Cisco UCS Manager GUI コンフィギュレーション ガイド リリース 2.2
ロールベース アクセス コントロールの設定
ロールベース アクセス コントロールの設定

目次

ロールベース アクセス コントロールの設定

この章は、次の内容で構成されています。

ロールベース アクセス コントロール

ロールベース アクセス コントロール(RBAC)は、ユーザのロールとロケールに基づいてユーザのシステム アクセスを制限または許可する方法です。 ロールによってシステム内でのユーザの権限が定義され、ロケールによってユーザがアクセス可能な組織(ドメイン)が定義されます。 権限がユーザに直接割り当てられることはないため、個々のユーザ権限の管理では、適切なロールとロケールを割り当てることが主な作業になります。

必要なシステム リソースへの書き込みアクセス権限がユーザに与えられるのは、割り当てられたロールによりアクセス権限が与えられ、割り当てられたロケールによりアクセスが許可されている場合に限ります。 たとえば、エンジニアリング組織内のサーバ管理者ロールを持つユーザは、エンジニアリング組織内のサーバ設定を更新できますが、そのユーザに割り当てられたロケールに財務組織が含まれていなければ、財務組織内のサーバ設定を更新できません。

Cisco UCS のユーザ アカウント

ユーザ アカウントは、システムにアクセスするために使用されます。 各 Cisco UCS Managerで、最大 48 個のローカル を設定できます。 各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。

ユーザ アカウントは、SSH 公開キーを付けて設定できます。 公開キーは、OpenSSH と SECSH のいずれかの形式で設定できます。

管理者アカウント

Cisco UCS ドメインには管理者アカウントがあります。 管理者アカウントはデフォルト ユーザ アカウントで、変更や削除はできません。 このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。 admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。

管理者アカウントは常にアクティブで、有効期限がありません。 管理者アカウントを非アクティブに設定することはできません。

ローカル認証されたユーザ アカウント

ローカルで認証されたユーザ アカウントは、ファブリック インターコネクトのを介して直接認証され、admin または aaa 権限を持つ者によってイネーブルまたはディセーブルにできます。 ローカル ユーザ アカウントがディセーブルになっている場合、ユーザはログインできません。 無効ローカル ユーザ アカウントの設定の詳細は、データベースによって削除されません。 無効ローカル ユーザ アカウントを再度有効にすると、アカウントはユーザ名とパスワードを含め、既存のコンフィギュレーションで再びアクティブになります。

リモート認証されたユーザ アカウント

リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ で認証されたユーザ アカウントです。

ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持する場合、ローカル ユーザ アカウントで定義されたロールがリモート ユーザ アカウントに保持された値を上書きします。

ユーザ アカウントの有効期限

ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。 有効期限の時間になると、ユーザ アカウントはディセーブルになります。

デフォルトでは、ユーザ アカウントの有効期限はありません。


(注)  


ユーザ アカウントに有効期限日付を設定した後は、アカウントの有効期限をなくすよう再設定できません。 ただし、使用できる最新の有効期限日付でアカウントを設定することは可能です。


Cisco UCS ユーザ名に関する注意事項

ユーザ名は、Cisco UCS Manager のログイン ID としても使用されます。 Cisco UCS ユーザ アカウントにログイン ID を割り当てるときは、次の注意事項および制約事項を考慮してください。

  • ログイン ID には、次を含む 1 ~ 32 の文字を含めることができます。

    • 任意の英字

    • 任意の数字

    • _(アンダースコア)

    • -(ダッシュ)

    • . (ドット)

  • ログイン ID は、Cisco UCS Manager 内で一意である必要があります。

  • ログイン ID は、英文字で開始する必要があります。 数字やアンダースコアなどの特殊文字からは開始できません。

  • ログイン ID では、大文字と小文字が区別されます。

  • すべて数字のログイン ID は作成できません。

  • ユーザ アカウントの作成後は、ログイン ID を変更できません。 ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。

予約語:ローカル認証されたユーザ アカウント

次の語は Cisco UCS でローカル ユーザ アカウントを作成するときに使用できません。

  • root

  • bin

  • daemon

  • adm

  • lp

  • sync

  • shutdown

  • halt

  • news

  • uucp

  • operator

  • games

  • gopher

  • nobody

  • nscd

  • mailnull

  • mail

  • rpcuser

  • rpc

  • mtsuser

  • ftpuser

  • ftp

  • man

  • sys

  • samdme

  • debug

Cisco UCS パスワードの注意事項

ローカル認証されたアカウントそれぞれにパスワードが必要です。 admin または aaa の権限を持つユーザは、Cisco UCS Manager を設定して、ユーザのパスワードの強度の確認を実行できます。 パスワード強度チェックをイネーブルにすると、各ユーザが強力なパスワードを使用する必要があります。

