この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章は、次の内容で構成されています。
Cisco UCS Central では、GUI の [Administration] タブからポリシーおよびユーザ認証をネイティブに設定できます。これは、[Operations Management] タブから UCS ドメインに対して定義されているタスクと似ています。 この 2 つのタブではほとんどの機能が共通していますが、ユーザ ロールとサーバ サポートが異なります。
[Administration] タブの次の領域で管理タスクを実行できます。
Cisco UCS Central では、システムにアクセスするローカル ユーザとリモート ユーザの作成がサポートされています。 各 Cisco UCS Central ドメインでは最大 128 のユーザ アカウントを設定できます。 各ユーザには固有のユーザ名とパスワードが必要です。 詳細については、User Managementを参照してください。
Cisco UCS Central では、ネイティブ認証に LDAP を使用しますが、このリリースでは RADIUS および TACACS+ 認証は除外されています。 ただし、RADIUS、TACACS+、および LDAP 認証は、ローカルに管理される Cisco UCS ドメインでサポートされています。 詳細については、管理設定の管理を参照してください。
Cisco UCS Central では、ネイティブ認証に LDAP を使用しますが、このリリースでは RADIUS および TACACS+ 認証は除外されています。 ただし RADIUS、TACACS+、または LDAP リモート認証は、Cisco UCS Central ドメイン グループ ルートから Cisco UCS ドメインでサポートされています。
LDAP プロバイダーを作成する必要があります。
LDAP プロバイダー グループを作成する必要があります。
LDAP グループ マップを作成する必要があります。
Cisco UCS Central GUI でポリシーを設定できます。 これらの管理ポリシーは組織レベルで定義され、インフラストラクチャのあらゆる項目(日付と時刻、SNMP トラップ、バックアップ ポリシーとエクスポート ポリシーなど)を管理できます。
SNMP ユーザを作成する。
Cisco UCS Central では、国際タイム ゾーンと定義された NTP サーバに基づいてグローバル日時ポリシーがサポートされます。
Cisco UCS Central の NTP サーバを設定するには、まず日時ポリシーを作成する必要があります。
ステップ 1 | メニュー バーで、[Administration] をクリックします。 |
ステップ 2 | [Navigation] ペインで [General] をクリックします。 |
ステップ 3 | [Work] ペインで [Fault Policy] をクリックします。 |
ステップ 4 | [Actions] 領域で、すべてのフィールドに入力します。 |
ステップ 5 | [Save] をクリックします。 |
Cisco UCS Central では、スタンドアロン モードとハイ アベイラビリティ(HA)モードで IPv6 を有効にできます。 1 つの仮想マシン上で設定された Cisco UCS Central はスタンドアロン セットアップです。 スタンドアロン セットアップはどのクラスタにも属しません。 UCS Central HA セットアップは、2 つの仮想マシン(プライマリ ノードとセカンダリ ノード)で構成されます。
これらの仮想マシンが HA クラスタを構成し、この HA クラスタへは共通 IP アドレスを使用してアクセスできます。 この IP アドレスは、クラスタ IP アドレスまたは仮想 IP アドレスと呼ばれます。 仮想 IP アドレス(VIP)には、IPv4 アドレスの他に IPv6 アドレスを割り当てることができます。
Cisco UCS Central では、より強力な認証のためにキー リングをサードパーティの証明書として作成できます。 HTTPS は 2 つのデバイス間でセキュアな通信を確立するために Public Key Infrastructure(PKI)コンポーネントを使用します。
各 PKI デバイスは、内部キー リングに非対称の Rivest-Shamir-Adleman(RSA)暗号キーのペア(1 つはプライベート、もう 1 つはパブリック)を保持します。 いずれかのキーで暗号化されたメッセージは、もう一方のキーで復号化できます。 暗号化されたメッセージを送信する場合、送信者は受信者の公開キーで暗号化し、受信者は独自の秘密キーを使用してメッセージを復号化します。 送信者は、独自の秘密キーで既知のメッセージを暗号化(「署名」とも呼ばれます)して公開キーの所有者を証明することもできます。 受信者が該当する公開キーを使用してメッセージを正常に復号化できる場合は、送信者が対応する秘密キーを所有していることが証明されます。 暗号キーの長さはさまざまであり、通常の長さは 2048 ビット ~ 4096 ビットです。 一般的に、短いキーよりも長いキーの方がセキュアになります。 Cisco UCS Central では、最初に 2048 ビットのキー ペアを含むデフォルトのキー リングが提供されます。そして、追加のキー リングを作成できます。
クラスタ名が変更されたり、証明書が期限切れになったりした場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
(注) |
Cisco UCS Central は、UCS Central から UCS Manager への通信と、UCS Central とユーザの Web ブラウザ間の通信の両方に、同一のサードパーティ証明書を使用します。 現時点では、UCS Central では 2 種類の通信での異なる証明書の使用はサポートされていません。 現在、サードパーティ証明書は Cisco UCS Manager リリース 2.2(2c) 以降でのみサポートされます。 |
(注) |
キー リングと証明書要求を作成すると、Cisco UCS Central により証明書署名機能を使用した証明書要求が生成されます。 CA サーバによる署名後の証明書要求には、キーの用途の 1 つが「証明書署名」として設定されている必要があります。 Microsoft Windows を Internal Enterprise Certification Authority Server として使用する場合は、[Subordinate Certification Authority] テンプレートを使用して証明書を生成する必要があります。 ただしスタンドアロン CA サーバを使用する場合は、証明書テンプレートを選択する必要はありません。 |
Cisco UCS Central では、ルート認証局(CA)および従属 CA の証明書がバンドル形式で含まれているトラスト ポイントを作成できます。 ルート CA にはプライマリ証明書と自己署名証明書が含まれている必要があります。
HTTPS がキー リングを使用していないことを確認します。
トラスト ポイントが使用されていないことを確認します。
インターネット ブラウザで Cisco UCS Central アプリケーションを初めて実行するときに、信頼できない Web サイトであるか、または Web サイトの証明書の発行元が信頼できないことを示すエラーが表示されることがあります。 このような場合、ルート CA と従属 CA(存在する場合)の証明書をブラウザにインポートする必要があります。 さまざまなブラウザでこの機能がサポートされています。 証明書をインポートするには、次の手順を実行します。
Cisco UCS Central は、インターフェイス モニタリング ポリシーを定義し、SSH 設定ステータスを表示し、HTTP、Telnet、Web セッション制限、および CIM XML のポリシー設定を提供するグローバル リモート アクセス ポリシーをサポートしています。
ドメイン グループ下で HTTP リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
必要に応じて、次のリモート アクセス ポリシーを設定します。
HTTP リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の HTTP リモート アクセス ポリシーは、削除できません。
ドメイン グループ下で Telnet リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
必要に応じて、次のリモート アクセス ポリシーを設定します。
Telnet リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の Telnet リモート アクセス ポリシーは、削除できません。
ドメイン グループ下で Web セッション制限リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
必要に応じて、次のリモート アクセス ポリシーを設定します。
Web セッション制限リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の Web セッション制限リモート アクセス ポリシーは削除できません。
ドメイン グループ下で CIM XML リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
必要に応じて、次のリモート アクセス ポリシーを設定します。
CIM XML リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の CIM XML リモート アクセス ポリシーは、削除できません。
ドメイン グループ下のインターフェイス モニタリング リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
必要に応じて、次のリモート アクセス ポリシーを設定します。
インターフェイス モニタリング リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下のインターフェイス モニタリング リモート アクセス ポリシーは、削除できません。
Cisco UCS Central は、ネイティブ認証に LDAP を使用し、リモート認証に RADIUS と TACACS+ を使用します。
システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Central がそのサービスと通信できるようにする必要があります。 また、ユーザ許可に影響する次のガイドラインに留意する必要があります。
