Cisco UCS リリース 2.1 での特権
目次
外部 LAN セキュリティ(ext-lan-security)
サービス プロファイル設定ポリシー(ls-config-policy)
サービス プロファイル ネットワーク(ls-network)
サービス プロファイル ネットワーク ポリシー(ls-network-policy)
サービス プロファイル QoS ポリシー(ls-qos-policy)
サービス プロファイル セキュリティ(ls-security)
サービス プロファイル セキュリティ ポリシー(ls-security-policy)
サービス プロファイル サーバ操作(ls-server-oper)
サービス プロファイル サーバ ポリシー(ls-server-policy)
サービス プロファイル ストレージ ポリシー(ls-storage-policy)
ダウングレードが新しい特権が割り当てられたユーザに与える影響
ダウングレード後にアップグレードして Cisco UCS リリース 2.1 に戻す場合の影響
ロールベース アクセス コントロールおよび特権
ロールベース アクセス コントロール(RBAC)は、ユーザのロールとロケールに基づいてユーザのシステム アクセスを制限または許可する方法です。ロールによってシステム内でのユーザの特権が定義され、ロケールによってユーザがアクセス可能な組織(ドメイン)が定義されます。
Cisco UCS Manager では、ユーザに特権を直接割り当てません。代わりに、1 つ以上の特権を含むロールをユーザに割り当てます。ただし、ユーザにどのロールを割り当てるべきかを理解するには、そのロールに含まれる各特権がどのシステム リソースへのアクセスをユーザに許可するかを知っておく必要があります。
たとえば、Engineering および Finance のロケールが設定されている企業において、Engineering ロケールでサーバ管理者のロールが割り当てられているユーザは、Engineering ロケールのサーバ設定を更新することはできますが、Finance ロケールのサーバ設定は更新できません。ユーザが Finance ロケールのサーバ設定を更新できるようにするには、そのユーザに該当するロケールも割り当てる必要があります。
特権
AAA(aaa)
この特権は、認証、許可、アカウンティングに関連するプロビジョニング操作をユーザに許可します。これには、ユーザおよびロールの管理と、管理インターフェイスに公開されるサービスの設定が含まれます。
この特権に許可されるタスク
•
特権 ls-security から継承されるすべてのタスク
• キー リングの設定。信頼できる認証局の証明書のインポート。証明書の生成とインポート
• SNMP ポリシー、SNMP ユーザ、SNMP トラップの宛先の設定
• UCS 管理接続の設定:HTTP、HTTPs、SSH、Telnet、CIM、WS-MAN、イベント チャネル セキュリティ
• ユーザ、ロール、ユーザ ロケール、ユーザ セッション、ログイン バナー、認証ドメイン、認証プロバイダー(LDAP、RADIUS、TACACS)の設定
外部 LAN 設定(ext-lan-config)
この特権は、イーサネット境界ポート、VLAN、LAN PIN グループ、イーサネット SPAN セッション、LAN ポリシー、および管理インターフェイスなどの、ファブリック インターコネクトの LAN 設定をユーザに許可します。
この特権に許可されるタスク
• 特権 ext-lan-security から継承されるすべてのタスク
• ファブリック インターコネクト上のイーサネット境界ポートの設定。境界ポートへの VLAN の追加/削除
• イーサネット モニタリング セッション(SPAN)の設定
• MAC エージング プロパティの設定。イーサネットのエンドホスト モードまたはスイッチング モードの指定。VLAN 圧縮のイネーブル化/ディセーブル化
• ファブリック インターコネクト上の管理インターフェイスの設定
• ファブリック インターコネクトまたは IO モジュールのイーサネット ポートのイネーブル化/ディセーブル化。ポート ラベルの設定
• サーバ アダプタのイーサネット/FC/iSCSI ポートおよびポート チャネルのイネーブル化/ディセーブル化。ポート/ポート チャネル ラベルの設定
外部 LAN ポリシー(ext-lan-policy)
この特権は、イーサネット境界ポート、VLAN、LAN PIN グループ、イーサネット SPAN セッション、LAN ポリシー、および vNIC/vHBA 配置ポリシーなどの、ファブリック インターコネクトの LAN 設定をユーザに許可します。
この特権に許可されるタスク
• ファブリック インターコネクト上のイーサネット境界ポートの設定。境界ポートへの VLAN の追加/削除
• イーサネット モニタリング セッション(SPAN)の設定
• MAC エージング プロパティの設定。イーサネットのエンドホスト モードまたはスイッチング モードの指定。VLAN 圧縮のイネーブル化/ディセーブル化
• ファブリック インターコネクトまたは IO モジュールのイーサネット ポートのイネーブル化/ディセーブル化。ポート ラベルの設定
