ロールベース アクセスの設定

ロールベースのアクセス コントロールの概要

ロールベース アクセス コントロール(RBAC)は、ユーザのロールとロケールに基づいてユーザのシステム アクセスを制限または許可する方法です。ロールによってシステム内でのユーザの権限が定義され、ロケールによってユーザがアクセス可能な組織(ドメイン)が定義されます。ユーザに直接権限が割り当てられないため、適切なロールとロケールを割り当てることで個々のユーザ権限を制御できます。

必要なシステム リソースへの書き込みアクセス権限がユーザに与えられるのは、割り当てられたロールによりアクセス権限が与えられ、割り当てられたロケールによりアクセスが許可されている場合に限ります。たとえば、エンジニアリング組織のサーバ管理者ロールのユーザは、エンジニアリング組織のサーバ設定を更新できます。ただし、このユーザに割り当てられているロケールに財務組織が含まれていない限り、財務組織のサーバ設定は更新できません。

ユーザ アカウント Cisco UCS

ユーザ アカウントでシステムにアクセスします。Cisco UCS Manager ドメインごとに最大 48 個の ローカル ユーザー アカウントを構成できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。

SSH 公開キーを使用してユーザ アカウントを設定できます。公開キーを、OpenSSH と SECSH のいずれかの形式で設定できます。

管理者アカウント

Cisco UCS ドメインごとに 1 つの admin アカウントが付随しています。管理者アカウントはデフォルト ユーザ アカウントで、変更や削除はできません。このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。

管理者アカウントは常にアクティブになっており、有効期限がありません。管理者アカウントを非アクティブに設定できません。

ローカル認証されたユーザ アカウント

ローカル認証されたユーザー アカウントは、ファブリック インターコネクトのを介して直接認証され、admin または aaa 権限の所有者によって有効または無効にできます。ローカル ユーザ アカウントを無効にすると、ユーザはログインできなくなりますが、無効にされたローカル ユーザ アカウントの構成詳細はデータベースから削除されません。無効化されたローカル ユーザ アカウントを再び有効にすると、そのアカウントは、ユーザ名とパスワードを含め、既存の構成で再びアクティブになります。

リモート認証されたユーザ アカウント

リモート認証されたユーザー アカウントとは、LDAP、RADIUS、または TACACS+ で認証されたユーザー アカウントです。

ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持している場合は、ローカル ユーザ アカウントで定義されたロールによってリモート ユーザ アカウントのロールが上書きされます。

ユーザ アカウントの有効期限

事前に定義した日時にユーザ アカウントが期限切れになるように設定できます。有効期限に達すると、ユーザ アカウントは無効になります。

デフォルトでは、ユーザ アカウントの有効期限はありません。


Note

ユーザ アカウントに有効期限を設定した後、有効期限なしに再設定することはできません。ただし、アカウントの有効期限を使用可能な最も遅い日付に構成することは可能です。

予約語:ローカル認証されたユーザ アカウント

次の語は Cisco UCS でローカル ユーザ アカウントを作成するときに使用できません。

  • root

  • bin

  • daemon

  • adm

  • lp

  • sync

  • shutdown

  • halt

  • news

  • uucp

  • operator

  • games

  • gopher

  • nobody

  • nscd

  • mailnull

  • mail

  • rpcuser

  • rpc

  • mtsuser

  • ftpuser

  • ftp

  • man

  • sys

  • samdme

  • debug

ユーザ アカウントの Web セッション制限

Cisco UCS Manager では Web セッション制限を適用して、特定のユーザ アカウントから同時にアクセスできる Web セッションの数(GUI と XML の両方)を制限します。

Cisco UCS Manager ドメインは、ユーザごとに最大 32 個の同時 Web セッションをサポートし、合計 256 個のユーザ セッションをサポートします。デフォルトでは、Cisco UCS Managerが許容する同時 Web セッション数は 32 に設定されます。ただし、この値を最大でシステム上限の 256 まで構成できます。

Cisco UCS ファブリック インターコネクト 9108 100G のCLIセッション制限(Cisco UCS X シリーズ ダイレクト): 過剰なメモリ使用を避けるため、 Cisco UCS X シリーズ ダイレクト の CLI セッションのデフォルトの最大数は 16 です。必要に応じてこの制限を増やすことができますが、最適なシステム パフォーマンスと安定性を確保するために、16 セッションを超えないようにすることをお勧めします。