ユーザ アカウントは、Cisco UCS Central にローカルに存在するか、またはリモート認証サーバに存在することができます。 リモート認証サービスを介してログインしているユーザの一時的なセッションは、Cisco UCS Central GUI または Cisco UCS Central CLI で表示できます。
リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが Cisco UCS Central で作業するために必要なロールをそれらのアカウントに含めること、およびそれらのロールの名前を Cisco UCS Central で使用される名前と一致させることが必要です。 ロール ポリシーによっては、ユーザがログインできない場合があり、その場合は読み取り専用権限だけが付与されます。
Cisco UCS Central はリモート認証のために LDAP を使用しますが、このリリースでは RADIUS および TACACS+ 認証を除外します。 ただし、RADIUS、TACACS+、および LDAP 認証は、ローカルに管理される Cisco UCS ドメイン でサポートされています。
ユーザがログインすると、Cisco UCS Central は次を実行します。
カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。
CN=CiscoAVPair,CN=Schema, CN=Configuration,CN=X objectClass: top objectClass: attributeSchema cn: CiscoAVPair distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X instanceType: 0x4 uSNCreated: 26318654 attributeID: 1.3.6.1.4.1.9.287247.1 attributeSyntax: 2.5.5.12 isSingleValued: TRUE showInAdvancedViewOnly: TRUE adminDisplayName: CiscoAVPair adminDescription: UCS User Authorization Field oMSyntax: 64 lDAPDisplayName: CiscoAVPair name: CiscoAVPair objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X
Cisco UCS Manager で LDAP ユーザを作成する場合と同様の方法で、リモート ユーザを設定し、Cisco UCS Central からロールとロケールを割り当てることができます。 常に Cisco UCS Central ドメイン グループ ルートから LDAP プロバイダーを作成してください。
最大 28 の LDAP プロバイダー グループを定義できます。また Active Directory では Cisco UCS Central でのネストがサポートされているため、任意の数のレベルまでネストできます。 ネスト グループにプロバイダーを割り当てると、プロバイダーが異なる LDAP グループのメンバーであっても、親ネスト グループの認証メンバーになります。 認証中、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。 設定されたすべてのサーバが使用できない場合、または到達不能な場合、Cisco UCS Central は、ローカル ユーザ名とパスワードを使用するローカル認証方式に自動的にフォールバックします。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS Central にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
Cisco UCS Central で、次のいずれかを設定します。
LDAP グループ:LDAP グループには、ユーザのロールとロケール情報が含まれています。
Cisco UCS Central のユーザ ロールおよびロケール情報を保持する属性が指定されているユーザ:この属性のために LDAP スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS Central ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、CiscoAVPair 属性などのカスタム属性を作成します。
シスコの LDAP の実装では、Unicode タイプの属性が必要です。
CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Central によって使用されている仮想 IP アドレスではありません。
セキュア通信を使用するには、Cisco UCS Central で LDAP サーバのルート認証局(CA)の証明書を含むトラスト ポイントを作成します。
単一の LDAP データベースが関係する実装の場合は、認証サービスとして LDAP を選択します。
(注) |
実装に複数のデータベースを指定すると、データベース内で特定のユーザを選択した場合に、サーバはユーザを認証する前に、指定した LDAP データベースの順になります。 |
この [Properties (LDAP)] ダイアログボックスで Cisco UCS Centralに定義されているすべてのプロバイダーのデフォルト設定を設定できます。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
すでに LDAP グループを使用して LDAP データベースへのアクセスを制限している組織の場合、グループ メンバーシップ情報は、ログイン中にロールまたはロケールを LDAP ユーザに割り当てるために Cisco UCS ドメインで使用できます。 これにより、Cisco UCS Central が展開されるときに LDAP ユーザ オブジェクトのロールまたはロケール情報を定義する必要がなくなります。
Cisco UCS Central は、ユーザ ロールとロケールをリモート ユーザに割り当てるときに、LDAP グループ ルールを使用して LDAP グループを判別します。 ユーザがログインすると、Cisco UCS Centralはユーザのロールとロケールに関する情報を LDAP グループ マップから取得します。 ロールとロケールの条件がポリシーの情報に一致すると、Cisco UCS Centralはそのユーザにアクセス権を提供します。
ロールとロケールの定義は Cisco UCS Central でローカルに設定され、LDAP ディレクトリへの変更に基づいて自動的に更新されません。 LDAP ディレクトリで LDAP グループを削除または名前変更する場合、Cisco UCS Centralで変更を更新してください。
(注) |
Cisco UCS Central には、すぐに使用可能な多くのユーザ ロールが含まれていますが、ロケールは含まれていません。 このため LDAP プロバイダー グループをロケールにマップするカスタム ロケールを作成する必要があります。 |
LDAP グループ マップで定義されている別のグループ内にネストされた LDAP グループを検索できます。 この新しい機能を使用すると、Cisco UCS Central のグループ マップでサブグループを常に作成する必要がなくなります。
LDAP ネスティング機能を使用して、LDAP グループを他のグループおよびネスト グループのメンバーとして追加し、メンバー アカウントを統合してトラフィックの重複を減らすことができます。
デフォルトでは、LDAP グループを別のグループ内にネストするときにユーザ権限が継承されます。 たとえば、Group_2 のメンバーとして Group_1 を作成する場合、Group_1 のユーザは Group_2 のメンバーと同じ権限が与えられます。 その結果、Group_1 のメンバーであるユーザを検索するときは、LDAP グループ マップで Group_2 だけを選択します。Group_1 と Group_2 を別々に検索する必要はありません。
LDAP グループ ルールを設定します。
このタスクで設定するプロパティは、Cisco UCS ManagerCisco UCS Central で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS ManagerCisco UCS Central でその設定が使用され、デフォルト設定は無視されます。
(注) |
RADIUS ネイティブ認証は、このリリースではサポートされていません。また、ドメイン グループ ルートおよびドメイン グループ下の Cisco UCS Central のポリシーの作成には使用できません。 RADIUS は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。 |
RADIUS プロバイダーを作成します。
Cisco UCS Central は最大 16 の RADIUS プロバイダーをサポートします。 RADIUS ネイティブ認証は、このリリースではサポートされていません。また、ドメイン グループ ルートおよびドメイン グループ下の Cisco UCS Central のポリシーの作成には使用できません。 RADIUS は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。
RADIUS サーバで、次の設定を行います。
Cisco UCS Central のユーザ ロールとロケール情報を保持する属性でユーザを設定します。 この属性について RADIUS スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。
シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。
次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、区切り文字としてカンマ「,」を使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Central によって使用されている仮想 IP アドレスではありません。
このタスクで設定するプロパティは、Cisco UCS ManagerCisco UCS Central で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS ManagerCisco UCS Central でその設定が使用され、デフォルト設定は無視されます。
(注) |