シスコでは、各ユーザに強力なパスワードを設定することを推奨します。 ローカル認証されたユーザに対してパスワード強度の確認をイネーブルにした場合、Cisco UCS Manager は、次の要件を満たさないパスワードを拒否します。

  • 8 ~ 80 文字を含む。

  • 次の少なくとも 3 種類を含む。

    • 小文字

    • 大文字

    • 数字

    • 特殊文字

  • aaabbb など連続して 3 回を超えて繰り返す文字を含まない。

  • ユーザ名と同一、またはユーザ名を逆にしたものではない。

  • パスワード ディクショナリ チェックに合格する。 たとえば、パスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません。

  • 次の記号を含まない。$(ドル記号)、? (疑問符)、=(等号)。

  • ローカル ユーザ アカウントおよび admin アカウントのパスワードは空白にしない。

ユーザ アカウントの Web セッション制限

Web セッション制限は、指定されたユーザ アカウントに対してある 1 つの時点で許容される Web セッション数(GUI と XML の両方)の制限のため Cisco UCS Manager に使用されます。

Cisco UCS Manager ドメインは、ユーザ 1 人につき同時 Web セッションを最大 32 件、合計 256 件のユーザ セッションをサポートします。 デフォルトでは、Cisco UCS Manager が許容する同時 Web セッションはユーザ 1 人あたり 32 に設定されます。ただし、この値は最大でシステム上限である 256 まで設定できます。

ユーザ ロール

ユーザ ロールには、ユーザに許可される操作を定義する 1 つ以上の権限が含まれます。 各ユーザに 1 つ以上のロールを割り当てることができます。 複数のロールを持つユーザは、割り当てられたすべてのロールを組み合わせた権限を持ちます。 たとえば、Role1 にストレージ関連の権限が含まれ、Role2 にサーバ関連の権限が含まれている場合、Role1 と Role2 の両方を持つユーザは、ストレージ関連の権限とサーバ関連の権限を持つことになります。

Cisco UCS ドメインは、デフォルトのユーザ ロールを含めて、最大 48 個のユーザ ロールを持つことができます。 最初の 48 個の後に設定されたユーザ ロールは受け入れられますが、非アクティブであり障害が上げられます。

すべてのロールには、Cisco UCS ドメイン内のすべての設定に対する読み取りアクセス権限が含まれています。 読み取り専用ロールを持つユーザは、システム状態を変更できません。

ロールは、作成、変更(新しい権限の追加や既存の権限の削除)、および削除できます。 ロールを変更すると、そのロールを持つすべてのユーザに新しい権限が適用されます。 権限の割り当ては、デフォルト ロールに定義されている権限に限定されません。 つまり、カスタムの権限の組み合わせを使用して、独自のロールを作成できます。 たとえば、デフォルトのサーバ アドミニストレータ ロールとストレージ アドミニストレータ ロールの持つ権限の組み合わせは異なっていますが、両方のロールの権限を組み合わせた新しい 1 つのサーバおよびストレージ アドミニストレータ ロールを作成できます。

ロールがユーザへの割り当て後に削除されると、それらのユーザ アカウントからも削除されます。

AAA サーバ(RADIUS または TACACS+)上のユーザ プロファイルは、そのユーザに与える権限に対応したロールを追加するように変更する必要があります。 属性はロール情報を保存するために使用されます。 AAA サーバでは、要求とともにこの属性が返され、それを解析してロールが得られます。 LDAP サーバでは、ユーザ プロファイル属性内のロールが返されます。


(注)  


ローカル ユーザ アカウントとリモート ユーザ アカウントに同じユーザ名がある場合、リモート ユーザに割り当てられたすべての役割は、ローカル ユーザに割り当てられた内容で上書きされます。


デフォルト ユーザ ロール

システムには、次のデフォルトのユーザ ロールが用意されています。

AAA アドミニストレータ

ユーザ、ロール、および AAA 設定に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。

管理者

システム全体に対する完全な読み取りと書き込みのアクセス権。 デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。

ファシリティ マネージャ

power-mgmt 権限による、電源管理操作に対する読み取りと書き込みのアクセス。 システムの残りの部分に対する読み取りアクセス権。

Network Administrator

ファブリック インターコネクト インフラストラクチャとネットワーク セキュリティ操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。

動作

システムのログ(syslog サーバを含む)と障害に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。

Read-Only

システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。

Server Compute

サービス プロファイルのほとんどの側面に対する読み取りと書き込みのアクセス権。 ただし、ユーザは vNIC または vHBA を作成、変更、または削除できません。

サーバ機器アドミニストレータ

物理サーバ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。

サーバ プロファイル アドミニストレータ

論理サーバ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。

サーバ セキュリティ アドミニストレータ

サーバ セキュリティ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。

ストレージ アドミニストレータ

ストレージ操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。

予約語:ユーザ ロール

次の単語は、Cisco UCS でカスタム ロールを作成するときに使用できません。

  • network-admin

  • network-operator

  • vdc-admin

  • vdc-operator

  • server-admin

権限

ユーザ ロールを割り当てられたユーザは、権限により、特定のシステム リソースへアクセスしたり、特定のタスクを実行したりできるようになります。 次の表に、各権限と、その権限がデフォルトで与えられるユーザ ロールのリストを示します。