プロセッサ ノード ユーティリティ オペレーティング システム

プロセッサ ノード ユーティリティ オペレーティング システム(PNuOS)は、Cisco UCS ファブリック インターコネクトのフラッシュ メモリに存在する小さなユーティリティです。この電力事業は、サーバ(OS またはサービス プロファイルなし)で起動し、インベントリ検出サービスを提供します。また、サービス プロファイルの関連付けおよび関連付け解除サービス中に、事前起動および構成管理を提供するためにも使用されます。PnuOS システムの起動は、サーバ管理者に対して完全に透過的なです。

PNuOS は、構成をサポートするために単一の静的ユーザー アカウントを統合します。静的アカウントには、サーバの Cisco IMC IPアドレスに接続されている物理端末または KVM コンソールを介してアクセスできます。アクセスは内部ネットワーク VLAN に制限され、PNuOS がサーバにロードされたメンテナンス操作中に一時的にのみ使用できます。PNuOS は、メンテナンス操作後にアンロードされます。

Cisco UCS Manager リリース 4.2 以降、PNuOS は、[ブート ポリシー(Boot Policy)][セキュア ブート(Secure Boot)] が有効になっている [UEFI ブート モード(UEFI Boot Mode)]で構成されている場合、Unified Extensible Firmware Interface(UEFI)セキュア ブートで有効にできます。

ユーザ ロール

ユーザ ロールには、ユーザに許可する操作を定義する 1 つ以上の権限が含まれています。1つ以上のロールを各ユーザに割り当てることができます。複数のロールを持つユーザは、割り当てられたすべてのロールを組み合わせた権限を持ちます。たとえば、Role1にストレージ関連の権限が含まれ、Role2にサーバ関連の権限が含まれている場合、Role1とRole2の両方を持つユーザは、ストレージ関連の権限とサーバ関連の権限を持つことになります。

Cisco UCS ドメイン には、デフォルトのユーザ ロールを含めて最大 48 個のユーザ ロールを含めることができます。48 個目のユーザー ロールが許可された後に設定されたユーザー ロールは、障害が発生して無効になります。

すべてのロールには、Cisco UCS ドメイン内のすべての設定に対する読み取りアクセス権限が含まれています。読み取り専用ロールを持つユーザは、システム状態を変更できません。

既存の権限の作成、変更、または削除、およびロールの削除を行うことができます。ロールを変更すると、新しい権限がそのロールを持つすべてのユーザに適用されます。権限の割り当ては、デフォルト ロールに定義されている権限に限定されません。つまり、カスタムの権限の組み合わせを使用して、独自のロールを作成できます。たとえば、デフォルトのサーバ管理者ロールとストレージ管理者ロールには異なる権限のセットがあります。ただし、両方のロールの権限を組み合わせたサーバおよびストレージの管理者ロールを作成できます。


Note

ロールがユーザに割り当てられた後にそのロールを削除すると、それらのユーザアカウントからも削除されます。

ユーザに付与された権限に対応するロールを追加するには、AAAサーバ(RADIUSまたはTACACS+)上のユーザプロファイルを変更します。属性にはロール情報が保存されます。AAAサーバでは、要求とともにこの属性が返され、それを解析してロールが取得されます。LDAP サーバでは、ユーザ プロファイル属性内のロールが返されます。


Note

ローカル ユーザ アカウントとリモート ユーザ アカウントが同じユーザ名である場合、Cisco UCS Managerは、リモート ユーザに割り当てられたロールをローカル ユーザに割り当てられたロールでオーバーライドします。

デフォルトのユーザ ロール

システムには、次のデフォルトのユーザー ロールが用意されています。

AAA 管理者

ユーザ、ロール、および AAA 設定に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。

管理者

システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの管理者アカウントにデフォルトでこのロールを割り当てます。これは変更できません。

施設マネージャ

電源管理権限による、電源管理操作に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。

ネットワーク管理者

ファブリック インターコネクト インフラストラクチャとネットワーク セキュリティ操作に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。

操作

システムのログ(syslog サーバを含む)と障害に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。

読み取り専用

システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。

サーバ計算

サービス プロファイルのほぼすべての内容に対する読み取りと書き込みのアクセス権。ただし、ユーザは vNIC または vHBA を作成、変更、または削除できません。

サーバ機器管理者

物理サーバ関連の操作に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。

サーバ プロファイル管理者

論理サーバ関連の操作に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。

サーバ セキュリティ管理者

サーバ セキュリティ関連の操作に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。

ストレージ管理者

ストレージ操作に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。

予約語:ユーザ ロール

次の語は、Cisco UCSでカスタム ロールを作成するときに使用できません。

  • network-admin

  • network-operator

  • vdc-admin

  • vdc-operator

  • server-admin

権限

ユーザロールを割り当てられたユーザは、権限により、特定のシステムリソースへアクセスしたり、特定のタスクを実行したりできるようになります。次の表に、各権限と、その権限がデフォルトで与えられるユーザ ロールのリストを示します。