TACACS+ ネイティブ認証は、このリリースではサポートされていません。また、Cisco UCS Central でのポリシーの作成には使用できません。 TACACS+ は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。 |
TACACS+ プロバイダーを作成します。
Cisco UCS Central は最大 16 の TACACS+ プロバイダーをサポートします。 TACACS+ ネイティブ認証は、このリリースではサポートされていません。また、Cisco UCS Central でのポリシーの作成には使用できません。 TACACS+ は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。
TACACS+ サーバで、次の設定を行います。
cisco-av-pair 属性を作成します。 既存の TACACS+ 属性は使用できません。
cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。
次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。 複数の値を区切るには、区切り文字としてスペースを使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Central によって使用されている仮想 IP アドレスではありません。
Cisco UCS を設定して、次の機能を設定することによって複数の認証システムを使用できます。
Cisco UCS Central GUI でプロバイダー グループと認証ドメインを設定すると、ucs- auth-domain 構文を使用して Cisco UCS Central CLI でシステムにログインできます。
リモート認証サービスで複数の認証ドメインおよびネイティブ認証が設定されている場合、次のいずれかの構文例を使用して SSH または Putty でログインします。
Linux ターミナルから:
ssh ucs-auth-domain\\username@Cisco UCS domain-ip-address
ssh ucs-example\\jsmith@192.0.20.11
ssh -l ucs-auth-domain\\username {Cisco UCS domain-ip-address | Cisco UCS domain-host-name}
ssh -l ucs-example\\jsmith 192.0.20.11
ssh {Cisco UCS domain-ip-address | Cisco UCS domain-host-name} -l ucs-auth-domain\\username
ssh 192.0.20.11 -l ucs-example\\jsmith
Putty クライアントから:
SSH クライアントから:
プロバイダー グループは、認証プロセス中に Cisco UCS によって使用されるプロバイダーのセットです。 Cisco UCS Central では、グループごとに最大 8 個のプロバイダーが許可された、最大 16 個のプロバイダー グループを作成できます。
認証中、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。 設定されたすべてのサーバが使用できない場合、または到達不能な場合、Cisco UCS Central は、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。
(注) |
単一の LDAP データベースを使用した認証では、LDAP プロバイダー グループを設定する必要はありません。 |
1 つ以上の LDAP プロバイダーを作成します。
単一の LDAP データベースが関係する実装の場合は、認証サービスとして LDAP を選択します。
(注) |
単一の RADIUS データベースを使用した認証では、RADIUS プロバイダー グループを設定する必要はありません。 |
1 つ以上の RADIUS プロバイダーを作成します。
認証ドメインを設定するか、デフォルト認証サービスを選択します。
(注) |
単一の TACACS+ データベースを使用した認証では、TACACS+ プロバイダー グループを設定する必要はありません。 |
1 つ以上の TACACS+ プロバイダーを作成します。
認証設定で使用されているプロバイダー グループは削除できません。
認証ドメインは、マルチ認証システムを活用するために Cisco UCS ドメインによって使用されます。 各認証ドメインは、ログイン中に指定および設定されます。 認証ドメインを指定しないと、デフォルトの認証サービス設定が使用されます。
最大 8 個の認証ドメインを作成できます。 各認証ドメインは、Cisco UCS ドメイン内のプロバイダー グループと領域に関連付けられています。 プロバイダー グループが指定されていない場合は、領域内のすべてのサーバが使用されます。
(注) |
このリリースでは LDAP の認証ドメインが Cisco UCS Centralでサポートされます。 ただし、Cisco UCS Central ドメイン グループ ルートの管理対象 Cisco UCS ドメインで認証ドメインがサポートされています。 |
システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
デフォルトでは、ユーザ ロールが Cisco UCS Central で設定されていない場合、LDAP プロトコル(このリリースでは RADIUS および TACACS+ 認証を除く)を使用して、リモート サーバから Cisco UCS Central にログインしたすべてのユーザに読み取り専用アクセス権が付与されます。
(注) |
RADIUS、TACACS+、および LDAP 認証は、ローカルに管理された Cisco UCS ドメインでサポートされています。 |
セキュリティ上の理由から、Cisco UCS Central で確立されたユーザ ロールに一致するユーザへのアクセスを制限するのが望ましい場合があります。
Cisco UCS Central は、DNS サーバおよびドメイン名を定義するグローバル DNS ポリシーをサポートしています。 登録済み Cisco UCS ドメインでは、そのドメインのポリシー解決コントロール内で DNS 管理をグローバルに定義するようにしている場合、DNS 管理について Cisco UCS Central への登録に従うことになります。
ドメイン グループ ルート下でドメイン グループの DNS ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
DNS ポリシーを削除すると、そのポリシー内のすべての DNS サーバ設定が削除されます。
DNS ポリシーを設定します。
Cisco UCS Central は、グローバルな電力割り当てポリシー(ポリシー ドリブン シャーシ グループ キャップ方式または手動のブレード レベル キャップ方式に基づく)、電力ポリシー(グリッド、n+1、または非冗長方式に基づく)を定義するグローバルな装置ポリシーをサポートしています。 登録済み Cisco UCS ドメインでは、そのクライアントのポリシー解決コントロール内で電源管理と電源装置ユニットをグローバルに定義するようにしている場合、電源管理と電源装置ユニットについて Cisco UCS Central への登録に従うことになります。
ドメイン グループ下でグローバルな電力割り当て装置ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
ドメイン グループ下で電力装置ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
Cisco UCS Central は、国際的なタイム ゾーンと定義された NTP サーバに基づいて、グローバルな日付と時刻ポリシーをサポートしています。 登録済み Cisco UCS Manager クライアントでは、そのクライアントのポリシー解決コントロール内で日付と時刻をグローバルに定義するようにしている場合、日付と時刻の設定について Cisco UCS Central への登録に従うことになります。
ドメイン グループ下で日付と時刻ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
日付と時刻ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の日付と時刻ポリシーは、削除できません。
日付と時刻ポリシーを削除すると、そのポリシー内のすべての NTP サーバ設定が削除されます。
ドメイン グループ ルート下にあるドメイン グループの NTP サーバを設定するには、最初に日付と時刻ポリシーを作成しておく必要があります。
既存の NTP サーバのプロパティは、NTP サーバ インスタンスを保存する前に更新される場合があります。 保存された NTP サーバの名前を変更するには、削除して再作成する必要があります。
Cisco UCS Central は、SNMP トラップおよび SNMP ユーザの有効化と無効化、定義を行うグローバル SNMP ポリシーをサポートしています(通常のパスワードとプライバシー パスワード、認証タイプ md5 または sha、および暗号化タイプ DES と AES-128 により)。 登録済み Cisco UCS ドメインでは、そのクライアントのポリシー解決コントロール内で SNMP ポリシーをグローバルに定義するようにしている場合、すべての SNMP ポリシーについて Cisco UCS Central への登録に従うことになります。
SNMP エージェント機能は、Cisco UCS Centralをリモートでモニタする機能を提供します。 また、Cisco UCS Central ホスト IP を変更し、新しい IP で SNMP エージェントを再起動することもできます。 SNMP が、アクティブとスタンバイの両方の Cisco UCS Central サーバで稼働しており、設定が両方のサーバで保持されます。 Cisco UCS Central は、オペレーティング システムにより管理される情報ベース(MIB)のみへの読み取りアクセス権を提供します。Cisco UCS Central CLI を使用して、SNMP v1、v2c のコミュニティ ストリングを設定し、SNMPv3 ユーザを作成および削除することができます。
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。
