この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ロールベース アクセス コントロール(RBAC)は、ユーザのロールとロケールに基づいてユーザのシステム アクセスを制限または許可する方法です。ロールによってシステム内でのユーザの権限が定義され、ロケールによってユーザがアクセス可能な組織(ドメイン)が定義されます。権限がユーザに直接割り当てられることはないため、適切なロールとロケールを割り当てることによって個々のユーザ権限を管理できます。
必要なシステム リソースへの書き込みアクセス権限がユーザに与えられるのは、割り当てられたロールによりアクセス権限が与えられ、割り当てられたロケールによりアクセスが許可されている場合に限ります。たとえば、エンジニアリング部門のサーバ管理者ロールを持つユーザは、エンジニアリング部門内のサーバ設定を更新できます。ただし、そのユーザに割り当てられたロケールに財務部門が含まれている場合を除いて、財務部門内のサーバ設定を更新することはできません。
ユーザ アカウントを使用してシステムにアクセスします。各 Cisco UCS Managerドメインに、 48 のローカル ユーザ アカウントを設定できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
ユーザ アカウントは、SSH 公開キーを付けて設定できます。公開キーは、OpenSSH と SECSH のいずれかの形式で設定できます。
管理者アカウントは、各 Cisco UCS ドメインに設定されています。管理者アカウントはデフォルト ユーザ アカウントであり、変更や削除はできません。このアカウントはシステム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブで、有効期限がありません。管理者アカウントを非アクティブに設定することはできません。
ローカル認証されたユーザ アカウントは、ファブリック インターコネクトのを介して直接認証され、admin または aaa 権限の所有者によって有効または無効にできます。ローカル ユーザ アカウントをディセーブルにすると、そのユーザはログインできなくなります。しかしディセーブルになったローカル ユーザ アカウントの構成の詳細はデータベースから削除されません。ディセーブルにされたローカル ユーザ アカウントを再度イネーブルにすると、アカウントはユーザ名とパスワードを含め、既存の構成で再びアクティブになります。
リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ で認証されたユーザ アカウントです。
ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持している場合は、ローカル ユーザ アカウントで定義されたロールによってリモート ユーザ アカウントのロールが上書きされます。
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。有効期限の時間になると、ユーザ アカウントはディセーブルになります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
(注) |
ユーザ アカウントに有効期限日付を設定した後は、アカウントの有効期限をなくすよう再設定できません。ただし、使用できる最新の有効期限の日付でアカウントを設定することは可能です。 |
次の語は Cisco UCS でローカル ユーザ アカウントを作成するときに使用できません。
Cisco UCS Manager では、Web セッション制限を使用して、あるユーザ アカウントに対してある時点で許容される Web セッション数(GUI と XML の両方)を制限します。
各 Cisco UCS Manager ドメインは、ユーザ 1 人につき同時 Web セッションを最大 32 件、合計 256 件のユーザ セッションをサポートします。デフォルトで、Cisco UCS Manager の許容同時 Web セッション数はユーザ 1 人あたり 32 です。ただし、この値は最大でシステム上限の 256 まで設定できます。
ユーザ ロールには、ユーザに許可される操作を定義する 1 つ以上の権限が含まれます。ユーザごとに 1 つ以上のロールを割り当てることができます。複数のロールを持つユーザは、割り当てられたすべてのロールを組み合わせた権限を持ちます。たとえば、Role1 にストレージ関連の権限が含まれ、Role2 にサーバ関連の権限が含まれている場合、Role1 と Role2 の両方を持つユーザは、ストレージ関連の権限とサーバ関連の権限を持つことになります。
Cisco UCS ドメインは、デフォルトのユーザ ロールを含めて、最大 48 個のユーザ ロールを持つことができます。最初の 48 のユーザ ロールが許可された後に設定されたユーザ ロールは、障害が発生して無効になります。
すべてのロールには、Cisco UCS ドメイン内のすべての設定に対する読み取りアクセスが含まれています。読み取り専用ロールを持つユーザは、システム状態を変更できません。