ヒント


これらの権限および権限によってユーザが実行可能なタスクの詳細情報は、http:/​/​preview.cisco.com/​en/​US/​products/​ps10281/​prod_​technical_​reference_​list.html で入手可能な『Privileges in Cisco UCS にあります。


表 1 ユーザの権限

特権

説明

デフォルトのロール割り当て

aaa

システム セキュリティおよび AAA

AAA アドミニストレータ

admin

システム管理

管理者

ext-lan-config

外部 LAN 設定

Network Administrator

ext-lan-policy

外部 LAN ポリシー

Network Administrator

ext-lan-qos

外部 LAN QoS

Network Administrator

ext-lan-security

外部 LAN セキュリティ

Network Administrator

ext-san-config

外部 SAN 設定

ストレージ アドミニストレータ

ext-san-policy

外部 SAN ポリシー

ストレージ アドミニストレータ

ext-san-qos

外部 SAN QoS

ストレージ アドミニストレータ

ext-san-security

外部 SAN セキュリティ

ストレージ アドミニストレータ

障害

アラームおよびアラーム ポリシー

動作

operations

ログおよび Smart Call Home

動作

org-management

組織管理

動作

pod-config

ポッド設定

Network Administrator

pod-policy

ポッド ポリシー

Network Administrator

pod-qos

ポッド QoS

Network Administrator

pod-security

ポッド セキュリティ

Network Administrator

power-mgmt

電源管理操作に対する読み取りおよび書き込みアクセス権

ファシリティ マネージャ

read-only

読み取り専用アクセス権

読み取り専用は、権限として選択できません。この権限は、すべてのユーザ ロールに割り当てられます。

Read-Only

server-equipment

サーバ ハードウェア管理

サーバ機器アドミニストレータ

server-maintenance

サーバ メンテナンス

サーバ機器アドミニストレータ

server-policy

サーバ ポリシー

サーバ機器アドミニストレータ

server-security

サーバ セキュリティ

サーバ セキュリティ アドミニストレータ

service-profile-compute

サービス プロファイルの計算

サーバ計算アドミニストレータ

service-profile-config

サービス プロファイル設定

サーバ プロファイル アドミニストレータ

service-profile-config-policy

サービス プロファイル設定ポリシー

サーバ プロファイル アドミニストレータ

service-profile-ext-access

サービス プロファイル エンド ポイント アクセス

サーバ プロファイル アドミニストレータ

service-profile-network

サービス プロファイル ネットワーク

Network Administrator

service-profile-network-policy

サービス プロファイル ネットワーク ポリシー

Network Administrator

service-profile-qos

サービス プロファイル QoS

Network Administrator

service-profile-qos-policy

サービス プロファイル QoS ポリシー

Network Administrator

service-profile-security

サービス プロファイル セキュリティ

サーバ セキュリティ アドミニストレータ

service-profile-security-policy

サービス プロファイル セキュリティ ポリシー

サーバ セキュリティ アドミニストレータ

service-profile-server

サービス プロファイル サーバ管理

サーバ プロファイル アドミニストレータ

service-profile-server-oper

サービス プロファイル コンシューマ

サーバ プロファイル アドミニストレータ

service-profile-server-policy

サービス プロファイル プール ポリシー

サーバ セキュリティ アドミニストレータ

service-profile-storage

サービス プロファイル ストレージ

ストレージ アドミニストレータ

service-profile-storage-policy

サービス プロファイル ストレージ ポリシー

ストレージ アドミニストレータ

ユーザ ロケール

ユーザには、ロケールを 1 つ以上割り当てることができます。 各ロケールには、ユーザからのアクセスを許可する 1 つ以上の組織(ドメイン)を定義します。アクセスは、このロケールで指定された組織の範囲内に制限されます。 このルールの 1 つの例外として、組織が指定されていないロケールがあります。この場合、すべての組織内のシステム リソースに対して無制限のアクセスが可能になります。

Cisco UCS ドメインは、最大 48 個のユーザ ロケールを持つことができます。 最初の 48 個より後に設定されたユーザ ロケールは、非アクティブであり障害が上げられます。

admin または aaa の権限を持つユーザは、組織をその他のユーザのロケールに割り当てることができます。 組織の割り当ては、それを行うユーザのロケール内の組織だけに制限されます。 たとえば、ロケールにエンジニアリング組織しか含まれていない場合、そのロケールを割り当てられたユーザは、他のユーザにエンジニアリング組織のみを割り当てることできます。


(注)  