SNMP エージェント:管理対象デバイスである Cisco UCS Central 内のソフトウェア コンポーネントで、Cisco UCS Central のデータを維持し、必要に応じて SNMP にレポートします。 Cisco UCS Central には、エージェントと MIB 収集が含まれます。 SNMP エージェントを有効にし、マネージャとエージェント間のリレーションシップを作成するには、Cisco UCS Central で SNMP を有効にし、設定します。
管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。 Cisco UCS Central では OS MIB モードだけがサポートされます。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Cisco UCS Central では SNMP 通知がトラップとして生成されます。 SNMP マネージャはトラップ受信時に確認応答を送信せず、 Cisco UCS Central はトラップが受信されたかどうかを確認できないため、トラップの信頼性は低くなります。SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。 SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。 SNMPv3 ユーザベース セキュリティ モデル(USM) は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。 セキュリティ モデルは、選択したセキュリティ レベルと結合され、SNMP メッセージの処理中に適用されるセキュリティ メカニズムを決定します。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。 権限レベルは、メッセージが開示されないよう保護または認証の必要があるかどうかを決定します。 サポートされるセキュリティ レベルは、セキュリティ モデルが設定されているかによって異なります。 SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
次の表に、Cisco UCS Centralでサポートされる SNMP セキュリティ モデルとセキュリティ レベルの組み合わせを示します。
モデル |
レベル |
認証 |
暗号化 |
結果 |
---|---|---|---|---|
v1 |
noAuthNoPriv |
コミュニティ ストリング |
No |
コミュニティ ストリングの照合を使用して認証します。 |
v2c |
noAuthNoPriv |
コミュニティ ストリング |
No |
コミュニティ ストリングの照合を使用して認証します。 |
v3 |
noAuthNoPriv |
[Username] |
No |
ユーザ名の照合を使用して認証します。 |
v3 |
authNoPriv |
HMAC-MD5 または HMAC-SHA |
No |
Hash-Based Message Authentication Code(HMAC)メッセージ ダイジェスト 5(MD5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。 |
v3 |
authPriv |
HMAC-MD5 または HMAC-SHA |
DES |
HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。 |
Cisco UCS Central は、OS MIB への読み取り専用アクセスをサポートします。 MIB に対して set 操作は使用できません。 Cisco UCS Centralでサポートされている MIB を次に示します。
IP-MIB
IF-MIB
DISMAN-EVENT-MIB
SNMP MIB-2 snmp
(注) |
Cisco UCS Centralは、IPV6 およびCisco UCS Central MIB をサポートしません。 |
Cisco UCS Central は、SNMPv3 ユーザ向けに次の認証プロトコルをサポートします。
Cisco UCS Central は、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠します。 AES が無効であり、プライバシー パスワードが設定されている場合、暗号化に DES が使用されます。
AES-128 設定を有効にし、SNMPv3 ユーザのプライバシー パスワードをインクルードした場合、Cisco UCS Central はプライバシー パスワードを使用して 128 ビット AES キーを生成します。 AES プライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
ドメイン グループで SNMP ポリシーを設定する前に、SNMP ポリシーが最初に作成されていることを確認します。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
SNMP トラップおよび SNMP ユーザを作成します。
SNMP ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の SNMP ポリシーは、削除できません。
SNMP ポリシーを削除すると、そのポリシー内のすべての SNMP トラップおよび SNMP ユーザ設定が削除されます。
Cisco UCS Central は、グローバル システム イベント ログ(SEL)ポリシーをサポートしています。
システム イベント ログ(SEL)には、過不足の電圧、温度イベント、ファン イベント、BIOS からのイベントなど、ほとんどのサーバ関連イベントが記録されます。 SEL は、主にトラブルシューティングのために使用します。 SEL ファイルのサイズは約 40KB で、ファイルがいっぱいになるとそれ以上イベントを記録できません。 新たなイベントを記録できるようにするには、ファイルの中身をクリアする必要があります。 SEL ポリシーを使用して、SEL をリモート サーバにバックアップできます。また、必要に応じて、バックアップ操作後に SEL をクリアすることもできます。 バックアップ操作は、特定のアクションに基づいて起動するか、定期的に実行できます。 SEL のバックアップやクリアは、手動で行うこともできます。
ドメイン グループ下で SEL ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
目次
- 管理設定の管理
- Cisco UCS Central の管理設定
- ユーザと認証
- ローカル認証されたユーザの作成
- リモート ユーザの作成
- ユーザ ロールの作成
- ユーザ ロケールの作成
- 認証ドメインの作成
- LDAP プロバイダーの作成
- LDAP プロバイダー グループの作成
- LDAP グループ マップの作成
- LDAP プロバイダーの削除
- LDAP プロバイダー グループの削除
- LDAP グループ マップの削除
- General Settings
- SNMP トラップの作成
- SNMP ユーザの作成
- HTTPS 証明書の設定
- NTP サーバの設定
- DNS サーバの設定
- 障害ポリシーの設定
- エクスポート ポリシーの設定
- IPv6 Configuration
- スタンドアロン モードでの IPv6 設定
- HA モードでの IPv6 の設定
- キー リング
- キー リングの作成
- トラスト ポイントの作成
- キーリングの削除
- トラスト ポイントの削除
- ブラウザへの CA 証明書のインポート
- Mozilla Firefox
- Microsoft Internet Explorer
- Google Chrome
- リモート アクセス ポリシー
- HTTP の設定
- HTTP リモート アクセス ポリシーの設定
- HTTP リモート アクセス ポリシーの削除
- Telnet の設定
- Telnet リモート アクセス ポリシーの設定
- Telnet リモート アクセス ポリシーの削除
- Web セッション制限の設定
- Web セッション制限の設定
- Web セッション制限の削除
- CIM XML の設定
- CIM XML リモート アクセス ポリシーの設定
- CIM XML リモート アクセス ポリシーの削除
- インターフェイス モニタリングの設定
- インターフェイス モニタリング リモート アクセス ポリシーの設定
- インターフェイス モニタリング リモート アクセス ポリシーの削除
- 認証サービス
- リモート認証プロバイダーに関する注意事項および推奨事項
- リモート認証プロバイダーのユーザ属性
- LDAP プロバイダー
- LDAP プロバイダーの作成
- LDAP プロバイダーのデフォルト設定
- LDAP プロバイダーの削除
- LDAP プロバイダーの LDAP グループ ルールの変更
- LDAP グループ マップ
- ネストされた LDAP グループ
- LDAP グループ マップの作成
- LDAP グループ マップの削除
- RADIUS プロバイダーの設定
- RADIUS プロバイダーのプロパティの設定
- RADIUS プロバイダーの作成
- RADIUS プロバイダーの削除
- TACACS+ プロバイダーの設定
- TACACS+ プロバイダーのプロパティの設定
- TACACS+ プロバイダーの作成
- TACACS+ プロバイダーの削除
- マルチ認証システムの設定
- マルチ認証システム
- プロバイダー グループ
- LDAP プロバイダー グループの作成
- LDAP プロバイダー グループの削除
- RADIUS プロバイダー グループの作成
- RADIUS プロバイダー グループの削除
- TACACS+ プロバイダー グループの作成
- TACACS+ プロバイダー グループの削除
- 認証ドメイン
- 認証ドメインの作成
- プライマリ認証サービスの選択
- コンソール認証サービスの選択
- デフォルト認証サービスの選択
- リモート ユーザのロール ポリシー
- リモート ユーザのロール ポリシーの設定
- DNS サーバの設定
- DNS ポリシーの管理
- DNS ポリシーの設定
- DNS ポリシーの削除
- DNS ポリシーの DNS サーバの設定
- DNS ポリシーからの DNS サーバの削除
- 電力ポリシーの管理
- グローバルな電力割り当て装置ポリシーの設定
- グローバルな電力割り当て装置ポリシーの削除
- 電力装置ポリシーの設定
- 電力装置ポリシーの削除
- タイム ゾーンの管理
- タイム ゾーンの管理
- 日付と時刻ポリシーの設定
- 日付と時刻ポリシーの削除
- 日付と時刻ポリシーの NTP サーバの設定
- NTP サーバのプロパティの設定
- 日付と時刻ポリシーからの NTP サーバの削除