権限を作成したり、既存の権限を変更または削除したり、ロールを削除したりできます。ロールを変更すると、そのロールを持つすべてのユーザに新しい権限が適用されます。権限の割り当ては、デフォルト ロールに定義されている権限に限定されません。つまり、権限を自由に組み合わせて独自のロールを作成できます。たとえば、デフォルトのサーバ管理者ロールとストレージ管理者ロールには、異なる組み合わせの権限が付与されています。しかし、両方のロールの権限を持つサーバおよびストレージ管理者ロールを作成することができます。
(注) |
ロールをユーザに割り当てた後で削除すると、そのロールはそれらのユーザ アカウントからも削除されます。 |
AAA サーバ(RADIUS または TACACS+)上のユーザ プロファイルを、そのユーザに付与される権限に対応したロールを追加するように変更します。属性にロール情報が保存されます。AAA サーバでは、要求とともにこの属性が返され、それを解析することでロールが得られます。LDAP サーバでは、ユーザ プロファイル属性内のロールが返されます。
(注) |
ローカル ユーザ アカウントとリモート ユーザ アカウントに同じユーザ名がある場合、Cisco UCS Manager は、リモート ユーザに割り当てられたすべての役割を、ローカル ユーザに割り当てられた内容で上書きします。 |
システムには、次のデフォルトのユーザ ロールが用意されています。
ユーザ、ロール、および AAA 設定に対する読み取りと書き込みのアクセス権。その他のシステムに対する読み取りアクセス。
システム全体に対する完全な読み取りと書き込みのアクセス権。このロールは、デフォルトで管理者アカウントに割り当てられます。変更することはできません。
power management 権限による、電源管理操作に対する読み取りと書き込みのアクセス。その他のシステムに対する読み取りアクセス。
ファブリック インターコネクト インフラストラクチャとネットワーク セキュリティ操作に対する読み取りと書き込みのアクセス権。その他のシステムに対する読み取りアクセス。
システムのログ(syslog サーバを含む)と障害に対する読み取りと書き込みのアクセス権。その他のシステムに対する読み取りアクセス。
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
サービス プロファイルのほとんどの側面に対する読み取りと書き込みのアクセス権。ただし、ユーザは vNIC または vHBA を作成、変更、または削除できません。
物理サーバ関連の操作に対する読み取りと書き込みのアクセス。その他のシステムに対する読み取りアクセス。
論理サーバ関連の操作に対する読み取りと書き込みのアクセス。その他のシステムに対する読み取りアクセス。
サーバ セキュリティ関連の操作に対する読み取りと書き込みのアクセス。その他のシステムに対する読み取りアクセス。
ストレージ操作に対する読み取りと書き込みのアクセス権。その他のシステムに対する読み取りアクセス。
Cisco UCS でカスタム ロールを作成するときは次の語を使用できません。
ユーザ ロールを割り当てられたユーザは、権限により、特定のシステム リソースへアクセスしたり、特定のタスクを実行したりできるようになります。次の表に、各権限と、その権限がデフォルトで与えられるユーザ ロールのリストを示します。
ヒント |
これらの権限および権限によってユーザが実行できるようになるタスクの詳細情報は、『Privileges in Cisco UCS』は、次の URL で入手可能です。 http://www.cisco.com/en/US/products/ps10281/prod_technical_reference_list.html で利用可能です。 |
特権 |
説明 |
デフォルトのロール割り当て |
---|---|---|
aaa |
システム セキュリティおよび AAA |
AAA アドミニストレータ |
admin |
システム管理 |
アドミニストレータ |
ext-lan-config |
外部 LAN 設定 |
ネットワーク アドミニストレータ |
ext-lan-policy |
外部 LAN ポリシー |
ネットワーク アドミニストレータ |
ext-lan-qos |
外部 LAN QoS |
ネットワーク アドミニストレータ |
ext-lan-security |
外部 LAN セキュリティ |
ネットワーク アドミニストレータ |
ext-san-config |
外部 SAN 設定 |
ストレージ アドミニストレータ |
ext-san-policy |
外部 SAN ポリシー |
ストレージ アドミニストレータ |
ext-san-qos |
外部 SAN QoS |
ストレージ アドミニストレータ |
ext-san-security |
外部 SAN セキュリティ |
ストレージ アドミニストレータ |
fault |
アラームおよびアラーム ポリシー |
動作 |
operations |
ログおよび Smart Call Home |
動作 |
org-management |
組織管理 |
動作 |
pod-config |
ポッド設定 |
ネットワーク アドミニストレータ |
pod-policy |
ポッド ポリシー |
ネットワーク アドミニストレータ |
pod-qos |
ポッド QoS |
ネットワーク アドミニストレータ |
pod-security |
ポッド セキュリティ |
ネットワーク アドミニストレータ |
power-mgmt |
電源管理操作に対する読み取りと書き込みのアクセス |
ファシリティ マネージャ |
read-only |
