Cisco UCS Central 認証ガイド リリース 1.4
ユーザとロール
ユーザとロール

ユーザとロール

ユーザ ロール

ユーザ ロールには、ユーザに許可される操作を定義する 1 つ以上の権限が含まれます。 ユーザごとに 1 つ以上のロールを割り当てることができます。 複数のロールを持つユーザは、割り当てられたすべてのロールを組み合わせた権限を持ちます。 たとえば、Role1 にストレージ関連の権限が含まれ、Role2 にサーバ関連の権限が含まれている場合、Role1 と Role2 の両方を持つユーザは、ストレージ関連の権限とサーバ関連の権限を持つことになります。

Cisco UCS ドメインは、デフォルトのユーザ ロールを含めて、最大 48 個のユーザ ロールを持つことができます。 Cisco UCS Central の各ドメイン グループは、親ドメイン グループから継承されたユーザ ロールを含めて、48 個のユーザ ロールを持つことができます。 ユーザ ロールが Cisco UCS Central から Cisco UCS Manager にプッシュされると、最初の 48 個のロールだけがアクティブになります。 最初の 48 個より後のユーザ ロールは、非アクティブなために、障害が発生します。

すべてのロールには、Cisco UCS ドメイン内のすべての設定に対する読み取りアクセスが含まれています。 読み取り専用ロールを持つユーザは、システム状態を変更できません。

新しい権限を作成したり、既存の権限を変更または削除したり、ロールを削除したりできます。 ロールを変更すると、そのロールを持つすべてのユーザに新しい権限が適用されます。 権限の割り当ては、デフォルト ロールに定義されている権限に限定されません。 つまり、カスタムの権限の組み合わせを使用して、独自のロールを作成できます。 たとえば、デフォルトのサーバ管理者ロールとストレージ管理者ロールの権限のセットは異なりますが、両方のロールの権限を組み合わせたサーバおよびストレージ管理者ロールを作成することができます。

ロールがユーザへの割り当て後に削除されると、それらのユーザ アカウントからも削除されます。

AAA サーバ(RADIUS または TACACS+)上のユーザ プロファイルを、そのユーザに付与される権限に対応したロールを追加するように変更します。 属性にロール情報が保存されます。 AAA サーバでは、要求とともにこの属性が返され、それを解析してロールが得られます。 LDAP サーバでは、ユーザ プロファイル属性内のロールが返されます。

デフォルト ユーザ ロール

システムには、次のデフォルトのユーザ ロールが用意されています。

AAA アドミニストレータ

ユーザ、ロール、および AAA 設定に対する読み取りと書き込みのアクセス権。 その他のシステムに対する読み取りアクセス。

Administrator

システム全体に対する完全な読み取りと書き込みのアクセス権。 デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。

ファシリティ マネージャ

power-mgmt 権限による、電源管理操作に対する読み取りと書き込みのアクセス。 その他のシステムに対する読み取りアクセス。

Network Administrator

ファブリック インターコネクト インフラストラクチャとネットワーク セキュリティ操作に対する読み取りと書き込みのアクセス権。 その他のシステムに対する読み取りアクセス。

動作

システムのログ(syslog サーバを含む)と障害に対する読み取りと書き込みのアクセス権。 その他のシステムに対する読み取りアクセス。

Read-Only

システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。

Server Compute

サービス プロファイルのほとんどの側面に対する読み取りと書き込みのアクセス権。 ただし、ユーザは vNIC または vHBA を作成、変更、または削除できません。

サーバ機器アドミニストレータ

物理サーバ関連の操作に対する読み取りと書き込みのアクセス権。 その他のシステムに対する読み取りアクセス。

サーバ プロファイル アドミニストレータ

論理サーバ関連の操作に対する読み取りと書き込みのアクセス権。 その他のシステムに対する読み取りアクセス。

サーバ セキュリティ アドミニストレータ

サーバ セキュリティ関連の操作に対する読み取りと書き込みのアクセス権。 その他のシステムに対する読み取りアクセス。

ストレージ アドミニストレータ

ストレージ操作に対する読み取りと書き込みのアクセス権。 その他のシステムに対する読み取りアクセス。

権限

ユーザ ロールを割り当てられたユーザは、権限により、特定のシステム リソースへアクセスしたり、特定のタスクを実行したりできるようになります。 次の表に、各権限と、その権限がデフォルトで与えられるユーザ ロールのリストを示します。