ロケールを次の権限の 1 つ以上を持つユーザに割り当てることはできません。

  • aaa

  • admin

  • fault

  • operations


組織は階層的に管理できます。 トップ レベルの組織に割り当てられたユーザは、自動的にその下にあるすべての組織にアクセスできます。 たとえば、エンジニアリング組織が、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織で構成されているとします。 ソフトウェア エンジニアリング組織のみを含むロケールでは、その組織内のシステム リソースにしかアクセスできません。一方、エンジニアリング組織が含まれるロケールでは、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織の両方のリソースにアクセスできます。

ユーザ ロールの設定

ユーザ ロールの作成

手順
    ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
    ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
    ステップ 3   [User Services] を右クリックし、[Create Role] を選択します。

    また、[Roles] を右クリックして、そのオプションにアクセスすることもできます。

    ステップ 4   [Create Role] ダイアログボックスで、次のフィールドに値を入力します。
    名前 説明

    [Name] フィールド

    このユーザ ロールのユーザ定義名。

    この名前には、1 ~ 16 文字の英数字を使用できます。 -(ハイフン)、_(アンダースコア)、:(コロン)、および . (ピリオド)は使用できますが、それ以外の特殊文字とスペースは使用できません。また、オブジェクトが保存された後で、この名前を変更することはできません。

    [Privileges] リスト ボックス

    システムに定義されている権限のリスト。

    その権限の説明を表示するには、権限をクリックします。 チェックボックスをオンにすると、選択したユーザにその権限が割り当てられます。

    [Help] セクション

    [Description] フィールド

    [Privileges] リスト ボックス内で最後にクリックした権限の説明。

    ステップ 5   [OK] をクリックします。

    ユーザ ロールへの権限の追加

    手順
      ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
      ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
      ステップ 3   [Roles] ノードを展開します。
      ステップ 4   権限を追加するロールを選択します。
      ステップ 5   [General] タブで、ロールに追加する権限に対応するチェックボックスをオンにします。
      ステップ 6   [Save Changes] をクリックします。

      ユーザ ロールからの権限の削除

      手順
        ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
        ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
        ステップ 3   [Roles] ノードを展開します。
        ステップ 4   権限を削除するロールを選択します。
        ステップ 5   [General] タブで、ロールから削除する権限に対応するボックスをオフにします。
        ステップ 6   [Save Changes] をクリックします。

        ユーザ ロールの削除

        あるユーザ ロールを削除すると、Cisco UCS Manager により、このロールは割り当て先のすべてのユーザ アカウントから削除されます。

        手順
          ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
          ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
          ステップ 3   [Roles] ノードを展開します。
          ステップ 4   削除するロールを右クリックし、[Delete] を選択します。
          ステップ 5   [Delete] ダイアログボックスで、[Yes] をクリックします。

          ロケールの設定

          ロケールの作成

          はじめる前に

          ロケールを作成するには、1 つ以上の組織が存在する必要があります。

          手順
            ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
            ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
            ステップ 3   [Locales] を右クリックし、[Create a Locale] を選択します。
            ステップ 4   [Create Locale] ページで、次の手順を実行します。
            1. [Name] フィールドに、ロケールの一意の名前を入力します。

              この名前には、1 ~ 16 文字の英数字を使用できます。 -(ハイフン)、_(アンダースコア)、:(コロン)、および . (ピリオド)は使用できますが、それ以外の特殊文字とスペースは使用できません。また、オブジェクトが保存された後で、この名前を変更することはできません。

            2. [Next] をクリックします。
            ステップ 5   [Assign Organizations] ダイアログボックスで、次の手順を実行します。
            1. [Organizations] 領域を展開して、Cisco UCS ドメイン内の組織を表示します。
            2. [root] ノードを展開して、サブ組織を表示します。
            3. ロケールを割り当てる組織をクリックします。
            4. [Organizations] 領域の組織を右側のペインの設計領域にドラッグ アンド ドロップします。
            5. すべての適切な組織をロケールに割り当てるまで、ステップ b および c を繰り返します。
            ステップ 6   [Finish] をクリックします。

            次の作業

            ロケールを 1 つまたは複数のユーザ アカウントに追加します。 詳細については、ローカル認証されたユーザ アカウントに割り当てられたロケールの変更 を参照してください。

            ロケールへの組織の割り当て

            手順
              ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
              ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
              ステップ 3   [Locales] ノードを展開し、組織を追加するロケールをクリックします。
              ステップ 4   [Work] ペインの [General] タブをクリックします。
              ステップ 5   [Organizations] 領域のテーブル アイコン バーで [+] をクリックします。
              ステップ 6   [Assign Organizations] ダイアログボックスで、次の手順を実行します。
              1. [Organizations] 領域を展開して、Cisco UCS ドメイン内の組織を表示します。
              2. [root] ノードを展開して、サブ組織を表示します。
              3. ロケールを割り当てる組織をクリックします。
              4. [Organizations] 領域の組織を右側のペインの設計領域にドラッグ アンド ドロップします。
              5. すべての適切な組織をロケールに割り当てるまで、ステップ b および c を繰り返します。
              ステップ 7   [OK] をクリックします。