読み取り専用アクセス権 読み取り専用は、権限として選択できません。この権限は、すべてのユーザ ロールに割り当てられます。 |
読み取り専用 |
server-equipment |
サーバ ハードウェア管理 |
サーバ機器アドミニストレータ |
server-maintenance |
サーバ メンテナンス |
サーバ機器アドミニストレータ |
server-policy |
サーバ ポリシー |
サーバ機器アドミニストレータ |
server-security |
サーバ セキュリティ |
サーバ セキュリティ アドミニストレータ |
service-profile-compute |
サービス プロファイルの計算 |
サーバ計算アドミニストレータ |
service-profile-config |
サービス プロファイル設定 |
サーバ プロファイル アドミニストレータ |
service-profile-config-policy |
サービス プロファイル設定ポリシー |
サーバ プロファイル アドミニストレータ |
service-profile-ext-access |
サービス プロファイル エンドポイント アクセス |
サーバ プロファイル アドミニストレータ |
service-profile-network |
サービス プロファイル ネットワーク |
ネットワーク アドミニストレータ |
service-profile-network-policy |
サービス プロファイル ネットワーク ポリシー |
ネットワーク アドミニストレータ |
service-profile-qos |
サービス プロファイル QoS |
ネットワーク アドミニストレータ |
service-profile-qos-policy |
サービス プロファイル QoS ポリシー |
ネットワーク アドミニストレータ |
service-profile-security |
サービス プロファイル セキュリティ |
サーバ セキュリティ アドミニストレータ |
service-profile-security-policy |
サービス プロファイル セキュリティ ポリシー |
サーバ セキュリティ アドミニストレータ |
service-profile-server |
サービス プロファイル サーバ管理 |
サーバ プロファイル アドミニストレータ |
service-profile-server-oper |
サービス プロファイル コンシューマ |
サーバ プロファイル アドミニストレータ |
service-profile-server-policy |
サービス プロファイル プール ポリシー |
サーバ セキュリティ アドミニストレータ |
service-profile-storage |
サービス プロファイル ストレージ |
ストレージ アドミニストレータ |
service-profile-storage-policy |
サービス プロファイル ストレージ ポリシー |
ストレージ アドミニストレータ |
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Roles] ノードを展開します。 |
ステップ 4 | 権限を追加するロールを選択します。 |
ステップ 5 | [General] タブで、ロールに追加する権限に対応するチェックボックスをオンにします。 |
ステップ 6 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Roles] ノードを展開します。 |
ステップ 4 | 権限を削除するロールを選択します。 |
ステップ 5 | [General] タブで、ロールから削除する権限に対応するボックスをオフにします。 |
ステップ 6 | [Save Changes] をクリックします。 |
あるユーザ ロールを削除すると、Cisco UCS Manager により、このロールは割り当て先のすべてのユーザ アカウントから削除されます。
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Roles] ノードを展開します。 |
ステップ 4 | 削除するロールを右クリックし、[Delete] を選択します。 |
ステップ 5 | [Delete] ダイアログボックスで、[Yes] をクリックします。 |
ユーザは 1 つ以上のロケールに割り当てることができます。各ロケールでは、ユーザがアクセスできる 1 つ以上の組織(ドメイン)を定義します。通常、アクセスできるのは、ロケールで指定された部門のみに限定されます。ただし、部門をまったく含まないロケールは例外です。このようなロケールは、全部門のシステム リソースへの無制限のアクセスを提供します。
Cisco UCS ドメインは、最大 48 個のユーザ ロケールを持つことができます。最初の 48 個の後に設定されたユーザ ロケールは受け入れられますが、非アクティブなために、障害が発生します。
admin または aaa の権限を持つユーザは、組織をその他のユーザのロケールに割り当てることができます。組織の割り当ては、それを行うユーザのロケール内の組織だけに制限されます。たとえば、ロケールにエンジニアリング組織しか含まれていない場合、そのロケールを割り当てられたユーザは、他のユーザにエンジニアリング組織のみを割り当てることできます。
(注) |