- SNMP ポリシー
- SNMP 機能の概要
- SNMP 通知
- SNMP セキュリティ機能
- SNMP セキュリティ レベルおよび権限
- SNMP セキュリティ モデルおよびセキュリティ レベル
- Cisco UCS Central での SNMP サポート
- SNMP ポリシーの設定
- SNMP トラップの作成
- SNMP ユーザの作成
- SNMP ポリシーの削除
- SNMP トラップの削除
- SNMP ユーザの削除
- System Event Log
- SEL ポリシーの設定
- SEL ポリシーの削除
この章は、次の内容で構成されています。
Cisco UCS Central の管理設定
Cisco UCS Central では、GUI の [Administration] タブからポリシーおよびユーザ認証をネイティブに設定できます。これは、[Operations Management] タブから UCS ドメインに対して定義されているタスクと似ています。 この 2 つのタブではほとんどの機能が共通していますが、ユーザ ロールとサーバ サポートが異なります。
[Administration] タブの次の領域で管理タスクを実行できます。
ユーザと認証
Cisco UCS Central では、システムにアクセスするローカル ユーザとリモート ユーザの作成がサポートされています。 各 Cisco UCS Central ドメインでは最大 128 のユーザ アカウントを設定できます。 各ユーザには固有のユーザ名とパスワードが必要です。 詳細については、User Managementを参照してください。
Cisco UCS Central では、ネイティブ認証に LDAP を使用しますが、このリリースでは RADIUS および TACACS+ 認証は除外されています。 ただし、RADIUS、TACACS+、および LDAP 認証は、ローカルに管理される Cisco UCS ドメインでサポートされています。 詳細については、管理設定の管理を参照してください。
- ローカル認証されたユーザの作成
- リモート ユーザの作成
- ユーザ ロールの作成
- ユーザ ロケールの作成
- 認証ドメインの作成
- LDAP プロバイダーの作成
- LDAP プロバイダー グループの作成
- LDAP グループ マップの作成
- LDAP プロバイダーの削除
- LDAP プロバイダー グループの削除
- LDAP グループ マップの削除
ローカル認証されたユーザの作成
手順
リモート ユーザの作成
手順
ユーザ ロケールの作成
手順
認証ドメインの作成
手順Cisco UCS Central では、ネイティブ認証に LDAP を使用しますが、このリリースでは RADIUS および TACACS+ 認証は除外されています。 ただし RADIUS、TACACS+、または LDAP リモート認証は、Cisco UCS Central ドメイン グループ ルートから Cisco UCS ドメインでサポートされています。
LDAP プロバイダーの削除
LDAP プロバイダー グループの削除
General Settings
Cisco UCS Central GUI でポリシーを設定できます。 これらの管理ポリシーは組織レベルで定義され、インフラストラクチャのあらゆる項目(日付と時刻、SNMP トラップ、バックアップ ポリシーとエクスポート ポリシーなど)を管理できます。
- SNMP トラップの作成
- SNMP ユーザの作成
- HTTPS 証明書の設定
- NTP サーバの設定
- DNS サーバの設定
- 障害ポリシーの設定
- エクスポート ポリシーの設定
- IPv6 Configuration
- キー リング
SNMP トラップの作成
手順
次の作業
SNMP ユーザを作成する。
NTP サーバの設定
IPv6 Configuration
Cisco UCS Central では、スタンドアロン モードとハイ アベイラビリティ(HA)モードで IPv6 を有効にできます。 1 つの仮想マシン上で設定された Cisco UCS Central はスタンドアロン セットアップです。 スタンドアロン セットアップはどのクラスタにも属しません。 UCS Central HA セットアップは、2 つの仮想マシン(プライマリ ノードとセカンダリ ノード)で構成されます。
これらの仮想マシンが HA クラスタを構成し、この HA クラスタへは共通 IP アドレスを使用してアクセスできます。 この IP アドレスは、クラスタ IP アドレスまたは仮想 IP アドレスと呼ばれます。 仮想 IP アドレス(VIP)には、IPv4 アドレスの他に IPv6 アドレスを割り当てることができます。
HA モードでの IPv6 の設定
手順
キー リング
Cisco UCS Central では、より強力な認証のためにキー リングをサードパーティの証明書として作成できます。 HTTPS は 2 つのデバイス間でセキュアな通信を確立するために Public Key Infrastructure(PKI)コンポーネントを使用します。
各 PKI デバイスは、内部キー リングに非対称の Rivest-Shamir-Adleman(RSA)暗号キーのペア(1 つはプライベート、もう 1 つはパブリック)を保持します。 いずれかのキーで暗号化されたメッセージは、もう一方のキーで復号化できます。 暗号化されたメッセージを送信する場合、送信者は受信者の公開キーで暗号化し、受信者は独自の秘密キーを使用してメッセージを復号化します。 送信者は、独自の秘密キーで既知のメッセージを暗号化(「署名」とも呼ばれます)して公開キーの所有者を証明することもできます。 受信者が該当する公開キーを使用してメッセージを正常に復号化できる場合は、送信者が対応する秘密キーを所有していることが証明されます。 暗号キーの長さはさまざまであり、通常の長さは 2048 ビット ~ 4096 ビットです。 一般的に、短いキーよりも長いキーの方がセキュアになります。 Cisco UCS Central では、最初に 2048 ビットのキー ペアを含むデフォルトのキー リングが提供されます。そして、追加のキー リングを作成できます。
クラスタ名が変更されたり、証明書が期限切れになったりした場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
(注)
Cisco UCS Central は、UCS Central から UCS Manager への通信と、UCS Central とユーザの Web ブラウザ間の通信の両方に、同一のサードパーティ証明書を使用します。 現時点では、UCS Central では 2 種類の通信での異なる証明書の使用はサポートされていません。 現在、サードパーティ証明書は Cisco UCS Manager リリース 2.2(2c) 以降でのみサポートされます。
(注)
キー リングと証明書要求を作成すると、Cisco UCS Central により証明書署名機能を使用した証明書要求が生成されます。 CA サーバによる署名後の証明書要求には、キーの用途の 1 つが「証明書署名」として設定されている必要があります。 Microsoft Windows を Internal Enterprise Certification Authority Server として使用する場合は、[Subordinate Certification Authority] テンプレートを使用して証明書を生成する必要があります。 ただしスタンドアロン CA サーバを使用する場合は、証明書テンプレートを選択する必要はありません。
キー リングの作成
手順
トラスト ポイントの作成
手順Cisco UCS Central では、ルート認証局(CA)および従属 CA の証明書がバンドル形式で含まれているトラスト ポイントを作成できます。 ルート CA にはプライマリ証明書と自己署名証明書が含まれている必要があります。
キーリングの削除
トラスト ポイントの削除
ブラウザへの CA 証明書のインポート
Google Chrome
手順
リモート アクセス ポリシー
Cisco UCS Central は、インターフェイス モニタリング ポリシーを定義し、SSH 設定ステータスを表示し、HTTP、Telnet、Web セッション制限、および CIM XML のポリシー設定を提供するグローバル リモート アクセス ポリシーをサポートしています。
HTTP リモート アクセス ポリシーの設定
はじめる前に手順ドメイン グループ下で HTTP リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
次の作業
必要に応じて、次のリモート アクセス ポリシーを設定します。
HTTP リモート アクセス ポリシーの削除
手順HTTP リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の HTTP リモート アクセス ポリシーは、削除できません。
Telnet リモート アクセス ポリシーの設定
はじめる前に手順ドメイン グループ下で Telnet リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
次の作業
必要に応じて、次のリモート アクセス ポリシーを設定します。
Telnet リモート アクセス ポリシーの削除
手順Telnet リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の Telnet リモート アクセス ポリシーは、削除できません。
Web セッション制限の設定
はじめる前に手順ドメイン グループ下で Web セッション制限リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
次の作業
必要に応じて、次のリモート アクセス ポリシーを設定します。
Web セッション制限の削除
手順Web セッション制限リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の Web セッション制限リモート アクセス ポリシーは削除できません。
CIM XML リモート アクセス ポリシーの設定
はじめる前に手順ドメイン グループ下で CIM XML リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
次の作業
必要に応じて、次のリモート アクセス ポリシーを設定します。
CIM XML リモート アクセス ポリシーの削除
手順CIM XML リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の CIM XML リモート アクセス ポリシーは、削除できません。
インターフェイス モニタリング リモート アクセス ポリシーの設定