              ロケールからの組織の削除

              手順
                ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
                ステップ 3   [Locales] ノードを展開し、組織を削除するロケールをクリックします。
                ステップ 4   [Work] ペインの [General] タブをクリックします。
                ステップ 5   [Organizations] 領域で、ロケールから削除する組織を右クリックし、[Delete] を選択します。
                ステップ 6   [Save Changes] をクリックします。

                ロケールの削除

                手順
                  ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                  ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
                  ステップ 3   [Locales] ノードを展開します。
                  ステップ 4   削除するロケールを右クリックし、[Delete] を選択します。
                  ステップ 5   Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                  ローカル認証されたユーザ アカウントの設定

                  ユーザ アカウントの作成

                  少なくとも、次のユーザを作成することを推奨します。

                  • サーバ アドミニストレータ アカウント

                  • ネットワーク アドミニストレータ アカウント

                  • ストレージ アドミニストレータ


                  (注)  


                  ユーザ アカウントの作成後に、Cisco UCS Manager GUI からユーザ アカウント フィールドを変更する場合は、パスワードをもう一度入力します。


                  はじめる前に

                  システムに次のいずれかがある場合は、該当するタスクを実行します。

                  • リモート認証サービス:ユーザがリモート認証サーバに存在すること、および適切なロールと権限を持っていることを確認します。

                  • 組織のマルチテナント機能:1 つ以上のロケールを作成します。 ロケールが 1 つもない場合、すべてのユーザはルートに作成され、すべての組織のロールと権限が割り当てられます。

                  • SSH 認証。SSH キーを取得します。

                  手順
                    ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                    ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
                    ステップ 3   [User Services] を右クリックし、[Create User] を選択して [User Properties] ダイアログボックスを開きます。

                    [Locally Authenticated Users] を右クリックして、そのオプションにアクセスすることもできます。

                    ステップ 4   ユーザに関して要求される情報を使用して、次のフィールドに値を入力します。
                    名前 説明

                    [Login ID] フィールド

                    このアカウントにログインするときに使用されるアカウント名。 このアカウントは一意であり、Cisco UCS Manager のユーザ アカウントに関する次のガイドラインと制約事項を満たしている必要があります。

                    • ログイン ID には、次を含む 1 ~ 32 の文字を含めることができます。

                      • 任意の英字

                      • 任意の数字

                      • _(アンダースコア)

                      • -(ダッシュ)

                      • . (ドット)

                    • ログイン ID は、Cisco UCS Manager 内で一意である必要があります。

                    • ログイン ID は、英文字で開始する必要があります。 数字やアンダースコアなどの特殊文字からは開始できません。

                    • ログイン ID では、大文字と小文字が区別されます。

                    • すべて数字のログイン ID は作成できません。

                    • ユーザ アカウントの作成後は、ログイン ID を変更できません。 ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。

                    ユーザを保存した後は、ログイン ID を変更できません。 ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。

                    [First Name] フィールド

                    ユーザの名。 このフィールドには、32 文字までの値を入力できます。

                    [Last Name] フィールド

                    ユーザの姓。 このフィールドには、32 文字までの値を入力できます。

                    [Email] フィールド

                    ユーザの電子メール アドレス。

                    [Phone] フィールド

                    ユーザの電話番号。

                    [Password] フィールド

                    このアカウントに関連付けられているパスワード。 パスワード強度のチェックがイネーブルな場合、ユーザ パスワードは強固である必要があり、Cisco UCS Manager は次の要件を満たしていないパスワードを拒否します。

                    • 8 ~ 80 文字を含む。

                    • 次の少なくとも 3 種類を含む。

                      • 小文字

                      • 大文字

                      • 数字

                      • 特殊文字

                    • aaabbb など連続して 3 回を超えて繰り返す文字を含まない。

                    • ユーザ名と同一、またはユーザ名を逆にしたものではない。

                    • パスワード ディクショナリ チェックに合格する。 たとえば、パスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません。

                    • 次の記号を含まない。$(ドル記号)、? (疑問符)、=(等号)。

                    • ローカル ユーザ アカウントおよび admin アカウントのパスワードは空白にしない。

                    [Confirm Password] フィールド

                    確認のためのパスワードの再入力。

                    [Account Status] フィールド

                    ステータスが [Active] に設定されている場合、ユーザはこのログイン ID とパスワードを使用して Cisco UCS Manager にログインできます。

                    [Account Expires] チェックボックス

                    オンにすると、このアカウントは期限切れになり、[Expiration Date] フィールドに指定した日付以降に使用できなくなります。

                    (注)     