ロケールを次の権限の 1 つ以上を持つユーザに割り当てることはできません。 |
組織は階層的に管理できます。トップ レベルの組織に割り当てられたユーザは、自動的にその下にあるすべての組織にアクセスできます。たとえば、エンジニアリング組織が、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織で構成されているとします。ソフトウェア エンジニアリング部門のみを含むロケールでは、その部門内のシステム リソースにのみアクセスできます。しかし、エンジニアリング部門を含むロケールでは、ソフトウェア エンジニアリング部門とハードウェア エンジニアリング部門の両方のリソースにアクセスできます。
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Locales] ノードを展開し、組織を追加するロケールをクリックします。 |
ステップ 4 | [Work] ペインで、[General] タブをクリックします。 |
ステップ 5 | [Organizations] 領域のテーブル アイコン バーで [+] をクリックします。 |
ステップ 6 | [Assign Organizations] ダイアログボックスで、次の手順を実行します。 |
ステップ 7 | [OK] をクリックします。 |
ロケールを作成するには、1 つ以上の組織が存在する必要があります。
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Locales] を右クリックし、[Create a Locale] を選択します。 |
ステップ 4 |
[Create Locale] ページで、次の手順を実行します。
|
ステップ 5 | [Assign Organizations] ダイアログボックスで、次の手順を実行します。 |
ステップ 6 | [Finish] をクリックします。 |
ロケールを 1 つまたは複数のユーザ アカウントに追加します。詳細については、ローカル認証されたユーザ アカウントに割り当てられたロケールの変更を参照してください。
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Locales] ノードを展開し、組織を削除するロケールをクリックします。 |
ステップ 4 | [Work] ペインで、[General] タブをクリックします。 |
ステップ 5 | [Organizations] 領域で、ロケールから削除する組織を右クリックし、[Delete] を選択します。 |
ステップ 6 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Locales] ノードを展開します。 |
ステップ 4 | 削除するロケールを右クリックし、[Delete] を選択します。 |
ステップ 5 | 確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
少なくとも、次のユーザを作成することを推奨します。
(注) |
ユーザ アカウントの作成後、Cisco UCS Manager GUI からユーザ アカウントのフィールドのいずれかを変更する場合は、パスワードをもう一度入力する必要があります。 |
システムに次のいずれかがある場合は、該当するタスクを実行します。
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||||||||||||||||||||||||||||
ステップ 2 | の順に展開します。 | ||||||||||||||||||||||||||||
ステップ 3 |
[User Services] を右クリックし、[Create User] を選択して [User Properties] ダイアログボックスを開きます。 [Locally Authenticated Users] の右クリックでもそのオプションにアクセスできます。 |
||||||||||||||||||||||||||||
ステップ 4 |
ユーザに関して要求される情報を使用して、次のフィールドに値を入力します。
|
||||||||||||||||||||||||||||
ステップ 5 |
[Roles] 領域で 1 つ以上のボックスをオンにして、ユーザ アカウントにロールと権限を割り当てます。
|
||||||||||||||||||||||||||||
ステップ 6 | (任意)システムに組織が含まれる場合、[Locales] 領域の 1 つ以上のチェックボックスをオンにして、適切なロケールをユーザに割り当てます。 | ||||||||||||||||||||||||||||
ステップ 7 |
[SSH] 領域で、次のフィールドに値を入力します。
|
||||||||||||||||||||||||||||
ステップ 8 | [OK] をクリックします。 |
パスワードの強度の確認を有効にするには、ユーザが admin または aaa 権限を持っている必要があります。 パスワードの強度の確認が有効になっている場合、Cisco UCS Manager では、強力なパスワードのガイドラインを満たしていないパスワードを選択できません。
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Locally Authenticated Users] ノードをクリックします。 |