• サーバ アダプタのイーサネット/FC/iSCSI ポートおよびポート チャネルのイネーブル化/ディセーブル化。ポート/ポート チャネル ラベルの設定
外部 SAN 設定(ext-san-config)
この特権は、FC/FCoE 境界ポート、VSAN、SAN PIN グループ、およびファイバ チャネル SPAN セッションなどの、ファブリック インターコネクトの SAN 設定をユーザに許可します。
外部 SAN ポリシー(ext-san-policy)
この特権は、FC/FCoE 境界ポート、VSAN、SAN PIN グループ、およびファイバ チャネル SPAN セッションなどの、ファブリック インターコネクトの SAN 設定をユーザに許可します。
この特権に許可されるタスク
• ファブリック インターコネクトのファイバ チャネルおよび FCoE ポートの設定。FC ポートへの VSAN の追加/削除。FCoE ネイティブ VLAN の設定
障害(fault)
この特権は、障害ポリシー、Call Home ポリシー、および障害抑制ポリシーの設定をユーザに許可します。ユーザは、Cisco UCS Manager で障害を確認することもできます。
この特権に許可されるタスク
• 障害への確認応答、障害ポリシーの設定(フラッピング間隔、ソーク間隔、クリア/確認応答処理、制限、保持)
サービス プロファイルの計算(ls-compute)
この特権は、サービス プロファイルのほとんどの部分の設定をユーザに許可します。ただし、vNIC または vHBA の作成、変更、削除はできません。この特権を使用して、サーバ、ネットワーク、およびストレージのプロビジョニングの各アクティビティ間の強力な分離を強制できます。たとえば、ネットワーク管理者は vNIC を作成することができ、ストレージ管理者は vHBA を作成することができます。サーバ管理者はサービス プロファイルの他の要素をすべて設定することができます。
この特権に許可されるタスク
• 特権 ls-server-oper から継承されるすべてのタスク
• スケジュールの設定。スケジュールを使用して、一度だけまたは定期的に実行するタスクを後で開始させることができます。
• サービス プロファイルの vNIC/vHBA 配置の設定
• サービス プロファイル内のサービス プロファイル ダイナミック vNIC の作成/変更/削除
• サービス プロファイル メンテナンス ポリシーの作成/変更/削除
• サービス プロファイル/テンプレートの作成/変更/削除。サービス プロファイルへのポリシーの割り当て。電源ポリシーおよび配置の制御。サービス プロファイルの保留中タスクの確認
サービス プロファイル設定ポリシー(ls-config-policy)
この特権は、ホスト ファームウェア パッケージ、ローカル ディスク ポリシー、ブート ポリシー、および Serial over LAN ポリシーなどの、サービス プロファイルに適用されるポリシーの設定をユーザに許可します。
この特権に許可されるタスク
• VMware vCenter の接続、データセンター、フォルダ、スイッチの設定
• サービス プロファイル メンテナンス ポリシーの作成/変更/削除
サービス プロファイル ネットワーク(ls-network)
この特権は、サービス プロファイル vNIC に適用されるネットワーク ポリシーおよびネットワーク要素の設定をユーザに許可します。サービス プロファイルに影響を与えるサーバ ポートなどの他のネットワーク要素も設定できます。
この特権に許可されるタスク
• 特権 ls-qos-policy から継承されるすべてのタスク
• ファブリック インターコネクトのイーサネット サーバ ポートの設定
• LAN 接続ポリシーの設定。サービス プロファイル vNIC の設定、および vNIC の VLAN の追加/削除
• VMware vCenter の接続、データセンター、フォルダ、スイッチの設定
• vNIC が明示的に定義されていない場合の、vNIC の動作ポリシーの設定
• サービス プロファイルのダイナミック vNIC ポリシーの作成/変更/削除
• サービス プロファイル内のサービス プロファイル ダイナミック vNIC の作成/変更/削除
サービス プロファイル ネットワーク ポリシー(ls-network-policy)
この特権は、サービス プロファイル vNIC に適用されるネットワーク ポリシーおよびネットワーク要素の設定をユーザに許可します。
この特権に許可されるタスク
• 特権 ls-qos-policy から継承されるすべてのタスク
• ファブリック インターコネクトのイーサネット サーバ ポートの設定
• サービス プロファイルのダイナミック vNIC ポリシーの作成/変更/削除
• サービス プロファイル内のサービス プロファイル ダイナミック vNIC の作成/変更/削除
この特権に許可されるタスク
• 特権 ls-server-oper から継承されるすべてのタスク
• LAN 接続ポリシーの設定。サービス プロファイル vNIC の設定、および vNIC の VLAN の追加/削除
• SAN 接続ポリシーの設定。サービス プロファイル vHBA の設定と、vHBA の VSAN の追加/削除