                    ユーザ アカウントに有効期限日付を設定した後は、アカウントの有効期限をなくすよう再設定できません。 ただし、使用できる最新の有効期限日付でアカウントを設定することは可能です。

                    [Expiration Date] フィールド

                    アカウントの期限が切れる日付。 日付の形式は yyyy-mm-dd です。

                    このフィールドの終端にある下矢印をクリックするとカレンダーが表示されるので、それを使用して期限日を選択できます。

                    (注)     

                    [Account Expires] チェックボックスをオンにすると、Cisco UCS Manager GUI はこのフィールドを表示します。

                    ステップ 5   [Roles] 領域で 1 つ以上のボックスをオンにして、ユーザ アカウントにロールと権限を割り当てます。
                    (注)     

                    admin または aaa ロールを持つユーザにロケールを割り当てないでください。

                    ステップ 6   (任意)システムに組織が含まれる場合、[Locales] 領域の 1 つ以上のチェックボックスをオンにして、適切なロケールをユーザに割り当てます。
                    ステップ 7   [SSH] 領域で、次のフィールドに値を入力します。
                    1. [Type] フィールドで、次をクリックします。
                      • [Password Required]:ユーザはログインするときにパスワードを入力する必要があります。

                      • [Key]:このユーザがログインするときに、SSH 暗号化が使用されます。

                    2. [Key] を選択する場合、[SSH data] フィールドに SSH キーを入力します。
                    ステップ 8   [OK] をクリックします。

                    ローカル認証されたユーザへのパスワード強度チェックのイネーブル化

                    パスワードの強度の確認を有効にするには、ユーザが admin または aaa 権限を持っている必要があります。 パスワードの強度の確認が有効になっている場合、Cisco UCS Manager では、強力なパスワードのガイドラインを満たしていないパスワードを選択できません。

                    手順
                      ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                      ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
                      ステップ 3   [Locally Authenticated Users] ノードをクリックします。
                      ステップ 4   [Work] ペインで、[Properties] 領域の [Password Strength Check] チェックボックスをオンにします。
                      ステップ 5   [Save Changes] をクリックします。

                      Cisco UCS Manager GUI ユーザの Web セッション制限の設定

                      手順
                        ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                        ステップ 2   [Admin] タブで、[All] > [Communication Management] > [Communication Services] を展開します。
                        ステップ 3   [Communication Services] タブをクリックします。
                        ステップ 4   [Web Session Limits] 領域で、次のフィールドに値を入力します。
                        名前 説明

                        [Maximum Sessions Per User] フィールド

                        各ユーザに許可されている HTTP および HTTPS の同時セッションの最大数。

                        1 ~ 256 の整数を入力します。

                        [Maximum Sessions] フィールド

                        システム内のすべてのユーザに許可される HTTP および HTTPS の同時セッションの最大数。

                        1 ~ 256 の整数を入力します。

                        ステップ 5   [Save Changes] をクリックします。

                        ローカル認証されたユーザ アカウントに割り当てられたロケールの変更


                        (注)  


                        admin または aaa ロールを持つユーザにロケールを割り当てないでください。


                        手順
                          ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                          ステップ 2   [Admin] タブの [All] > [User Management] > [User Services] > [Locally Authenticated Users] を展開します。
                          ステップ 3   修正するユーザ アカウントをクリックします。
                          ステップ 4   [Work] ペインの [General] タブをクリックします。
                          ステップ 5   [Locales] 領域で、次の手順を実行します。
                          • ユーザ アカウントに新しいロケールを割り当てるには、適切なチェックボックスをオンにします。
                          • ユーザ アカウントからロケールを削除するには、適切なチェックボックスをオフにします。
                          ステップ 6   [Save Changes] をクリックします。

                          ローカル認証されたユーザ アカウントに割り当てられたロールの変更

                          ユーザ ロールと権限の変更は、次回ユーザがログインするまで有効になりません。 ユーザ アカウントへの新しいロールの割り当てや既存のロールの削除を行うときにユーザがログインしている場合、アクティブなセッションは以前のロールや権限を引き続き使用します。

                          手順
                            ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                            ステップ 2   [Admin] タブの [All] > [User Management] > [User Services] > [Locally Authenticated Users] を展開します。
                            ステップ 3   修正するユーザ アカウントをクリックします。
                            ステップ 4   [Work] ペインの [General] タブをクリックします。
                            ステップ 5   [Roles] 領域で、次の手順を実行します。
                            • ユーザ アカウントに新しいロールを割り当てるには、適切なチェックボックスをオンにします。
                            • ユーザ アカウントからロールを削除するには、適切なチェックボックスをオフにします。
                            ステップ 6   [Save Changes] をクリックします。

