のデータを維持し、必要に応じて SNMP にレポートします。 Cisco UCS Central には、エージェントと MIB 収集が含まれます。 SNMP エージェントを有効にし、マネージャとエージェント間のリレーションシップを作成するには、Cisco UCS Central で SNMP を有効にし、設定します。

                                                                                                                                                  • 管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。 Cisco UCS Central では OS MIB モードだけがサポートされます。

                                                                                                                                                  Cisco UCS Central では SNMPv1、SNMPv2c、および SNMPv3 がサポートされます。 SNMPv1 と SNMPv2c は、ともにコミュニティベース形式のセキュリティを使用します。 SNMP を定義する RFC を次に示します。

                                                                                                                                                  SNMP 通知

                                                                                                                                                  SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。

                                                                                                                                                  Cisco UCS Central では SNMP 通知がトラップとして生成されます。 SNMP マネージャはトラップ受信時に確認応答を送信せず、Cisco UCS Central はトラップが受信されたかどうかを確認できないため、トラップの信頼性は低くなります。

                                                                                                                                                  SNMP セキュリティ機能

                                                                                                                                                  SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。 SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。 SNMPv3 ユーザベース セキュリティ モデル(USM) は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。

                                                                                                                                                  • メッセージの完全性:メッセージが不正な方法で変更または破壊されていないことを保証します。また、データ シーケンスが、通常発生するものよりも高い頻度で変更されていないことを保証します。

                                                                                                                                                  • メッセージ発信元の認証:受信データを発信したユーザのアイデンティティが確認されたことを保証します。

                                                                                                                                                  • メッセージの機密性および暗号化:不正なユーザ、エンティティ、またはプロセスからの情報の利用や開示を行えないようにします。

                                                                                                                                                  SNMP セキュリティ レベルおよび権限

                                                                                                                                                  SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。 セキュリティ モデルは、選択したセキュリティ レベルと結合され、SNMP メッセージの処理中に適用されるセキュリティ メカニズムを決定します。

                                                                                                                                                  セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。 権限レベルは、メッセージが開示されないよう保護または認証の必要があるかどうかを決定します。 サポートされるセキュリティ レベルは、セキュリティ モデルが設定されているかによって異なります。 SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。

                                                                                                                                                  • noAuthNoPriv:認証なし、暗号化なし

                                                                                                                                                  • authNoPriv:認証あり、暗号化なし

                                                                                                                                                  • authPriv:認証あり、暗号化あり

                                                                                                                                                  SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。

                                                                                                                                                  SNMP セキュリティ モデルおよびセキュリティ レベル

                                                                                                                                                  次の表に、Cisco UCS Centralでサポートされる SNMP セキュリティ モデルとセキュリティ レベルの組み合わせを示します。

                                                                                                                                                  表 2  SNMP セキュリティ モデルおよびセキュリティ レベル

                                                                                                                                                  モデル

                                                                                                                                                  レベル

                                                                                                                                                  認証

                                                                                                                                                  暗号化

                                                                                                                                                  結果

                                                                                                                                                  v1

                                                                                                                                                  noAuthNoPriv

                                                                                                                                                  コミュニティ ストリング

                                                                                                                                                  No

                                                                                                                                                  コミュニティ ストリングの照合を使用して認証します。

                                                                                                                                                  v2c

                                                                                                                                                  noAuthNoPriv

                                                                                                                                                  コミュニティ ストリング

                                                                                                                                                  No

                                                                                                                                                  コミュニティ ストリングの照合を使用して認証します。

                                                                                                                                                  v3

                                                                                                                                                  noAuthNoPriv

                                                                                                                                                  [Username]

                                                                                                                                                  No

                                                                                                                                                  ユーザ名の照合を使用して認証します。

                                                                                                                                                  v3

                                                                                                                                                  authNoPriv

                                                                                                                                                  HMAC-MD5 または HMAC-SHA

                                                                                                                                                  No

                                                                                                                                                  Hash-Based Message Authentication Code(HMAC)メッセージ ダイジェスト 5(MD5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。

                                                                                                                                                  v3

                                                                                                                                                  authPriv

                                                                                                                                                  HMAC-MD5 または HMAC-SHA

                                                                                                                                                  DES

                                                                                                                                                  HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。

                                                                                                                                                  Cisco UCS Central での SNMP サポート

                                                                                                                                                  MIB のサポート

                                                                                                                                                  Cisco UCS Central は、OS MIB への読み取り専用アクセスをサポートします。 MIB に対して set 操作は使用できません。 Cisco UCS Centralでサポートされている MIB を次に示します。