ステップ 4 | [Work] ペインで、[Properties] 領域の [Password Strength Check] チェックボックスをオンにします。 |
ステップ 5 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||||||||
ステップ 2 | の順に展開します。 | ||||||||
ステップ 3 | [Communication Services] タブをクリックします。 | ||||||||
ステップ 4 |
[Web Session Limits] 領域で、次のフィールドに入力します。
|
||||||||
ステップ 5 | [Save Changes] をクリックします。 |
(注) |
admin または aaa ロールを持つユーザにロケールを割り当てないでください。 |
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | [Admin] タブの を展開します。 |
ステップ 3 | 修正するユーザ アカウントをクリックします。 |
ステップ 4 | [Work] ペインで、[General] タブをクリックします。 |
ステップ 5 | [Locales] 領域で、次の手順を実行します。 |
ステップ 6 | [Save Changes] をクリックします。 |
ユーザ ロールと権限の変更は、次回ユーザがログインするまで有効になりません。 ユーザ アカウントへの新しいロールの割り当てや既存のロールの削除を行うときにユーザがログインしている場合、アクティブなセッションは以前のロールや権限を引き続き使用します。
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | [Admin] タブの を展開します。 |
ステップ 3 | 修正するユーザ アカウントをクリックします。 |
ステップ 4 | [Work] ペインで、[General] タブをクリックします。 |
ステップ 5 | [Roles] 領域で、次の手順を実行します。 |
ステップ 6 | [Save Changes] をクリックします。 |
ローカル ユーザ アカウントを有効または無効にするには、ユーザが admin または aaa 権限を持っている必要があります。
ローカル ユーザ アカウントを作成します。
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | 有効にするユーザをクリックします。 |
ステップ 4 | [Work] ペインで、[General] タブをクリックします。 |
ステップ 5 | [Account Status] フィールドで、[active] オプション ボタンをクリックします。 |
ステップ 6 | [Save Changes] をクリックします。 |
ローカル ユーザ アカウントを有効または無効にするには、ユーザが admin または aaa 権限を持っている必要があります。
(注) |
Cisco UCS Manager GUI を介して無効化されたアカウントのパスワードを変更した場合、アカウントを有効化してアクティブ化した後、ユーザはこの変更されたパスワードを使用できません。アカウントをイネーブル化してアクティブ化した後に、必要なパスワードを再び入力する必要があります。 |
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | 無効にするユーザをクリックします。 |
ステップ 4 | [Work] ペインで、[General] タブをクリックします。 |
ステップ 5 |
[Account Status] フィールドで、[inactive] オプション ボタンをクリックします。 admin ユーザ アカウントは常にアクティブに設定されます。 変更はできません。 |
ステップ 6 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | パスワード履歴をクリアするユーザをクリックします。 |
ステップ 4 | [Actions] 領域で、[Clear Password History] をクリックします。 |
ステップ 5 | 確認ダイアログボックスが表示されたら、[Yes] をクリックします。 |
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Locally Authenticated Users] ノードを展開します。 |
ステップ 4 | 削除するユーザ アカウントを右クリックし、[Delete] を選択します。 |
ステップ 5 | [Delete] ダイアログボックスで、[Yes] をクリックします。 |
ステップ 1 | [Navigation] ペインで [Admin] をクリックします。 | ||||||||||||||||||||
ステップ 2 | [Admin] タブで、[All] [User Management] を展開します。 | ||||||||||||||||||||
ステップ 3 | [User Services] ノードをクリックします。 | ||||||||||||||||||||
ステップ 4 |
[Work] ペインで [Sessions] タブをクリックします。 このタブには、ユーザ セッションに関する次の詳細情報が表示されます。
|