                            ユーザ アカウントの有効化

                            ローカル ユーザ アカウントを有効または無効にするには、ユーザが admin または aaa 権限を持っている必要があります。

                            はじめる前に

                            ローカル ユーザ アカウントを作成します。

                            手順
                              ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                              ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] > [Locally Authenticated Users] を展開します。
                              ステップ 3   有効にするユーザをクリックします。
                              ステップ 4   [Work] ペインの [General] タブをクリックします。
                              ステップ 5   [Account Status] フィールドで、[active] オプション ボタンをクリックします。
                              ステップ 6   [Save Changes] をクリックします。

                              ユーザ アカウントの無効化

                              ローカル ユーザ アカウントを有効または無効にするには、ユーザが admin または aaa 権限を持っている必要があります。


                              (注)  


                              Cisco UCS Manager GUI を介してディセーブル化されたアカウントのパスワードを変更した場合、アカウントをイネーブルにしてアクティブ化した後、ユーザはこの変更されたパスワードを使用できません。 アカウントをイネーブル化してアクティブ化した後に、必要なパスワードを再び入力する必要があります。


                              手順
                                ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] > [Locally Authenticated Users] を展開します。
                                ステップ 3   無効にするユーザをクリックします。
                                ステップ 4   [Work] ペインの [General] タブをクリックします。
                                ステップ 5   [Account Status] フィールドで、[inactive] オプション ボタンをクリックします。

                                admin ユーザ アカウントは常にアクティブに設定されます。 変更はできません。

                                ステップ 6   [Save Changes] をクリックします。

                                ローカル認証されたユーザのパスワード履歴のクリア

                                手順
                                  ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                  ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] > [Locally Authenticated Users] を展開します。
                                  ステップ 3   パスワード履歴をクリアするユーザをクリックします。
                                  ステップ 4   [Actions] 領域で、[Clear Password History] をクリックします。
                                  ステップ 5   Cisco UCS Manager GUI に確認ダイアログボックスが表示されたら、[Yes] をクリックします。

                                  ローカルに認証されたユーザ アカウントの削除

                                  手順
                                    ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                    ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
                                    ステップ 3   [Locally Authenticated Users] ノードを展開します。
                                    ステップ 4   削除するユーザ アカウントを右クリックし、[Delete] を選択します。
                                    ステップ 5   [Delete] ダイアログボックスで、[Yes] をクリックします。

                                    ローカル認証されたユーザのパスワード プロファイル

                                    パスワード プロファイルには、Cisco UCS Manager のローカル認証されたユーザすべてのパスワード履歴やパスワード変更間隔プロパティが含まれます。 ローカル認証されたユーザのそれぞれに異なるパスワード プロファイルを指定することはできません。


                                    (注)  


                                    パスワード プロファイル プロパティを変更するには、admin または aaa 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは、admin または aaa 権限を持つユーザに適用されません。


                                    パスワード履歴カウント

                                    パスワード履歴のカウントにより、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。 このプロパティが設定されている場合、Cisco UCS Manager は、ローカル認証されたユーザによって以前使用された最大 15 個のパスワードを保存します。 パスワードは最近のものから時系列の逆順で格納され、履歴カウントがしきい値に達した場合に、最も古いパスワードだけを再利用可能にします。

                                    あるパスワードが再利用可能になる前に、ユーザはパスワード履歴カウントで設定された数のパスワードを作成して使用する必要があります。 たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは最初のパスワードを 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。

                                    デフォルトでは、パスワード履歴は 0 に設定されます。 この値は、履歴のカウントをディセーブルにし、ユーザはいつでも前のパスワードを使用できます。

                                    必要に応じて、ローカル認証されたユーザについてパスワード履歴カウントをクリアし、以前のパスワードの再利用をイネーブルにできます。

                                    パスワード変更間隔

                                    パスワード変更間隔は、ローカル認証されたユーザが特定の時間内に行えるパスワード変更回数を制限することができます。 次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。

                                    間隔の設定 説明

                                    パスワード変更不許可

                                    このオプションでは、ローカル認証されたユーザは、パスワードの変更後、指定された時間内にはパスワードを変更できません。

                                    1 ~ 745 時間の変更禁止間隔を指定できます。 デフォルトでは、変更禁止間隔は 24 時間です。

                                    たとえば、ローカル認証されたユーザが 48 時間の間パスワードを変更できないようにする場合、次のように設定します。

                                    • [Change During Interval] をディセーブルに

                                    • [No Change Interval] を 48 に

                                    変更間隔内のパスワード変更許可

                                    このオプションは、ローカル認証されたユーザのパスワードを事前に定義された時間内に変更できる最大回数を指定します。

                                    変更間隔を 1 ~ 745 時間で、パスワード変更の最大回数を 0 ~ 10 で指定できます。 デフォルトでは、ローカル認証されたユーザに対して、48 時間間隔内で最大 2 回のパスワード変更が許可されます。

                                    たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に最大 1 回の変更を許可する場合、次のように設定します。

