Cisco UCS E シリーズ サーバ Integrated Management Controller の CLI 設定ガイド リリース 2.x
ユーザ アカウントの管理
ユーザ アカウントの管理

ユーザ アカウントの管理

この章は、次の内容で構成されています。

ローカル ユーザの設定

はじめる前に

ローカル ユーザ アカウントを設定または変更するには、admin 権限を持つユーザとしてログインする必要があります。

手順
     コマンドまたはアクション目的
    ステップ 1Server# scope user usernumber  

    ユーザ番号 usernumber に対するユーザ コマンド モードを開始します。

     
    ステップ 2Server /user # set enabled {yes | no}  

    CIMC でユーザ アカウントをイネーブルまたはディセーブルにします。

     
    ステップ 3Server /user # set name username  

    ユーザのユーザ名を指定します。

     
    ステップ 4Server /user # set password  

    パスワードを 2 回入力するように求められます。

     
    ステップ 5Server /user # set role {readonly | user | admin}  
    ユーザに割り当てるロールを指定します。 ロールには、次のものがあります。
    • readonly:このユーザは情報を表示できますが、変更することはできません。
    • user:このユーザは、次の操作を実行できます。
      • すべての情報を表示する
      • 電源のオン、電源再投入、電源のオフなどの電力制御オプションを管理する
      • KVM コンソールと仮想メディアを起動する
      • すべてのログをクリアする
      • ロケータ LED を切り替える
    • admin:このユーザは、GUI、CLI、IPMI で可能なすべての処理を実行できます。
     
    ステップ 6Server /user # commit  

    トランザクションをシステムの設定にコミットします。

     

    次に、ユーザ 5 を admin として設定する例を示します。

    Server# scope user 5
    Server /user # set enabled yes
    Server /user *# set name john
    Server /user *# set password
    Please enter password:
    Please confirm password:
    Server /user *# set role readonly
    Server /user *# commit
    Server /user #  show
    User   Name             Role     Enabled  
    ------ ---------------- -------- -------- 
    5      john             readonly yes       
              
    

    Active Directory

    Active Directory はさまざまなネットワーク サービスを提供するテクノロジーであり、LDAP と同様のディレクトリ サービス、Kerberos ベースの認証、DNS ベースの名前付けなどが含まれます。 CIMC は、Active Directory の Kerberos ベースの認証サービスを利用します。

    Active Directory が CIMC でイネーブルになっている場合、ローカル ユーザ データベースに登録されていないユーザ アカウントに対して Active Directory がユーザ認証とロール許可を実行します。

    サーバでの Active Directory の設定で暗号化をイネーブルにすることで、サーバに Active Directory への送信データを暗号化するよう要求できます。

    Active Directory サーバの設定

    CIMC を設定して、Active Directory をユーザの認証と認可に使用できます。 Active Directory を使用するには、CIMC のユーザ ロールとロケールを保持する属性を使用してユーザを設定します。 CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用できます。または、Active Directory スキーマを変更して、属性 ID 1.3.6.1.4.1.9.287247.1 を持つ CiscoAVPair 属性のような新規のカスタム属性を追加できます。 Active Directory スキーマの変更方法の詳細については、http:/​/​technet.microsoft.com/​en-us/​library/​bb727064.aspx を参照してください。

    Active Directory サーバにカスタム属性を作成するには、次の手順を実行します。


    (注)  


    この例では CiscoAVPair という名前のカスタム属性を作成しますが、CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用することもできます。


    手順
      ステップ 1   Active Directory スキーマ スナップインがインストールされていることを確認します。
      ステップ 2   Active Directory スキーマ スナップインを使用して、次のプロパティを持つ新しい属性を追加します。

      プロパティ

      Common Name

      CiscoAVPair

      LDAP Display Name

      CiscoAVPair

      Unique X500 Object ID

      1.3.6.1.4.1.9.287247.1

      Description

      CiscoAVPair

      Syntax

      Case Sensitive String

      ステップ 3   Active Directory スナップインを使用して、ユーザ クラスに CiscoAVPair 属性を追加します。
      1. 左ペインで [Classes] ノードを展開し、U を入力してユーザ クラスを選択します。
      2. [Attributes] タブをクリックして、[Add] をクリックします。
      3. C を入力して CiscoAVPair 属性を選択します。
      4. [OK] をクリックします。
      ステップ 4   CIMC にアクセスできるようにするユーザに対し、次のユーザ ロール値を CiscoAVPair 属性に追加します。

      ロール

      CiscoAVPair 属性値

      admin

      shell:roles="admin"

      user

      shell:roles="user"

      read-only

      shell:roles="read-only"

      (注)     

      属性に値を追加する方法の詳細については、http:/​/​technet.microsoft.com/​en-us/​library/​bb727064.aspx を参照してください。