はじめる前に手順ドメイン グループ下のインターフェイス モニタリング リモート アクセス ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
次の作業
必要に応じて、次のリモート アクセス ポリシーを設定します。
インターフェイス モニタリング リモート アクセス ポリシーの削除
手順インターフェイス モニタリング リモート アクセス ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下のインターフェイス モニタリング リモート アクセス ポリシーは、削除できません。
リモート認証プロバイダーに関する注意事項および推奨事項
システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Cisco UCS Central がそのサービスと通信できるようにする必要があります。 また、ユーザ許可に影響する次のガイドラインに留意する必要があります。
リモート認証サービスのユーザ アカウント
ユーザ アカウントは、Cisco UCS Central にローカルに存在するか、またはリモート認証サーバに存在することができます。 リモート認証サービスを介してログインしているユーザの一時的なセッションは、Cisco UCS Central GUI または Cisco UCS Central CLI で表示できます。
リモート認証プロバイダーのユーザ属性
ユーザがログインすると、Cisco UCS Central は次を実行します。
LDAP ユーザ属性のサンプル OID
カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。
CN=CiscoAVPair,CN=Schema, CN=Configuration,CN=X objectClass: top objectClass: attributeSchema cn: CiscoAVPair distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X instanceType: 0x4 uSNCreated: 26318654 attributeID: 1.3.6.1.4.1.9.287247.1 attributeSyntax: 2.5.5.12 isSingleValued: TRUE showInAdvancedViewOnly: TRUE adminDisplayName: CiscoAVPair adminDescription: UCS User Authorization Field oMSyntax: 64 lDAPDisplayName: CiscoAVPair name: CiscoAVPair objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=XLDAP プロバイダー
Cisco UCS Manager で LDAP ユーザを作成する場合と同様の方法で、リモート ユーザを設定し、Cisco UCS Central からロールとロケールを割り当てることができます。 常に Cisco UCS Central ドメイン グループ ルートから LDAP プロバイダーを作成してください。
LDAP プロバイダー グループ
最大 28 の LDAP プロバイダー グループを定義できます。また Active Directory では Cisco UCS Central でのネストがサポートされているため、任意の数のレベルまでネストできます。 ネスト グループにプロバイダーを割り当てると、プロバイダーが異なる LDAP グループのメンバーであっても、親ネスト グループの認証メンバーになります。 認証中、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。 設定されたすべてのサーバが使用できない場合、または到達不能な場合、Cisco UCS Central は、ローカル ユーザ名とパスワードを使用するローカル認証方式に自動的にフォールバックします。
LDAP プロバイダーの作成
はじめる前に手順Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Cisco UCS Central にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
Cisco UCS Central で、次のいずれかを設定します。
LDAP グループ:LDAP グループには、ユーザのロールとロケール情報が含まれています。
Cisco UCS Central のユーザ ロールおよびロケール情報を保持する属性が指定されているユーザ:この属性のために LDAP スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の LDAP 属性を使用して Cisco UCS Central ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、CiscoAVPair 属性などのカスタム属性を作成します。
シスコの LDAP の実装では、Unicode タイプの属性が必要です。
CiscoAVPair カスタム属性を作成する場合は、属性 ID として 1.3.6.1.4.1.9.287247.1 を使用します
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Central によって使用されている仮想 IP アドレスではありません。
セキュア通信を使用するには、Cisco UCS Central で LDAP サーバのルート認証局(CA)の証明書を含むトラスト ポイントを作成します。
次の作業
単一の LDAP データベースが関係する実装の場合は、認証サービスとして LDAP を選択します。
(注)
実装に複数のデータベースを指定すると、データベース内で特定のユーザを選択した場合に、サーバはユーザを認証する前に、指定した LDAP データベースの順になります。
LDAP プロバイダーのデフォルト設定
手順この [Properties (LDAP)] ダイアログボックスで Cisco UCS Centralに定義されているすべてのプロバイダーのデフォルト設定を設定できます。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS でその設定が使用され、デフォルト設定は無視されます。
LDAP プロバイダーの削除
手順
LDAP プロバイダーの LDAP グループ ルールの変更
手順
LDAP グループ マップ
すでに LDAP グループを使用して LDAP データベースへのアクセスを制限している組織の場合、グループ メンバーシップ情報は、ログイン中にロールまたはロケールを LDAP ユーザに割り当てるために Cisco UCS ドメインで使用できます。 これにより、Cisco UCS Central が展開されるときに LDAP ユーザ オブジェクトのロールまたはロケール情報を定義する必要がなくなります。
Cisco UCS Central は、ユーザ ロールとロケールをリモート ユーザに割り当てるときに、LDAP グループ ルールを使用して LDAP グループを判別します。 ユーザがログインすると、Cisco UCS Centralはユーザのロールとロケールに関する情報を LDAP グループ マップから取得します。 ロールとロケールの条件がポリシーの情報に一致すると、Cisco UCS Centralはそのユーザにアクセス権を提供します。
ロールとロケールの定義は Cisco UCS Central でローカルに設定され、LDAP ディレクトリへの変更に基づいて自動的に更新されません。 LDAP ディレクトリで LDAP グループを削除または名前変更する場合、Cisco UCS Centralで変更を更新してください。
例:特定のロケーションのサーバ管理者グループを表す LDAP グループの認証を設定する場合は、server-profile や server-equipment などのユーザ ロールを LDAP グループに含めることができます。 特定のロケーションのサーバ管理者に対しアクセスを制限する場合は、特定のサイト名をロケールに指定できます。
(注)
Cisco UCS Central には、すぐに使用可能な多くのユーザ ロールが含まれていますが、ロケールは含まれていません。 このため LDAP プロバイダー グループをロケールにマップするカスタム ロケールを作成する必要があります。
ネストされた LDAP グループ
LDAP グループ マップで定義されている別のグループ内にネストされた LDAP グループを検索できます。 この新しい機能を使用すると、Cisco UCS Central のグループ マップでサブグループを常に作成する必要がなくなります。
LDAP ネスティング機能を使用して、LDAP グループを他のグループおよびネスト グループのメンバーとして追加し、メンバー アカウントを統合してトラフィックの重複を減らすことができます。
デフォルトでは、LDAP グループを別のグループ内にネストするときにユーザ権限が継承されます。 たとえば、Group_2 のメンバーとして Group_1 を作成する場合、Group_1 のユーザは Group_2 のメンバーと同じ権限が与えられます。 その結果、Group_1 のメンバーであるユーザを検索するときは、LDAP グループ マップで Group_2 だけを選択します。Group_1 と Group_2 を別々に検索する必要はありません。
LDAP グループ マップの作成
手順
次の作業
LDAP グループ ルールを設定します。
LDAP グループ マップの削除
手順
RADIUS プロバイダーのプロパティの設定
手順このタスクで設定するプロパティは、Cisco UCS ManagerCisco UCS Central で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS ManagerCisco UCS Central でその設定が使用され、デフォルト設定は無視されます。
(注)
RADIUS ネイティブ認証は、このリリースではサポートされていません。また、ドメイン グループ ルートおよびドメイン グループ下の Cisco UCS Central のポリシーの作成には使用できません。 RADIUS は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。
次の作業
RADIUS プロバイダーを作成します。
RADIUS プロバイダーの作成