                                    • [Change During Interval] をイネーブルに

                                    • [Change Count] を 1 に

                                    • [Change Interval] を 24 に

                                    変更間隔のパスワード変更の最大数の設定

                                    パスワード プロファイル プロパティを変更するには、admin または aaa 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは、admin または aaa 権限を持つユーザに適用されません。

                                    手順
                                      ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                      ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
                                      ステップ 3   [Locally Authenticated Users] ノードをクリックします。
                                      ステップ 4   [Password Profile] 領域で、次を実行します。
                                      1. [Change During Interval] フィールド で、[Enable] をクリックします。
                                      2. [Change Count] フィールド で、ローカル認証されたユーザが、[Change Interval] の間に自分のパスワードを変更できる最大回数 を入力します。

                                        この値は、0 ~ 10 から自由に設定できます。

                                      3. [Change Interval] フィールド で、[Change Count] フィールドで指定したパスワード変更回数が有効になる時間の最大数 を入力します。

                                        この値は、1 ~ 745 時間から自由に設定できます。

                                        たとえば、このフィールドが 48 に設定され、[Change Count] フィールドが 2 に設定されている場合、ローカル認証されたユーザは 48 時間以内に 2 回を超えるパスワード変更を実行することはできません。

                                      ステップ 5   [Save Changes] をクリックします。

                                      パスワードの変更禁止間隔の設定

                                      パスワード プロファイル プロパティを変更するには、admin または aaa 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは、admin または aaa 権限を持つユーザに適用されません。

                                      手順
                                        ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                        ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
                                        ステップ 3   [Locally Authenticated Users] ノードをクリックします。
                                        ステップ 4   [Password Profile] 領域で、次を実行します。
                                        1. [Change During Interval] フィールド で、[Disable] をクリックします。
                                        2. [No Change Interval] フィールド で、ローカル認証されたユーザが、新しく作成されたパスワードを変更する前に待機する時間の最小数 を入力します。

                                          この値は、1 ~ 745 時間から自由に設定できます。

                                          この間隔は、[Change During Interval] プロパティが [Disable] に設定されていない場合、無視されます。

                                        ステップ 5   [Save Changes] をクリックします。

                                        パスワード履歴カウントの設定

                                        パスワード プロファイル プロパティを変更するには、admin または aaa 権限を持っている必要があります。

                                        手順
                                          ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                          ステップ 2   [Admin] タブで、[All] > [User Management] > [User Services] を展開します。
                                          ステップ 3   [Locally Authenticated Users] ノードをクリックします。
                                          ステップ 4   [Password Profile] 領域で、ローカル認証されたユーザが、以前 [History Count] フィールド で使用したパスワードを再使用できるようになる前に、作成する必要がある一意のパスワードの数を入力します。

                                          この値は、0 ~ 15 から自由に設定できます。

                                          デフォルトでは、[History Count] フィールドは 0 に設定されます。これは、履歴カウントをディセーブルにし、ユーザはいつでも前に使用されたパスワードを再使用できます。

                                          ステップ 5   [Save Changes] をクリックします。

                                          ユーザ セッションのモニタリング

                                          CLI と GUI のどちらでログインしているかに関係なく、ローカル認証されたユーザとリモート認証されたユーザの両方について、Cisco UCS Manager セッションをモニタできます。

                                          手順
                                            ステップ 1   [Navigation] ペインの [Admin] タブをクリックします。
                                            ステップ 2   [Admin] タブで、[All] > [User Management] を展開します。
                                            ステップ 3   [User Services] ノードをクリックします。
                                            ステップ 4   [Work] ペインで [Sessions] タブをクリックします。

                                            このタブには、ユーザ セッションに関する次の詳細情報が表示されます。

                                            名前 説明

                                            [Name] カラム

                                            セッションの名前。

                                            [User] カラム

                                            セッションに参加しているユーザ名。

                                            [Fabric ID] カラム

                                            このセッションのためにユーザがログインしているファブリック インターコネクト。

                                            [Login Time] カラム

                                            セッションが開始された日時。

                                            [Refresh Period] カラム

                                            Web クライアントが Cisco UCS Manager に接続すると、Web セッションをアクティブに保つには、クライアントが Cisco UCS Manager に更新要求を送信する必要があります。 このオプションは、このドメインのユーザについてリフレッシュ要求間に許容される最大時間を指定します。

                                            この時間制限を超えると、Cisco UCS Manager は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。

                                            [Session Timeout] カラム

                                            Cisco UCS Manager が Web セッションを終了したと見なすまでに、最後の更新要求の後、経過できる最大時間。 この時間制限を超えた場合、Cisco UCS Manager は自動的に Web セッションを終了します。

                                            [Terminal Type] カラム

                                            ユーザがログインするときに使用する端末の種類。

                                            [Host] カラム

                                            ユーザのログイン元である IP アドレス。

                                            [Current Session] カラム

                                            関連するユーザ セッションが現在アクティブな場合、このカラムには [Y] が表示されます。