Tip

これらの権限および権限によってユーザが実行可能なタスクの詳細情報は、「Privileges in Cisco UCS』は、次の URL で入手可能です。http://www.cisco.com/en/US/products/ps10281/prod_technical_reference_list.html」に記載されています。

Table 1. ユーザの権限

特権

説明

デフォルトのロール割り当て

aaa

システム セキュリティおよび AAA

AAA 管理者

admin

システム管理

管理者

ext-lan-config

外部 LAN 設定

ネットワーク管理者

ext-lan-policy

外部 LAN ポリシー

ネットワーク管理者

ext-lan-qos

外部 LAN QoS

ネットワーク管理者

ext-lan-security

外部 LAN セキュリティ

ネットワーク管理者

ext-san-config

外部 SAN 設定

ストレージ管理者

ext-san-policy

外部 SAN ポリシー

ストレージ管理者

ext-san-qos

外部 SAN QoS

ストレージ管理者

ext-san-security

外部 SAN セキュリティ

ストレージ管理者

fault

アラームおよびアラーム ポリシー

操作

operations

ログおよび Smart Call Home

操作

org-management

組織管理

操作

pod-config

ポッド設定

ネットワーク管理者

pod-policy

ポッド ポリシー

ネットワーク管理者

pod-qos

ポッド QoS

ネットワーク管理者

pod-security

ポッド セキュリティ

ネットワーク管理者

power-mgmt

電源管理操作に対する読み取りおよび書き込みアクセス権

施設マネージャ

read-only

読み取り専用アクセス権

読み取り専用は、権限として選択できません。この権限は、すべてのユーザ ロールに割り当てられます。

読み取り専用

server-equipment

サーバ ハードウェア管理

サーバ機器管理者

server-maintenance

サーバ メンテナンス

サーバ機器管理者

server-policy

サーバ ポリシー

サーバ機器管理者

server-security

サーバ セキュリティ

サーバ セキュリティ管理者

service-profile-compute

サービス プロファイルの計算

サーバ計算アドミニストレータ

service-profile-config

サービス プロファイル設定

サーバ プロファイル管理者

service-profile-config-policy

サービス プロファイル設定ポリシー

サーバ プロファイル管理者

service-profile-ext-access

サービスプロファイルエンドポイントアクセス

サーバ プロファイル管理者

service-profile-network

サービス プロファイル ネットワーク

ネットワーク管理者

service-profile-network-policy

サービス プロファイル ネットワーク ポリシー

ネットワーク管理者

service-profile-qos

サービス プロファイル QoS

ネットワーク管理者

service-profile-qos-policy

サービス プロファイル QoS ポリシー

ネットワーク管理者

service-profile-security

サービス プロファイル セキュリティ

サーバ セキュリティ管理者

service-profile-security-policy

サービス プロファイル セキュリティ ポリシー

サーバ セキュリティ管理者

service-profile-server

サービス プロファイル サーバ管理

サーバ プロファイル管理者

service-profile-server-oper

サービス プロファイル コンシューマ

サーバ プロファイル管理者

service-profile-server-policy

サービス プロファイル プール ポリシー

サーバ セキュリティ管理者

service-profile-storage

サービス プロファイル ストレージ

ストレージ管理者

service-profile-storage-policy

サービス プロファイル ストレージ ポリシー

ストレージ管理者

ユーザ ロールの作成

Procedure

Step 1

[ナビゲーション]ペインで、[管理者]をクリックします。

Step 2

[すべて] > [ユーザ管理] > [ユーザサービス]を展開します。

Step 3

[ユーザ サービス(User Services )] を右クリックし、[ロールの作成( Role)] を選択します。

[ロール(Roles)] を右クリックして、このオプションにアクセスすることもできます。

Step 4

[ロールの作成( Create Role)] ダイアログボックスで、次のフィールドに値を入力します。

名前 説明

[名前(Name)] フィールド

このユーザ ロールのユーザ定義名。

この名前には、1 ~ 16 文字の英数字を使用できます。-(ハイフン)、_(アンダースコア)、:(コロン)、および . (ピリオド)は使用できますが、それ以外の特殊文字とスペースは使用できません。また、オブジェクトが保存された後に、この名前を変更することはできません。