                                                                                                                                                  • SNMP MIB-2 システム
                                                                                                                                                  • HOST-RESOURCES-MIB
                                                                                                                                                    • hrSystem

                                                                                                                                                    • hrStorage

                                                                                                                                                    • hrDevice

                                                                                                                                                    • hrSWRun

                                                                                                                                                    • hrSWRunPerf

                                                                                                                                                  • UCD-SNMP-MIB
                                                                                                                                                    • メモリ

                                                                                                                                                    • dskTable

                                                                                                                                                    • systemStats

                                                                                                                                                    • fileTable

                                                                                                                                                  • SNMP MIB-2 インターフェイス
                                                                                                                                                    • ifTable

                                                                                                                                                  • IP-MIB

                                                                                                                                                  • SNMP-FRAMEWORK-MIB
                                                                                                                                                    • snmpEngine

                                                                                                                                                  • IF-MIB

                                                                                                                                                  • DISMAN-EVENT-MIB

                                                                                                                                                  • SNMP MIB-2 snmp


                                                                                                                                                  (注)  


                                                                                                                                                  Cisco UCS Centralは、IPV6 およびCisco UCS Central MIB をサポートしません。


                                                                                                                                                  SNMPv3 ユーザの認証プロトコル

                                                                                                                                                  Cisco UCS Central は、SNMPv3 ユーザ向けに次の認証プロトコルをサポートします。

                                                                                                                                                  • HMAC-MD5-96(MD5)

                                                                                                                                                  • HMAC-SHA-96(SHA)

                                                                                                                                                  SNMPv3 ユーザの AES プライバシー プロトコル

                                                                                                                                                  Cisco UCS Central は、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠します。 AES が無効であり、プライバシー パスワードが設定されている場合、暗号化に DES が使用されます。

                                                                                                                                                  AES-128 設定を有効にし、SNMPv3 ユーザのプライバシー パスワードをインクルードした場合、Cisco UCS Central はプライバシー パスワードを使用して 128 ビット AES キーを生成します。 AES プライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。

                                                                                                                                                  SNMP ポリシーの設定

                                                                                                                                                  はじめる前に

                                                                                                                                                  ドメイン グループで SNMP ポリシーを設定する前に、SNMP ポリシーが最初に作成されていることを確認します。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。

                                                                                                                                                  手順
                                                                                                                                                    ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                                    ステップ 2   [Navigation] ペインで [Domain Groups] > [Domain Group root] を展開するか、またはポリシーを作成するドメイン グループの名前を指定します。
                                                                                                                                                    ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                                                    ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                                    ステップ 5   [Work] ペインで、[SNMP] をクリックします。
                                                                                                                                                    ステップ 6   [Actions] 領域で、[Create] をクリックし、該当するすべてのフィールドに入力します。

                                                                                                                                                    [Domain Group root] ノード下の [Operational Policies] では、[Create] をクリックして該当するすべてのフィールドに入力する必要はありません。

                                                                                                                                                    1. [Actions] 領域で [Enabled] をクリックし、[Admin State] を選択します。

                                                                                                                                                      [Enabled] の場合、Cisco UCS CentralCisco UCS Central システムのモニタに SNMP を使用します。 Cisco UCS は、ドメイン グループ自体が SNMP を使用して設定されていない場合は、ドメイン グループのすべての Cisco UCS ドメイン で SNMP を使用します。

                                                                                                                                                      デフォルトの状態は [Disabled] であり、フィールドは表示されていません。 デフォルトの状態のままの場合は、SNMP ポリシーが無効になります。

                                                                                                                                                    2. [Community/Username] フィールドにコミュニティまたはユーザ名を入力します。

                                                                                                                                                      Cisco UCS が SNMP ホストに送信するトラップ メッセージに含めるデフォルトの SNMP v1 または v2c コミュニティ名あるいは SNMP v3 ユーザ名を使用できます。 1 ~ 32 文字の英数字文字列を入力します。 @(アット マーク)、\(バックスラッシュ)、"(二重引用符)、?(疑問符)または空欄スペース は使用しないでください。 デフォルトは public です。

                                                                                                                                                    3. [System Contact] フィールドにシステム連絡先担当者情報を入力します。

                                                                                                                                                      [System Contact] に指定する担当者は、SNMP の実装を担当します。 電子メール アドレス、名前、電話番号など、255 文字までの文字列を入力します。