Cisco UCS Central は最大 16 の RADIUS プロバイダーをサポートします。 RADIUS ネイティブ認証は、このリリースではサポートされていません。また、ドメイン グループ ルートおよびドメイン グループ下の Cisco UCS Central のポリシーの作成には使用できません。 RADIUS は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。
はじめる前に手順RADIUS サーバで、次の設定を行います。
Cisco UCS Central のユーザ ロールとロケール情報を保持する属性でユーザを設定します。 この属性について RADIUS スキーマを拡張するかどうかを選択できます。 スキーマを拡張しない場合は、既存の RADIUS 属性を使用して Cisco UCS ユーザ ロールとロケールを保持します。 スキーマを拡張する場合は、cisco-avpair 属性などのカスタム属性を作成します。
シスコによる RADIUS の実装のベンダー ID は 009 であり、属性のベンダー ID は 001 です。
次の構文例は、cisco-avpair 属性を作成する場合に複数のユーザ ロールとロケールを指定する方法を示しています。shell:roles="admin,aaa" shell:locales="L1,abc"。 複数の値を区切るには、区切り文字としてカンマ「,」を使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Central によって使用されている仮想 IP アドレスではありません。
次の作業
RADIUS プロバイダーの削除
手順
TACACS+ プロバイダーのプロパティの設定
手順このタスクで設定するプロパティは、Cisco UCS ManagerCisco UCS Central で定義されたこのタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Cisco UCS ManagerCisco UCS Central でその設定が使用され、デフォルト設定は無視されます。
(注)
TACACS+ ネイティブ認証は、このリリースではサポートされていません。また、Cisco UCS Central でのポリシーの作成には使用できません。 TACACS+ は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。
次の作業
TACACS+ プロバイダーを作成します。
TACACS+ プロバイダーの作成
Cisco UCS Central は最大 16 の TACACS+ プロバイダーをサポートします。 TACACS+ ネイティブ認証は、このリリースではサポートされていません。また、Cisco UCS Central でのポリシーの作成には使用できません。 TACACS+ は、Cisco UCS ドメイン のグローバル ポリシーの作成に使用される場合があります。
はじめる前に手順TACACS+ サーバで、次の設定を行います。
cisco-av-pair 属性を作成します。 既存の TACACS+ 属性は使用できません。
cisco-av-pair 名は、TACACS+ プロバイダーの属性 ID を提供する文字列です。
次の構文例は、cisco-av-pair 属性を作成するときに複数のユーザ ロールとロケールを指定する方法を示しています。cisco-av-pair=shell:roles="admin aaa" shell:locales*"L1 abc"。 cisco-av-pair 属性構文でアスタリスク(*)を使用すると、ロケールがオプションとして指定され、同じ認可プロファイルを使用する他のシスコ デバイスで認証の失敗を防ぐことができます。 複数の値を区切るには、区切り文字としてスペースを使用します。
クラスタ設定では、両方のファブリック インターコネクトに対する管理ポート IP アドレスを追加します。 この設定では、1 つめのファブリック インターコネクトで障害が発生し、システムが 2 つめのファブリック インターコネクトにフェールオーバーしても、リモート ユーザは引き続きログインできることが保証されます。 ログイン要求はすべて、これらの IP アドレスから送信されます。Cisco UCS Central によって使用されている仮想 IP アドレスではありません。
次の作業
TACACS+ プロバイダーの削除
手順
マルチ認証システム
Cisco UCS を設定して、次の機能を設定することによって複数の認証システムを使用できます。
Cisco UCS Central GUI でプロバイダー グループと認証ドメインを設定すると、ucs- auth-domain 構文を使用して Cisco UCS Central CLI でシステムにログインできます。
リモート認証サービスで複数の認証ドメインおよびネイティブ認証が設定されている場合、次のいずれかの構文例を使用して SSH または Putty でログインします。
Linux ターミナルから:
ssh ucs-auth-domain\\username@Cisco UCS domain-ip-address
ssh ucs-example\\jsmith@192.0.20.11
ssh -l ucs-auth-domain\\username {Cisco UCS domain-ip-address | Cisco UCS domain-host-name}
ssh -l ucs-example\\jsmith 192.0.20.11
ssh {Cisco UCS domain-ip-address | Cisco UCS domain-host-name} -l ucs-auth-domain\\username
ssh 192.0.20.11 -l ucs-example\\jsmith
Putty クライアントから:
SSH クライアントから:
プロバイダー グループ
プロバイダー グループは、認証プロセス中に Cisco UCS によって使用されるプロバイダーのセットです。 Cisco UCS Central では、グループごとに最大 8 個のプロバイダーが許可された、最大 16 個のプロバイダー グループを作成できます。
認証中、プロバイダー グループ内のすべてのプロバイダーが順番に試行されます。 設定されたすべてのサーバが使用できない場合、または到達不能な場合、Cisco UCS Central は、ローカル ユーザ名とパスワードを使用して自動的にローカル認証方式にフォールバックします。
- LDAP プロバイダー グループの作成
- LDAP プロバイダー グループの削除
- RADIUS プロバイダー グループの作成
- RADIUS プロバイダー グループの削除
- TACACS+ プロバイダー グループの作成
- TACACS+ プロバイダー グループの削除
LDAP プロバイダー グループの作成
手順LDAP プロバイダー グループを作成すると、複数の LDAP データベースを使用して認証できます。
(注)
単一の LDAP データベースを使用した認証では、LDAP プロバイダー グループを設定する必要はありません。
次の作業
単一の LDAP データベースが関係する実装の場合は、認証サービスとして LDAP を選択します。
LDAP プロバイダー グループの削除
手順
RADIUS プロバイダー グループの作成
手順RADIUS プロバイダー グループを作成すると、複数の RADIUS データベースを使用して認証できます。
(注)
単一の RADIUS データベースを使用した認証では、RADIUS プロバイダー グループを設定する必要はありません。
次の作業
認証ドメインを設定するか、デフォルト認証サービスを選択します。
RADIUS プロバイダー グループの削除
手順
TACACS+ プロバイダー グループの作成
手順TACACS+ プロバイダー グループを作成すると、複数の TACACS+ データベースを使用して認証できます。
(注)
単一の TACACS+ データベースを使用した認証では、TACACS+ プロバイダー グループを設定する必要はありません。
TACACS+ プロバイダー グループの削除
手順
認証ドメイン
認証ドメインは、マルチ認証システムを活用するために Cisco UCS ドメインによって使用されます。 各認証ドメインは、ログイン中に指定および設定されます。 認証ドメインを指定しないと、デフォルトの認証サービス設定が使用されます。
最大 8 個の認証ドメインを作成できます。 各認証ドメインは、Cisco UCS ドメイン内のプロバイダー グループと領域に関連付けられています。 プロバイダー グループが指定されていない場合は、領域内のすべてのサーバが使用されます。
(注)
このリリースでは LDAP の認証ドメインが Cisco UCS Centralでサポートされます。 ただし、Cisco UCS Central ドメイン グループ ルートの管理対象 Cisco UCS ドメインで認証ドメインがサポートされています。
認証ドメインの作成
手順
コンソール認証サービスの選択
はじめる前に手順システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
デフォルト認証サービスの選択
はじめる前に手順システムでリモート認証サービスが使用されている場合は、その認証サービスに対するプロバイダーを作成します。 Cisco UCS を通じたローカル認証のみを使用する場合は、最初にプロバイダーを作成する必要はありません。
リモート ユーザのロール ポリシー
デフォルトでは、ユーザ ロールが Cisco UCS Central で設定されていない場合、LDAP プロトコル(このリリースでは RADIUS および TACACS+ 認証を除く)を使用して、リモート サーバから Cisco UCS Central にログインしたすべてのユーザに読み取り専用アクセス権が付与されます。
(注)
RADIUS、TACACS+、および LDAP 認証は、ローカルに管理された Cisco UCS ドメインでサポートされています。
リモート ユーザのロール ポリシーは、次の方法で設定できます。セキュリティ上の理由から、Cisco UCS Central で確立されたユーザ ロールに一致するユーザへのアクセスを制限するのが望ましい場合があります。
リモート ユーザのロール ポリシーの設定
手順
DNS サーバの設定
DNS ポリシーの管理
Cisco UCS Central は、DNS サーバおよびドメイン名を定義するグローバル DNS ポリシーをサポートしています。 登録済み Cisco UCS ドメインでは、そのドメインのポリシー解決コントロール内で DNS 管理をグローバルに定義するようにしている場合、DNS 管理について Cisco UCS Central への登録に従うことになります。
DNS ポリシーの設定
はじめる前に手順ドメイン グループ ルート下でドメイン グループの DNS ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