表 1 ユーザの権限

権限

説明

デフォルトのロール割り当て

aaa

システム セキュリティおよび AAA

AAA アドミニストレータ

admin

システム管理

Administrator

domain-group-management

ドメイン グループ管理

ドメイン グループ管理者

ext-lan-config

外部 LAN 設定

Network Administrator

ext-lan-policy

外部 LAN ポリシー

Network Administrator

ext-lan-qos

外部 LAN QoS

Network Administrator

ext-lan-security

外部 LAN セキュリティ

Network Administrator

ext-san-config

外部 SAN 設定

ストレージ アドミニストレータ

ext-san-policy

外部 SAN ポリシー

ストレージ アドミニストレータ

ext-san-qos

外部 SAN QoS

ストレージ アドミニストレータ

ext-san-security

外部 SAN セキュリティ

ストレージ アドミニストレータ

障害

アラームおよびアラーム ポリシー

動作

operations

ログおよび Smart Call Home

動作

org-management

組織管理

動作

pod-config

ポッド設定

Network Administrator

pod-policy

ポッド ポリシー

Network Administrator

pod-qos

ポッド QoS

Network Administrator

pod-security

ポッド セキュリティ

Network Administrator

power-mgmt

電源管理操作に対する読み取りと書き込みのアクセス

ファシリティ マネージャ

read-only

読み取り専用アクセス権

読み取り専用は、権限として選択できません。この権限は、すべてのユーザ ロールに割り当てられます。

Read-Only

server-equipment

サーバ ハードウェア管理

サーバ機器アドミニストレータ

server-maintenance

サーバ メンテナンス

サーバ機器アドミニストレータ

server-policy

サーバ ポリシー

サーバ機器アドミニストレータ

server-security

サーバ セキュリティ

サーバ セキュリティ アドミニストレータ

service-profile-compute

サービス プロファイルの計算

サーバ計算アドミニストレータ

service-profile-config

サービス プロファイル設定

サーバ プロファイル アドミニストレータ

service-profile-config-policy

サービス プロファイル設定ポリシー

サーバ プロファイル アドミニストレータ

service-profile-ext-access

サービス プロファイル エンド ポイント アクセス

サーバ プロファイル アドミニストレータ

service-profile-network

サービス プロファイル ネットワーク

Network Administrator

service-profile-network-policy

サービス プロファイル ネットワーク ポリシー

Network Administrator

service-profile-qos

サービス プロファイル QoS

Network Administrator

service-profile-qos-policy

サービス プロファイル QoS ポリシー

Network Administrator

service-profile-security

サービス プロファイル セキュリティ

サーバ セキュリティ アドミニストレータ

service-profile-security-policy

サービス プロファイル セキュリティ ポリシー

サーバ セキュリティ アドミニストレータ

service-profile-server

サービス プロファイル サーバ管理

サーバ プロファイル アドミニストレータ

service-profile-server-oper

サービス プロファイル コンシューマ

サーバ プロファイル アドミニストレータ

service-profile-server-policy

サービス プロファイル プール ポリシー

サーバ セキュリティ アドミニストレータ

service-profile-storage

サービス プロファイル ストレージ

ストレージ アドミニストレータ

service-profile-storage-policy

サービス プロファイル ストレージ ポリシー

ストレージ アドミニストレータ

stats

統計情報管理

統計情報の管理者

UCS Central ロールの管理


    ステップ 1   タスク バーで、「Manage UCS Central Roles」と入力して、Enter キーを押します。

    これにより、[Manage UCS Central Locales Roles] ダイアログボックスが開きます。

    ステップ 2   [Roles] で、[Add] をクリックして新しいロールを作成するか、既存のロールを選択します。
    ステップ 3   ロールの [Network]、[Storage]、[Server]、および [Operations] の各特権を更新します。
    ステップ 4   [Save] をクリックします。

    UCS Central ローカル ユーザの管理


      ステップ 1   タスク バーで、「Manage UCS Central Local Users」と入力して、Enter キーを押します。

      これにより、[Manage UCS Central Local Users] ダイアログボックスが開きます。

      ステップ 2   [Local Users] で、[Add] をクリックして新しいローカル ユーザを作成するか、既存のユーザを選択します。
      ステップ 3   [Basic] タブで、ユーザに関する必要な情報を入力します。
      ステップ 4   [Roles] タブで、ユーザに割り当てるロールを追加または削除します。
      ステップ 5   [Locales] タブで、ユーザに割り当てるロケールを追加または削除します。
      ステップ 6   [SSH] タブで、[Authentication Type] を選択します。
      ステップ 7   [Save] をクリックします。

      UCS Central リモート ユーザの管理


        ステップ 1   タスク バーで、「Manage UCS Central Remote Users」と入力して、Enter キーを押します。

        これにより、[Manage UCS Central Remote Users] ダイアログボックスが開きます。

        ステップ 2   [Remote Users] で、リモート LDAP ユーザ、ロール、およびロケールを確認します。
        (注)     

        このセクションは読み取り専用です。

        ステップ 3   ウィンドウを閉じる場合は [Cancel] をクリックし、他のセクションで行った変更を保存する場合は [Save] をクリックします。

        UCS Central ロケールの管理


          ステップ 1   タスク バーで、「Manage UCS Central Locales」と入力して、Enter キーを押します。

          これにより、[Manage UCS Central Locales] ダイアログボックスが開きます。

          ステップ 2   [Locales] で、[Add] をクリックして新しいロケールを追加するか、既存のロケールを選択します。
          ステップ 3   [Organizations] または [Domain Groups] をロケールに割り当てます。
          ステップ 4   [Save] をクリックします。

          ドメイン グループ ユーザの管理


            ステップ 1   ルートの [Domain Group] ページに移動します。
            ステップ 2   [Settings] アイコンをクリックして、[Users] を選択します。
            ステップ 3   [Roles] で、ドメイン グループに関連付けるロールを追加または削除します。
            ステップ 4   [Locales] で、ドメイン グループに関連付けるロケールを追加または削除します。
            ステップ 5   [Save] をクリックします。