                                                                                                                                                    4. [System Location] フィールドにシステム ロケーションを入力します。

                                                                                                                                                      [System Location] により、SNMP エージェント(サーバ)が稼働するホストの場所が定義されます。 最大 510 文字の英数字文字列を入力します。

                                                                                                                                                    ステップ 7   [Save] をクリックします。

                                                                                                                                                    次の作業

                                                                                                                                                    SNMP トラップおよび SNMP ユーザを作成します。

                                                                                                                                                    SNMP トラップの作成

                                                                                                                                                    手順
                                                                                                                                                      ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                                      ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                                      ステップ 3   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                                      ステップ 4   [Work] ペインで、[SNMP] をクリックします。
                                                                                                                                                      ステップ 5   [SNMP Traps] 領域で [Create SNMP Trap] をクリックし、[Create SNMP Trap] ダイアログボックスの該当するすべてのフィールドに入力します。
                                                                                                                                                      1. [IP Address] フィールドに SNMP ホストの IP アドレスを入力します。

                                                                                                                                                        Cisco UCS は、定義された IP アドレスにトラップを送信します。

                                                                                                                                                      2. [Community/Username] フィールドにコミュニティまたはユーザ名を入力します。

                                                                                                                                                        Cisco UCS が SNMP ホストに送信するトラップ メッセージに含めるデフォルトの SNMP v1 または v2c コミュニティ名あるいは SNMP v3 ユーザ名を使用できます。 1 ~ 32 文字の英数字文字列を入力します。 @(アット マーク)、\(バックスラッシュ)、"(二重引用符)、?(疑問符)または空欄スペース は使用しないでください。 デフォルトは public です。

                                                                                                                                                      3. [Port] フィールドに、ポート番号を入力します。

                                                                                                                                                        Cisco UCS は定義されたポートを使用して、トラップを送信するため SNMP ホストと通信します。 1 ~ 65535 の整数を入力します。 デフォルト ポートは 162 です。

                                                                                                                                                      4. SNMP のバージョンを選択するため、[v1]、[v2c]、または [v3] をクリックします。
                                                                                                                                                      5. [trap] をクリックして、[Type] で SNMP トラップのタイプを選択します。
                                                                                                                                                      6. [auth]、[no auth]、または [priv] をクリックして、[v3Privilege] を定義します。
                                                                                                                                                      7. [OK] をクリックします。
                                                                                                                                                      ステップ 6   [Save] をクリックします。

                                                                                                                                                      SNMP ユーザの作成

                                                                                                                                                      手順
                                                                                                                                                        ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                                        ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                                        ステップ 3   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                                        ステップ 4   [Work] ペインで、[SNMP] をクリックします。
                                                                                                                                                        ステップ 5   [SNMP Users] 領域で [Create SNMP User] をクリックし、[Create SNMP User] ダイアログボックスの該当するすべてのフィールドに入力します。
                                                                                                                                                        1. [Name] フィールドに SNMP ユーザ名を入力します。 32 文字までの文字または数字を入力します。 名前は文字で始まる必要があり、_(アンダースコア)、. (ピリオド)、@(アット マーク)、-(ハイフン)も指定できます。
                                                                                                                                                          (注)     

                                                                                                                                                          ローカル側で認証されたユーザ名と同一の SNMP ユーザ名を作成することはできません。

                                                                                                                                                        2. [md5] または [sha] をクリックして、認証タイプを選択します。
                                                                                                                                                        3. [AES-128] チェックボックスをオンにします。

                                                                                                                                                          オンにすると、このユーザに AES-128 暗号化が使用されます。

                                                                                                                                                        4. [Password] フィールドにユーザ パスワードを入力します。
                                                                                                                                                        5. [Confirm Password] フィールドにユーザ パスワードもう一度入力します。
                                                                                                                                                        6. [Privacy Password] フィールドに、このユーザのプライバシー パスワードを入力します。
                                                                                                                                                        7. [Confirm Privacy Password] フィールドに、このユーザのプライバシー パスワードをもう一度入力します。
                                                                                                                                                        8. [OK] をクリックします。
                                                                                                                                                        ステップ 6   [Save] をクリックします。

                                                                                                                                                        SNMP ポリシーの削除

                                                                                                                                                        SNMP ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の SNMP ポリシーは、削除できません。

                                                                                                                                                        SNMP ポリシーを削除すると、そのポリシー内のすべての SNMP トラップおよび SNMP ユーザ設定が削除されます。

                                                                                                                                                        手順
                                                                                                                                                          ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                                          ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                                          ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                                                          ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                                          ステップ 5   [Work] ペインで、[SNMP] をクリックします。
                                                                                                                                                          ステップ 6   [Actions] 領域で、[Delete] をクリックします。