DNS ポリシーの削除
手順
DNS ポリシーの DNS サーバの設定
DNS ポリシーからの DNS サーバの削除
手順
電力ポリシーの管理
Cisco UCS Central は、グローバルな電力割り当てポリシー(ポリシー ドリブン シャーシ グループ キャップ方式または手動のブレード レベル キャップ方式に基づく)、電力ポリシー(グリッド、n+1、または非冗長方式に基づく)を定義するグローバルな装置ポリシーをサポートしています。 登録済み Cisco UCS ドメインでは、そのクライアントのポリシー解決コントロール内で電源管理と電源装置ユニットをグローバルに定義するようにしている場合、電源管理と電源装置ユニットについて Cisco UCS Central への登録に従うことになります。
グローバルな電力割り当て装置ポリシーの設定
はじめる前に手順ドメイン グループ下でグローバルな電力割り当て装置ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
グローバルな電力割り当て装置ポリシーの削除
手順
電力装置ポリシーの設定
はじめる前に手順ドメイン グループ下で電力装置ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
電力装置ポリシーの削除
手順
タイム ゾーンの管理
タイム ゾーンの管理
Cisco UCS Central は、国際的なタイム ゾーンと定義された NTP サーバに基づいて、グローバルな日付と時刻ポリシーをサポートしています。 登録済み Cisco UCS Manager クライアントでは、そのクライアントのポリシー解決コントロール内で日付と時刻をグローバルに定義するようにしている場合、日付と時刻の設定について Cisco UCS Central への登録に従うことになります。
日付と時刻ポリシーの設定
はじめる前に手順ドメイン グループ下で日付と時刻ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
日付と時刻ポリシーの削除
手順日付と時刻ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の日付と時刻ポリシーは、削除できません。
日付と時刻ポリシーを削除すると、そのポリシー内のすべての NTP サーバ設定が削除されます。
日付と時刻ポリシーの NTP サーバの設定
NTP サーバのプロパティの設定
手順
日付と時刻ポリシーからの NTP サーバの削除
手順
SNMP ポリシー
Cisco UCS Central は、SNMP トラップおよび SNMP ユーザの有効化と無効化、定義を行うグローバル SNMP ポリシーをサポートしています(通常のパスワードとプライバシー パスワード、認証タイプ md5 または sha、および暗号化タイプ DES と AES-128 により)。 登録済み Cisco UCS ドメインでは、そのクライアントのポリシー解決コントロール内で SNMP ポリシーをグローバルに定義するようにしている場合、すべての SNMP ポリシーについて Cisco UCS Central への登録に従うことになります。
SNMP エージェント機能は、Cisco UCS Centralをリモートでモニタする機能を提供します。 また、Cisco UCS Central ホスト IP を変更し、新しい IP で SNMP エージェントを再起動することもできます。 SNMP が、アクティブとスタンバイの両方の Cisco UCS Central サーバで稼働しており、設定が両方のサーバで保持されます。 Cisco UCS Central は、オペレーティング システムにより管理される情報ベース(MIB)のみへの読み取りアクセス権を提供します。Cisco UCS Central CLI を使用して、SNMP v1、v2c のコミュニティ ストリングを設定し、SNMPv3 ユーザを作成および削除することができます。
SNMP 機能の概要
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。
SNMP エージェント:管理対象デバイスである Cisco UCS Central 内のソフトウェア コンポーネントで、Cisco UCS Central のデータを維持し、必要に応じて SNMP にレポートします。 Cisco UCS Central には、エージェントと MIB 収集が含まれます。 SNMP エージェントを有効にし、マネージャとエージェント間のリレーションシップを作成するには、Cisco UCS Central で SNMP を有効にし、設定します。
管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。 Cisco UCS Central では OS MIB モードだけがサポートされます。
Cisco UCS Central では SNMPv1、SNMPv2c、および SNMPv3 がサポートされます。 SNMPv1 と SNMPv2c は、ともにコミュニティベース形式のセキュリティを使用します。 SNMP を定義する RFC を次に示します。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP セキュリティ機能
SNMP セキュリティ レベルおよび権限
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。 セキュリティ モデルは、選択したセキュリティ レベルと結合され、SNMP メッセージの処理中に適用されるセキュリティ メカニズムを決定します。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。 権限レベルは、メッセージが開示されないよう保護または認証の必要があるかどうかを決定します。 サポートされるセキュリティ レベルは、セキュリティ モデルが設定されているかによって異なります。 SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
SNMP セキュリティ モデルおよびセキュリティ レベル
次の表に、Cisco UCS Centralでサポートされる SNMP セキュリティ モデルとセキュリティ レベルの組み合わせを示します。
表 2 SNMP セキュリティ モデルおよびセキュリティ レベル モデル
レベル
認証
暗号化
結果
v1
noAuthNoPriv
コミュニティ ストリング
No
コミュニティ ストリングの照合を使用して認証します。
v2c
noAuthNoPriv
コミュニティ ストリング
No
コミュニティ ストリングの照合を使用して認証します。
v3
noAuthNoPriv
[Username]
No
ユーザ名の照合を使用して認証します。
v3
authNoPriv
HMAC-MD5 または HMAC-SHA
No
Hash-Based Message Authentication Code(HMAC)メッセージ ダイジェスト 5(MD5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。
v3
authPriv
HMAC-MD5 または HMAC-SHA
DES
HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。
Cisco UCS Central での SNMP サポート
MIB のサポート
Cisco UCS Central は、OS MIB への読み取り専用アクセスをサポートします。 MIB に対して set 操作は使用できません。 Cisco UCS Centralでサポートされている MIB を次に示します。
(注)
Cisco UCS Centralは、IPV6 およびCisco UCS Central MIB をサポートしません。
SNMPv3 ユーザの AES プライバシー プロトコル
Cisco UCS Central は、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠します。 AES が無効であり、プライバシー パスワードが設定されている場合、暗号化に DES が使用されます。
AES-128 設定を有効にし、SNMPv3 ユーザのプライバシー パスワードをインクルードした場合、Cisco UCS Central はプライバシー パスワードを使用して 128 ビット AES キーを生成します。 AES プライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
SNMP ポリシーの設定
はじめる前に手順ドメイン グループで SNMP ポリシーを設定する前に、SNMP ポリシーが最初に作成されていることを確認します。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
次の作業
SNMP トラップおよび SNMP ユーザを作成します。
SNMP トラップの作成
手順
SNMP ユーザの作成
手順
SNMP ポリシーの削除
手順SNMP ポリシーは、ドメイン グループ ルート下にあるドメイン グループから削除されます。 ドメイン グループ ルート下の SNMP ポリシーは、削除できません。
SNMP ポリシーを削除すると、そのポリシー内のすべての SNMP トラップおよび SNMP ユーザ設定が削除されます。
SNMP トラップの削除
手順
SNMP ユーザの削除
手順
System Event Log
Cisco UCS Central は、グローバル システム イベント ログ(SEL)ポリシーをサポートしています。
システム イベント ログ(SEL)には、過不足の電圧、温度イベント、ファン イベント、BIOS からのイベントなど、ほとんどのサーバ関連イベントが記録されます。 SEL は、主にトラブルシューティングのために使用します。 SEL ファイルのサイズは約 40KB で、ファイルがいっぱいになるとそれ以上イベントを記録できません。 新たなイベントを記録できるようにするには、ファイルの中身をクリアする必要があります。 SEL ポリシーを使用して、SEL をリモート サーバにバックアップできます。また、必要に応じて、バックアップ操作後に SEL をクリアすることもできます。 バックアップ操作は、特定のアクションに基づいて起動するか、定期的に実行できます。 SEL のバックアップやクリアは、手動で行うこともできます。
SEL ポリシーの設定
はじめる前に手順ドメイン グループ下で SEL ポリシーを設定する前に、最初にこのポリシーを作成する必要があります。 ドメイン グループ ルート下にあるポリシーは、システムによってすでに作成されており、設定できる状態です。
SEL ポリシーの削除
手順