• スケジュールの設定。スケジュールを使用して、一度だけまたは定期的に実行するタスクを後で開始させることができます。
• サービス プロファイルの vNIC/vHBA 配置の設定
• vHBA が明示的に定義されていない場合の、vHBA の動作ポリシーの設定
• vNIC が明示的に定義されていない場合の、vNIC の動作ポリシーの設定
• サービス プロファイル内のサービス プロファイル ダイナミック vNIC の作成/変更/削除
• サービス プロファイル/テンプレートの作成/変更/削除。サービス プロファイルへのポリシーの割り当て。電源ポリシーおよび配置の制御。サービス プロファイルの保留中タスクの確認
• サービス プロファイルのブート デバイス、ブート順、およびブート パラメータの指定
• サービス プロファイル内で vNIC と vHBA が明示的に定義されていない場合に、vNIC/vHBA をハードウェアから継承するかどうかの指定
サービス プロファイル サーバ ポリシー(ls-server-policy)
この特権は、サービス プロファイルの電源状態の制御、サービス プロファイルの関連付け/関連付け解除、サーバ関連ポリシーの設定をユーザに許可します。
この特権に許可されるタスク
• 特権 ls-server-oper から継承されるすべてのタスク
• アダプタ ポリシーの作成/変更/削除(イーサネット、FC、および iSCSI)
• 管理ファームウェア パッケージの作成/変更/削除。この機能は廃止されました。
• サーバ関連ポリシーの作成/変更/削除:電源および電源配置、メンテナンス、BIOS、iSCSI プロファイル、vNIC/vHBA 配置
サービス プロファイル ストレージ(ls-storage)
この特権は、サービス プロファイル vHBA に適用されるストレージ ポリシーおよびストレージ要素の設定をユーザに許可します。サービス プロファイルに影響する他のストレージ要素を設定することもできます。
この特権に許可されるタスク
• SAN 接続ポリシーの設定。サービス プロファイル vHBA の設定と、vHBA の VSAN の追加/削除
• vHBA が明示的に定義されていない場合の、vHBA の動作ポリシーの設定
サービス プロファイル ストレージ ポリシー(ls-storage-policy)
この特権は、サービス プロファイル vHBA に適用されるストレージ ポリシーおよびストレージ要素の設定をユーザに許可します。
操作(operations)
この特権は、SEL バックアップ操作などのメンテナンス アクティビティの実行、Call Home、Syslog、およびログ レベルなどのシステム レベルのポリシーの設定、テクニカル サポート ファイルの作成をユーザに許可します。
この特権に許可されるタスク
• 特権 ext-lan-security から継承されるすべてのタスク
• SEL ログ ファイルの消去またはバックアップ(FEX、IO モジュール、CIMC)。SEL ログ ポリシーの設定
• コア ファイルのエクスポート ポリシーの設定。コア ファイルのダウンロード
• ファブリック インターコネクトのデバッグ ログ ファイルのログ レベルの設定
• 設定、ファームウェア、およびモニタリングのポリシーがローカルで解決されるか、UCS Central で解決されるかどうかの設定
この特権に許可されるタスク
• 特権 pn-maintenance から継承されるすべてのタスク
• 電源装置の冗長性ポリシーの設定。PSU の冗長性ポリシーを UCS Central を介して解決できるかどうかの設定
この特権に許可されるタスク
• シャーシおよび IO モジュールの確認。シャーシ ラベルおよびシャーシ ID の設定
• ブレード サーバおよびラック サーバの確認、解放、再稼働、および回復
• ロケータ、インジケータ、およびビーコンの LED の設定
• ファブリック インターコネクトまたは IO モジュールのイーサネット ポートのイネーブル化/ディセーブル化。ポート ラベルの設定
• サーバ アダプタのイーサネット/FC/iSCSI ポートおよびポート チャネルのイネーブル化/ディセーブル化。ポート/ポート チャネル ラベルの設定
• サーバ メンテナンス操作の実行:CIMC のリセット、KVM サーバのリセット、CMOS のリセット、診断割り込みの実行、サーバのリセット ブレードおよびラック サーバのラベルの設定
この特権に許可されるタスク
• シャーシおよび IO モジュールの確認。シャーシ ラベルおよびシャーシ ID の設定
• ブレード サーバおよびラック サーバの確認、解放、再稼働、および回復
• 電源装置の冗長性ポリシーの設定。PSU の冗長性ポリシーを UCS Central を介して解決できるかどうかの設定
• サービス プロファイル ディスクおよび BIOS スクラブ ポリシーの設定
• VMware vCenter の接続、データセンター、フォルダ、スイッチの設定
• 仮想マシンおよび仮想マシン vNIC 保持ポリシーの設定
• ロケータ、インジケータ、およびビーコンの LED の設定
• サーバ プール、サーバ プール ポリシー、およびサーバ プールの資格ポリシーの設定