                                                                                                                                                          削除されたポリシーは、再設定されるまでドメイン グループの親から設定を継承します。

                                                                                                                                                          ステップ 7   [Save] をクリックします。

                                                                                                                                                          SNMP トラップの削除

                                                                                                                                                          手順
                                                                                                                                                            ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                                            ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                                            ステップ 3   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                                            ステップ 4   [Work] ペインで、[SNMP] をクリックします。
                                                                                                                                                            ステップ 5   [SNMP Traps] 領域で、削除する SNMP トラップを選択し、[Delete] をクリックします。

                                                                                                                                                            また、SNMP トラップを右クリックして、そのオプションにアクセスすることもできます。

                                                                                                                                                            ステップ 6   [Save] をクリックします。

                                                                                                                                                            SNMP ユーザの削除

                                                                                                                                                            手順
                                                                                                                                                              ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                                              ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                                              ステップ 3   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                                              ステップ 4   [Work] ペインで、[SNMP] をクリックします。
                                                                                                                                                              ステップ 5   [SNMP Users] 領域で、削除する SNMP トラップを選択し、[Delete] をクリックします。

                                                                                                                                                              また、SNMP ユーザを右クリックして、そのオプションにアクセスすることもできます。

                                                                                                                                                              ステップ 6   [Save] をクリックします。

                                                                                                                                                              System Event Log

                                                                                                                                                              Cisco UCS Central は、グローバル システム イベント ログ(SEL)ポリシーをサポートしています。

                                                                                                                                                              システム イベント ログ(SEL)には、過不足の電圧、温度イベント、ファン イベント、BIOS からのイベントなど、ほとんどのサーバ関連イベントが記録されます。 SEL は、主にトラブルシューティングのために使用します。 SEL ファイルのサイズは約 40KB で、ファイルがいっぱいになるとそれ以上イベントを記録できません。 新たなイベントを記録できるようにするには、ファイルの中身をクリアする必要があります。 SEL ポリシーを使用して、SEL をリモート サーバにバックアップできます。また、必要に応じて、バックアップ操作後に SEL をクリアすることもできます。 バックアップ操作は、特定のアクションに基づいて起動するか、定期的に実行できます。 SEL のバックアップやクリアは、手動で行うこともできます。

                                                                                                                                                              SEL ポリシーの設定

                                                                                                                                                              はじめる前に

                                                                                                                                                              ドメイン グループ下で SEL ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。

                                                                                                                                                              手順
                                                                                                                                                                ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                                                ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                                                ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                                                                ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                                                ステップ 5   [Work] ペインで、[Equipment] をクリックします。
                                                                                                                                                                ステップ 6   [Work] ペインで、[SEL Policy] タブをクリックします。
                                                                                                                                                                ステップ 7   [Actions] 領域で、[Create] をクリックし、該当するすべてのフィールドに入力します。

                                                                                                                                                                [Domain Group root] ノード下の [Operational Policies] では、[Create] をクリックして該当するすべてのフィールドに入力する必要はありません。

                                                                                                                                                                1. [General] 領域の必須フィールドに入力します。
                                                                                                                                                                2. [Backup Configuration] 領域の必須フィールドに入力します。
                                                                                                                                                                ステップ 8   [Save] をクリックします。

                                                                                                                                                                SEL ポリシーの削除

                                                                                                                                                                手順
                                                                                                                                                                  ステップ 1   メニュー バーで、[Operations Management] をクリックします。
                                                                                                                                                                  ステップ 2   [Navigation] ペインで、[Domain Groups] > [Domain Group root] を展開します。
                                                                                                                                                                  ステップ 3   [Domain Groups root] ノードで、[Operational Policies] をクリックします。
                                                                                                                                                                  ステップ 4   [Navigation] ペインで、[Operational Policies] をクリックします。
                                                                                                                                                                  ステップ 5   [Work] ペインで、[Equipment] をクリックします。
                                                                                                                                                                  ステップ 6   [Work] ペインで、[SEL Policy] タブをクリックします。
                                                                                                                                                                  ステップ 7   [Actions] 領域で、[Delete] をクリックします。

                                                                                                                                                                  削除されたポリシーは、再設定されるまでドメイン グループの親から設定を継承します。

                                                                                                                                                                  ステップ 8   [Save] をクリックします。