[権限(Privileges)] リスト ボックス

システムに定義されている権限のリスト。

その権限の説明を表示するには、権限をクリックします。チェックボックスをオンにすると、選択したユーザにその権限が割り当てられます。

[ヘルプ(Help)] セクション

[説明(Description)] フィールド

[Privileges] リスト ボックス内で最後にクリックした権限の説明。

Step 5

[OK] をクリックします。

ユーザ ロールへの権限の追加

Procedure

Step 1

[ナビゲーション]ペインで、[管理者]をクリックします。

Step 2

[すべて] > [ユーザ管理] > [ユーザサービス]を展開します。

Step 3

[Roles] ノードを展開します。

Step 4

権限を追加するロールを選択します。

Step 5

[全般(General)] タブで、ロールに追加する権限に対応するチェックボックスをオンにします。

Step 6

[Save Changes]をクリックします。

ユーザ ロールからの権限の削除

Procedure

Step 1

[ナビゲーション]ペインで、[管理者]をクリックします。

Step 2

[すべて] > [ユーザ管理] > [ユーザサービス]を展開します。

Step 3

[Roles] ノードを展開します。

Step 4

権限を削除するロールを選択します。

Step 5

[全般(General)] タブで、ロールから削除する権限に対応するチェックボックスをオフにします。

Step 6

[Save Changes]をクリックします。

ユーザ ロールの削除

あるユーザ ロールを削除すると、Cisco UCS Managerにより、このロールは割り当て先のすべてのユーザアカウントから削除されます。

Procedure

Step 1

[ナビゲーション]ペインで、[管理者]をクリックします。

Step 2

[すべて] > [ユーザ管理] > [ユーザサービス]を展開します。

Step 3

[Roles] ノードを展開します。

Step 4

削除するロールを右クリックし、[削除(Delete)] を選択します。

Step 5

[削除(Delete)] ダイアログボックスで、[はい(Yes)] をクリックします。

ロケール

ユーザ ロケール

1つ以上のロケールにユーザを割り当てることができます。各ロケールでは、ユーザがアクセスできる1つ以上の組織(ドメイン)を定義します。アクセスは通常、ロケールで指定された組織に制限されます。組織を持たないロケールの場合は例外です。そのロケールでは、すべての組織内のシステムリソースに無制限にアクセスできます。

1 つの Cisco UCS ドメインには、最大 48 個のユーザ ロケールを含めることができます。48 個目のユーザー ロールが許可された後に設定されたユーザー ロケールは、障害が発生して無効になります。

admin または aaa の権限を持つユーザは、組織をその他のユーザのロケールに割り当てることができます。組織の割り当ては、それを行うユーザのロケール内の組織のみに制限されます。たとえば、ロケールにエンジニアリング組織しか含まれていない場合、そのロケールを割り当てられたユーザは、他のユーザにエンジニアリング組織のみを割り当てることできます。


Note

次の権限の 1 つ以上を持つユーザにロケールを割り当てることはできません。

  • aaa

  • admin

  • fault

  • operations

組織は階層的に管理できます。トップレベルの組織に割り当てられたユーザは、自動的にその下にあるすべての組織にアクセスできます。たとえば、エンジニアリング組織が、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織で構成されているとします。ソフトウェアエンジニアリング組織のみを含むロケールでは、その組織内のシステムリソースにのみアクセスできます。ただし、エンジニアリング組織を含むロケールでは、ソフトウェアエンジニアリング組織とハードウェアエンジニアリング組織の両方のリソースにアクセスできます。

ロケールへの組織の割り当て

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [ユーザサービス]を展開します。

ステップ 3

[ロケール(Locales)] ノードを展開し、組織を追加するロケールをクリックします。

ステップ 4

[Work] ペインで、[General] タブをクリックします。

ステップ 5

[組織(Organizations)] 領域のテーブル アイコン バーで [+] をクリックします。

ステップ 6

[組織の割り当て(Assign Organizations)] ダイアログボックスで、次の操作を行います。

  1. [組織(Organizations)] 領域を展開して、Cisco UCS ドメイン内の組織を表示します。

  2. [root] ノードを展開して、サブ組織を表示します。

  3. ロケールを割り当てる組織をクリックします。

  4. [組織(Organizations)] 領域の組織を右側のペインの設計領域にドラッグ アンド ドロップします。

  5. すべての適切な組織をロケールに割り当てるまで、ステップ b および c を繰り返します。

ステップ 7

[OK] をクリックします。

ロケールの作成

始める前に

ロケールを作成するには、1 つ以上の組織が存在する必要があります。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [ユーザサービス]を展開します。