• サーバ/シャーシ ディスカバリ、確認応答および接続のポリシーの設定。ブレード継承と自動設定ポリシーの設定
• サーバ/シャーシ ディスカバリ ポリシーを UCS Central を介して解決できるかどうかの設定
• サーバ メンテナンス操作の実行:CIMC のリセット、KVM サーバのリセット、CMOS のリセット、診断割り込みの実行、サーバのリセット ブレードおよびラック サーバのラベルの設定
アップグレードおよびダウングレードの影響
ここでは、Cisco UCS リリース 2.1 へのアップグレードまたはダウングレードが与える、このリリースで導入された新しいロールと特権への影響について説明します。
• 「ダウングレードが新しい特権が割り当てられたユーザに与える影響」
• 「ダウングレード後にアップグレードして Cisco UCS リリース 2.1 に戻す場合の影響」
アップグレードがロールと特権に与える影響
以前のリリースから Cisco UCS 2.1 に Cisco UCS Manager をアップグレードすると、次のことが起こります。
• server-compute ロールが Cisco UCS Manager のデフォルト ロールのリストに追加されます。デフォルトで、次の特権が server-compute ロールに割り当てられます。
– サービス プロファイル サーバ操作(ls-server-oper)
– サービス プロファイル サーバ ポリシー(ls-server-policy)
ダウングレードが新しいロールに与える影響
Cisco UCS Manager を Cisco UCS リリース 2.1 から以前のリリースにダウングレードする場合は、次のことが起こります。
• server-compute ロールに変更を加えていない場合、そのロールは削除され、ダウングレードされた Cisco UCS Manager で使用できなくなります。このロールを持つすべてのユーザに、読み取り専用の特権が割り当てられます。
• 特権を追加または削除して server-compute ロールをカスタマイズした場合、server-compute ロールはダウングレードされた Cisco UCS Manager に残り、ロールに追加された特権を保持します。
• server-compute ロールに、Cisco UCS リリース 2.1 で追加された特権のいずれかが含まれている場合、これらの特権はダウングレード時にロールから削除されます。
ダウングレードが新しい特権が割り当てられたユーザに与える影響
Cisco UCS リリース 2.1 から以前のリリースに Cisco UCS Manager をダウングレードする場合、新しい特権はダウングレードされた Cisco UCS Manager では使用できません。新しい特権を含むロールが割り当てられたユーザには、次のことが起こります。
• ロールに以前のリリースで使用可能なその他の特権が含まれている場合、ロールおよびユーザにはそれらの特権が保持されます。
• ロールに以前のリリースで使用可能なその他の特権が含まれていない場合、ロールおよびユーザには読み取り専用の特権が割り当てられます。
ダウングレード後にアップグレードして Cisco UCS リリース 2.1 に戻す場合の影響
Cisco UCS リリース 2.1 をダウングレードした後に、Cisco UCS Manager をアップグレードして Cisco UCS リリース 2.1 に戻す場合、新しいロールまたは特権が割り当てられていたユーザには次のことが起こります。
• server-compute ロールがダウングレード中に削除された場合、ユーザは読み取り専用の特権を保持します。ユーザに server-compute ロールを再割り当てする必要があります。
• server-compute ロールがダウングレード中に削除されなかった場合、ユーザは以前のリリースからの特権を保持します。ただし、 サービス プロファイルの計算(ls-compute) 特権はそのロールに再割り当てされません。server-compute ロールにその特権を手動で割り当てる必要があります。server-compute ロールに割り当てられている他の特権はすべて保持されます。
• ユーザに サービス プロファイルの計算(ls-compute) または 組織管理(org-management) のいずれかのカスタム ロールが割り当てられていた場合、ユーザは読み取り専用の特権を保持します。カスタム ロールに手動で新しい特権を割り当てる必要があります。
関連資料
詳細については、 『Cisco UCS Documentation Roadmap』 の関連資料を参照できます。
マニュアルの入手方法およびテクニカル サポート
マニュアルの入手方法、テクニカル サポート、その他の有用な情報については、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
『 What's New in Cisco Product Documentation 』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。
フィードバック