      次の作業

      CIMC を使用して Active Directory を設定します。

      CIMC での Active Directory の設定

      Active Directory(AD)サーバを使用してローカル ユーザを認証および許可する場合は、CIMC で AD を設定します。

      はじめる前に

      このタスクを実行するには、admin 権限を持つユーザとしてログインする必要があります。

      手順
         コマンドまたはアクション目的
        ステップ 1Server# scope ldap  

        AD を設定する LDAP コマンド モードを開始します。

         
        ステップ 2Server /ldap # set enabled {yes | no}  

        AD をイネーブルまたはディセーブルにします。 AD がイネーブルの場合、ローカル ユーザ データベースに見つからないユーザ アカウントについて、AD によってユーザ認証とロール許可が実行されます。

         
        ステップ 3Server /ldap # set timeout seconds  

        LDAP 検索操作がタイムアウトするまで CIMC が待機する秒数を指定します。

         
        ステップ 4Server /ldap # set encrypted {yes | no}  

        暗号化がイネーブルである場合、サーバは AD に送信するすべての情報を暗号化します。

         
        ステップ 5Server /ldap # set base-dn domain-name  

        すべてのユーザが属する必要のあるドメインを指定します。

         
        ステップ 6Server /ldap # set attribute name  

        ユーザのロールとロケール情報を保持する LDAP 属性を指定します。 このプロパティは、常に、名前と値のペアで指定されます。 システムは、ユーザ レコードで、この属性名と一致する値を検索します。

        CIMC ユーザ ロールおよびロケールにマップされた既存の LDAP 属性を使用するか、CiscoAVPair 属性など、次の属性 ID を持つカスタム属性を作成できます。

        1.3.6.1.4.1.9.287247.1
        
        
        (注)     

        このプロパティを指定しない場合、ユーザ アクセスは read-only に制限されます。

         
        ステップ 7Server /ldap # commit  

        トランザクションをシステムの設定にコミットします。

         
        ステップ 8Server /ldap # show [detail]  

        (任意)AD の設定を表示します。

         

        次に、CiscoAVPair 属性を使用して AD を設定する例を示します。

        Server# scope ldap
        Server /ldap # set enabled yes
        
        Server /ldap *# set timeout 60
        Server /ldap *# set encrypted yes
        Server /ldap *# set base-dn example.com
        Server /ldap *# set attribute CiscoAVPair
        Server /ldap *# commit
        Server /ldap # show detail
        LDAP Settings:
            Domain Controller 1: 192.0.20.123
            Domain Controller 2: 0.0.0.0
            Domain Controller 3: 0.0.0.0
            BaseDN: example.com
            Encrypted: yes
            Timeout: 60
            Enabled: yes
            Attribute: CiscoAvPair
            Group Authorization: no
            Global Catalog 1: 192.0.20.11
            Global Catalog 2: 0.0.0.0
            Global Catalog 3: 0.0.0.0
        
        Server /ldap #             
        

        ユーザ セッションの表示

        手順
           コマンドまたはアクション目的
          ステップ 1Server# show user-session  

          現在のユーザ セッションの情報を表示します。

           

          コマンドの出力には、現在のユーザ セッションに関する次の情報が表示されます。

          名前 説明

          [Session ID] カラム

          セッションの固有識別情報。

          [Username] カラム

          ユーザのユーザ名。

          [IP Address] カラム

          ユーザがサーバにアクセスした IP アドレス。

          [Type] カラム

          ユーザがサーバにアクセスした方法。 たとえば、CLI、vKVM などです。

          [Action] カラム

          ユーザ アカウントに admin ユーザ ロールが割り当てられている場合、関連付けられたユーザ セッションを強制的に終了できるときはこのカラムに [Terminate] と表示されます。 それ以外の場合は、N/A と表示されます。

          (注)     

          このタブから現在のセッションを終了することはできません。

          次に、現在のユーザ セッションに関する情報を表示する例を示します。

          Server# show user-session
          ID     Name             IP Address        Type         Killable 
          ------ ---------------- ----------------- ------------ -------- 
          15     admin            10.20.30.138      CLI          yes      
          
          Server /user #             
          

          ユーザ セッションの終了

          はじめる前に

          ユーザ セッションを終了するには、admin 権限を持つユーザとしてログインする必要があります。

          手順
             コマンドまたはアクション目的
            ステップ 1Server# show user-session  

            現在のユーザ セッションの情報を表示します。 終了するユーザ セッションは、終了可能(killable)であり、独自のセッションではないことが必要です。

             
            ステップ 2Server /user-session # scope user-session session-number  

            終了する番号付きのユーザ セッションに対してユーザ セッション コマンド モードを開始します。

             
            ステップ 3Server /user-session # terminate  

            ユーザ セッションを終了します。

             

            次に、ユーザ セッション 10 の admin がユーザ セッション 15 を終了する例を示します。

            Server# show user-session
            ID     Name             IP Address        Type         Killable 
            ------ ---------------- ----------------- ------------ -------- 
            10     admin            10.20.41.234      CLI          yes  
            15     admin            10.20.30.138      CLI          yes      
            Server# scope user-session 15
            Server /user-session # terminate
            User session 15 terminated.
            
            Server /user-session #