ステップ 3

[ロケール(Locales)] を右クリックし、[ロケールの作成(Create a Locale)] を選択します。

ステップ 4

[ロケールの作成(Create Locale)] ページで、次の操作を行います。

  1. [名前(Name)] フィールドに、ロケールの一意の名前を入力します。

    この名前には、1 ~ 16 文字の英数字を使用できます。-(ハイフン)、_(アンダースコア)、:(コロン)、および . (ピリオド)は使用できますが、それ以外の特殊文字とスペースは使用できません。また、オブジェクトが保存された後に、この名前を変更することはできません。

  2. [次へ(Next)] をクリックします。

ステップ 5

[組織の割り当て(Assign Organizations)] ダイアログボックスで、次の操作を行います。

  1. [組織(Organizations)] 領域を展開して、Cisco UCS ドメイン内の組織を表示します。

  2. [root] ノードを展開して、サブ組織を表示します。

  3. ロケールを割り当てる組織をクリックします。

  4. [組織(Organizations)] 領域の組織を右側のペインの設計領域にドラッグ アンド ドロップします。

  5. すべての適切な組織をロケールに割り当てるまで、ステップ b および c を繰り返します。

ステップ 6

[Finish] をクリックします。

次のタスク

ロケールを 1 つまたは複数のユーザ アカウントに追加します。詳細については、ローカル認証されたユーザ アカウントに割り当てられたロケールの変更を参照してください。

ロケールからの組織の削除

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [ユーザサービス]を展開します。

ステップ 3

[ロケール(Locales)] ノードを展開し、組織を削除するロケールをクリックします。

ステップ 4

[Work] ペインで、[General] タブをクリックします。

ステップ 5

[組織(Organizations)] 領域で、ロケールから削除する組織を右クリックし、[削除(Delete)] を選択します。

ステップ 6

[Save Changes]をクリックします。

ロケールの削除

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [ユーザサービス]を展開します。

ステップ 3

[ロケール(Locales)] ノードを展開します。

ステップ 4

削除するロケールを右クリックし、[削除(Delete)] を選択します。

ステップ 5

確認ダイアログボックスが表示されたら、[はい]をクリックします。

ローカル認証されたユーザ アカウント

ユーザ アカウントの作成

少なくとも、次のユーザを作成することを推奨します。

  • サーバ アドミニストレータ アカウント

  • ネットワーク アドミニストレータ アカウント

  • ストレージ アドミニストレータ


Note

ユーザ アカウントの作成後、Cisco UCS Manager GUIからユーザ アカウントのフィールドのいずれかを変更する場合は、パスワードをもう一度入力する必要があります。

Before you begin

システムに次のいずれかがある場合は、該当するタスクを実行します。

  • リモート認証サービス: ユーザがリモート認証サーバに存在すること、および適切なロールと権限を持っていることを確認します。

  • マルチテナンシーを使用する組織: 1 つ以上のロケールを作成します。ロケールが 1 つもない場合、すべてのユーザはルートに作成され、すべての組織のロールと権限が割り当てられます。

  • SSH認証: SSH キーを取得します。

Procedure

Step 1

[ナビゲーション]ペインで、[管理者]をクリックします。

Step 2

[すべて] > [ユーザ管理] > [ユーザサービス]を展開します。

Step 3

[ユーザ サービス(User Services)] を右クリックし、[ユーザの作成(Create User)] を選択して [ユーザ プロパティ(User Properties)] ダイアログボックスを開きます。

[ローカル認証されたユーザ(Locally Authenticated Users)] を右クリックして、このオプションにアクセスすることもできます。

Step 4

ユーザに関して要求される情報を使用して、次のフィールドに値を入力します。

名前 説明

[ログイン ID([Login ID])] フィールド

このアカウントにログインするときに使用されるアカウント名。このアカウントは固有である必要があり、しかも Cisco UCS Manager ユーザ アカウントに関する次のガイドラインと制約事項を満たしている必要があります。

  • ログイン ID には、次を含む 1 ~ 32 の文字を含めることができます。

    • 任意の英字

    • 任意の数字

    • _(アンダースコア)

    • -(ダッシュ)

    • . (ドット)

  • ログイン ID は、Cisco UCS Manager内で一意である必要があります。

  • ログイン ID は、英文字から始まる必要があります。数字やアンダースコアなどの特殊文字から始めることはできません。

  • ログイン ID では、大文字と小文字が区別されます。

  • すべてが数字のログイン ID は作成できません。

  • ユーザ アカウントの作成後は、ログイン ID を変更できません。ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。

ユーザを保存した後は、ログイン ID を変更できません。ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。

[名(First Name)] フィールド

ユーザの名。このフィールドには、32 文字までの値を入力できます。

[姓(Last Name)] フィールド

ユーザの姓。このフィールドには、32 文字までの値を入力できます。

[電子メール(Email)] フィールド

ユーザの電子メール アドレス。

[電話(Phone)] フィールド

ユーザの電話番号。

[パスワード(Password)] フィールド

このアカウントに関連付けられているパスワード。パスワード強度チェックが有効にされている場合は、ユーザ パスワードを強固なものにする必要があります。Cisco UCS Manager は次の要件を満たしていないパスワードを拒否します。

  • 8 文字以上、80 文字以下。

  • パスワードの強度チェックが有効になっている場合はパスワードの最小長を変更することができ、6 文字以上 80 文字以下の範囲で設定できます。

    Note

     

    デフォルトは 8 文字です。

  • 次の少なくとも 3 種類を含む。

    • 小文字

    • 大文字

    • 数字

    • 特殊文字

  • aaabbb など連続して 3 回以上繰り返す文字を含まない。

  • ユーザ名と同一、またはユーザ名を逆にしたものではない。

  • パスワードのディクショナリ チェックに合格する。たとえば、辞書に記載されている標準的な単語に基づいたパスワードを指定することはできません。

  • 次の記号を含まない。$(ドル記号)、? (疑問符)、=(等号)。

  • ローカル ユーザ アカウントおよび admin アカウントのパスワードは空白にしない。

[パスワードの確認(Confirm Password)] フィールド

確認のためのパスワードの再入力。

[アカウント ステータス(Account Status)] フィールド

ステータスが [アクティブ(Active)] に設定されている場合、ユーザはこのログイン ID とパスワードを使用して Cisco UCS Manager にログインできます。

[アカウント期限切れ(Account Expires)] チェックボックス

オンにすると、このアカウントは [有効期限(Expiration Date)] フィールドで指定した日付に期限切れになり、それ以降は使用できなくなります。

Note

 

ユーザ アカウントに有効期限を設定した後、有効期限なしに再設定することはできません。ただし、アカウントの有効期限を使用可能な最も遅い日付に構成することは可能です。

[有効期限(Expiration Date)] フィールド

アカウントの期限が切れる日付です。日付の形式は yyyy-mm-dd です。

このフィールドの終端にある下矢印をクリックするとカレンダーが表示されるので、それを使用して期限日を選択できます。

Note

 

[アカウント期限切れ(Account Expires)]チェックボックスをオンにすると、Cisco UCS Manager GUIにこのフィールドが表示されます。

Step 5

[ロール(Roles)] 領域で 1 つ以上のボックスをオンにして、ユーザ アカウントにロールと権限を割り当てます。

Note

 

admin または aaa ロールを持つユーザにロケールを割り当てないでください。

Step 6

(Optional) システムに組織が含まれる場合、[ロケール(Locales)] 領域の 1 つ以上のチェックボックスをオンにして、適切なロケールをユーザに割り当てます。

Step 7

[SSH] 領域で、次のフィールドに値を入力します。

  1. [タイプ(Type)] フィールドで、次をクリックします。

    • [パスワードが必要です(Password Required)]:ユーザはログインするときにパスワードを入力する必要があります。

    • [キー(Key)]:このユーザがログインする際は、SSH 暗号化が使用されます。

  2. [キー(Key)] を選択した場合、[SSH データ(SSH data)] フィールドに SSH キーを入力します。

Step 8

[OK] をクリックします。

ローカル認証されたユーザのパスワード強度チェックの有効化

パスワードの強度確認を有効にするには、admin または aaa 権限が必要です。有効になっている場合、Cisco UCS Managerでは、強力なパスワードのガイドラインを満たさないパスワードを選択できません。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [ユーザサービス]を展開します。

ステップ 3

[ローカル認証されたユーザ(Locally Authenticated Users)] ノードをクリックします。

ステップ 4

[作業(Work)] ペインで、[プロパティ(Properties)] 領域の [パスワード強度チェック(Password Strength Check)] チェックボックスをオンにします。

ステップ 5

[Save Changes]をクリックします。

Web セッション制限の設定

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [通信管理] > [通信サービス]を展開します。

ステップ 3

[コミュニケーション サービス(Communication Services )] タブをクリックします。

ステップ 4

[Web セッション制限(Web Session Limits)] 領域で、次のフィールドに値を入力します。

(注)  

 

HTML 5 インターフェイスでは、ブラウザごとに 1 つのユーザ セッションをサポートします。

名前 説明

ユーザあたりの最大セッション数(Maximum Sessions Per User))

各ユーザに許可される HTTP および HTTPS の同時セッションの最大数。

1 ~ 256 の整数を入力します。

最大セッション数

システム内のすべてのユーザに許可される HTTP および HTTPS の同時セッションの最大数。

1 ~ 256 の整数を入力します。

最大イベント間隔 (秒単位)最大イベント間隔 (秒単位)(Maximum Event Interval (in seconds))

2 つのイベント間の最大時間間隔。UI でのユーザ要求に対する応答など、さまざまなタイプのイベント変更通知をトラッキングします。この時間間隔が経過すると、UI セッションが終了されます。

120 ~ 3600 の整数を入力します。

ステップ 5

[Save Changes]をクリックします。

ローカル認証されたユーザ アカウントに割り当てられたロケールの変更


(注)  

admin または aaa ロールを持つユーザにロケールを割り当てないでください。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[管理者(Admin)] タブで、[すべて(All)] > [ユーザ管理(User Management)] > [ユーザ サービス(User Services))] > [ローカル認証されたユーザ(Locally Authenticated Users)] の順に展開します。

ステップ 3

修正するユーザ アカウントをクリックします。

ステップ 4

[Work] ペインで、[General] タブをクリックします。

ステップ 5

[ロケール(Locales)] 領域で、次の操作を行います。

  • ユーザ アカウントに新しいロケールを割り当てるには、適切なチェックボックスをオンにします。
  • ユーザ アカウントからロケールを削除するには、適切なチェックボックスをオフにします。

ステップ 6

[Save Changes]をクリックします。

ローカル認証されたユーザ アカウントに割り当てられたロールの変更

ユーザのロールと権限の変更は、ユーザが次回ログインするまで適用されません。新しいロールを割り当てたり、ユーザアカウントから既存のロールを削除したりするときにユーザがログインしている場合、アクティブセッションは以前のロールと権限を引き続き使用します。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[管理者(Admin)] タブで、[すべて(All)] > [ユーザ管理(User Management)] > [ユーザ サービス(User Services))] > [ローカル認証されたユーザ(Locally Authenticated Users)] の順に展開します。

ステップ 3

修正するユーザ アカウントをクリックします。

ステップ 4

[Work] ペインで、[General] タブをクリックします。

ステップ 5

[ロール(Roles)] 領域で、次の操作を行います。

  • ユーザ アカウントに新しいロールを割り当てるには、適切なチェックボックスをオンにします。
  • ユーザ アカウントからロールを削除するには、適切なチェックボックスをオフにします。

ステップ 6

[Save Changes]をクリックします。

ユーザ アカウントの有効化

ローカルユーザアカウントを有効または無効にするには、ユーザが admin または aaa権限を持っている必要があります。

始める前に

ローカル ユーザ アカウントを作成します。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [ユーザサービス] > [ローカル認証されたユーザ]を展開します。

ステップ 3

有効にするユーザをクリックします。

ステップ 4

[Work] ペインで、[General] タブをクリックします。

ステップ 5

[アカウントステータス(Account Status)] フィールドで、[アクティブ(active)] オプション ボタンをクリックします。

ステップ 6

[Save Changes]をクリックします。

ユーザ アカウントの無効化

ローカルユーザアカウントを有効または無効にするには、ユーザが admin または aaa権限を持っている必要があります。


(注)  

Cisco UCS Manager GUI を介して無効化されたアカウントのパスワードを変更した場合、アカウントを有効化にしてアクティブにしても、ユーザは変更後のパスワードを使用できません。アカウントを有効化してアクティブにした後に、必要なパスワードを再び入力する必要があります。

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [ユーザサービス] > [ローカル認証されたユーザ]を展開します。

ステップ 3

無効にするユーザをクリックします。

ステップ 4

[Work] ペインで、[General] タブをクリックします。

ステップ 5

[アカウントステータス(Account Status)] フィールドで、[非アクティブ(inactive)] オプション ボタンをクリックします。

admin ユーザ アカウントは常にアクティブに設定されます。変更はできません。

ステップ 6

[Save Changes]をクリックします。

ローカル認証されたユーザのパスワード履歴のクリア

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[すべて] > [ユーザ管理] > [ユーザサービス] > [ローカル認証されたユーザ]を展開します。

ステップ 3

パスワード履歴をクリアするユーザをクリックします。

ステップ 4

[アクション(Actions)] 領域で、[パスワード履歴のクリア(Clear Password History)] をクリックします。

ステップ 5

確認ダイアログボックスが表示されたら、[はい]をクリックします。

ローカルに認証されたユーザ アカウントの削除

Procedure

Step 1

[ナビゲーション]ペインで、[管理者]をクリックします。

Step 2

[すべて] > [ユーザ管理] > [ユーザサービス]を展開します。

Step 3

[ローカル認証されたユーザ(Locally Authenticated Users)] ノードを展開します。

Step 4

削除するユーザ アカウントを右クリックし、[削除(Delete)] を選択します。

Step 5

[削除(Delete)] ダイアログボックスで、[はい(Yes)] をクリックします。

ログイン プロファイル

Cisco UCS Manager の ログイン プロファイル 機能によって、管理者は特定のログイン パラメータと動作を定義できるため、セキュリティと管理性が向上します。この機能により、失敗が繰り返された後、定義された期間、ユーザーのログイン試行をブロックして不正アクセスを防止し、セキュリティ標準を満たすことができます。また、ログイン制御を変更するためのカスタマイズ可能なオプションも提供され、効果的なユーザー管理が保証されます。

ログイン プロファイルの設定

手順

ステップ 1

[Navigation (ナビゲーション)] ペインで [Admin (管理)] をクリックします。

ステップ 2

[All (すべて)] > [User Management (ユーザー管理)] > [User Services (ユーザー サービス)] > [Login Profile (ログイン プロファイル)] の順に展開します。

ステップ 3

[Work (作業)] ペインで、[Admin State (管理状態)] フィールドの [Enable (有効化)] オプションボタンをクリックして、ログイン試行が失敗した後、特定の期間中 Cisco UCS Manager に対するログイン要求をブロックできるようにします。

この機能を有効にすると、ログイン試行の失敗が z 秒で y 回発生した場合に、Cisco UCS Manager へのログイン要求が x 秒間ブロックされます。ここで、各変数は次のように定義されます。

  • x は、[Block Login (ブロックログイン)] フィールドで指定します。

  • y は、[Failed Attempts (失敗試行回数)] フィールドで指定します。

  • zは、[Attempted Within (試行中)] フィールドで指定されます。

ステップ 4

[Block Login (ログインのブロック)] フィー[ルドで、指定した回数ログイン試行が失敗した後に、Cisco UCS Manager へのログイン要求がブロックされる秒数を指定します。デフォルトは 60 秒です。

ステップ 5

[Failed attempts (失敗した試行回数)] フィールドで、Cisco UCS Manager へのログイン要求がブロックされるまでの試行失敗回数を指定します。この試行回数はデフォルトで 5 回です。

ステップ 6

[Attempted Within (試行中)] フィールドで、特定の回数を失敗した際に、ログイン要求をブロックする秒数を指定します。デフォルトは 30 秒です。

ログインに失敗するデフォルト秒数は、30秒です。

ユーザ セッションのモニタリング

手順

ステップ 1

[ナビゲーション]ペインで、[管理者]をクリックします。

ステップ 2

[管理者(Admin)] タブで、[すべて(All)] > [ユーザ管理(User Management)] の順に展開します。

ステップ 3

[ユーザ サービス(User Services)] ノードをクリックします。

ステップ 4

[Work] ペインで [Sessions] タブをクリックします。

このタブには、ユーザ セッションに関する次の詳細情報が表示されます。

名前 説明

[Name] カラム

セッションの名前。

[ユーザ(User)] カラム

セッションに参加しているユーザ名。

[ファブリック ID(Fabric ID)] カラム

このセッションのためにユーザがログインしているファブリック インターコネクト。

[ログイン時刻(Login Time)] カラム

セッションが開始された日時。

[更新期間(Refresh Period)] カラム

Web クライアントが Cisco UCS Manager に接続する際は、Web セッションをアクティブ状態に維持するために、クライアントは Cisco UCS Manager に更新要求を送信する必要があります。このオプションを使用して、このドメインのユーザに許可する更新要求間隔の最大時間数を指定します。

この時間制限を超えると、Cisco UCS Managerは Web セッションを非アクティブであると見なしますが、セッションを強制終了することはしません。

[セッション タイムアウト(Session Timeout)] カラム

最後のクッキー/トークン更新要求時が失敗した後、 Cisco UCS Manager が Web セッションを非アクティブとして見なすまでの最大経過時間。この時間制限を超えた場合、Cisco UCS Manager は自動的に Web セッションを終了します。

[端末タイプ(Terminal Type)] カラム

ユーザがログインするときに使用する端末の種類。

[ホスト(Host)] カラム

ユーザのログイン元である IP アドレス。

[現在のセッション(Current Session)] カラム

この列に [Y] と表示されている場合、該当するユーザ セッションは現在アクティブです。