Cisco HyperFlex ユーザー管理の概要
HX Data Platform でアクションを実行したり、コンテンツを表示できるユーザーのタイプには次のものがあります。
-
admin:Cisco HX Data Platform に含まれている定義済みユーザー。パスワードは HX Data Platform の作成時に設定されます。同じパスワードが
root
にも適用されます。このユーザには読み取り権限と変更権限が付与されます。 -
root:Cisco HX Data Platform に含まれている定義済みユーザー。パスワードは HX Data Platform の作成時に設定されます。同じパスワードが
admin
にも適用されます。このユーザには読み取り権限と変更権限が付与されます。 -
administrator:作成された Cisco HX Data Platform ユーザー。このユーザは vCenter で作成され、RBAC ロール
administrator
がこれに割り当てられます。このユーザには読み取り権限と変更権限が付与されます。パスワードは、ユーザの作成時に設定されます。 -
read-only:作成された Cisco HX Data Platform ユーザー。このユーザは vCenter で作成され、RBAC ロール
read-only
がこれに割り当てられます。このユーザには読み取り権限だけが付与されます。パスワードは、ユーザの作成時に設定されます。
HX インターフェイス |
admin |
root |
hx_admin |
hx_readonly |
---|---|---|---|---|
HX Data Platform インストーラ |
必須 |
オプション |
無効 |
無効 |
HX 接続 |
ほとんどの HX タスクを実行できます。 ログインする際は、
|
無効 |
ほとんどの HX タスクを実行できます。 優先されるユーザです。 |
モニタリング情報のみを表示できます。 HX のタスクを実行することはできません。 優先されるユーザです。 |
ストレージ コントローラ VM の |
ほとんどの HX タスクを実行できます。 |
ほとんどの HX タスクを実行できます。 |
ログインする際は、
|
HX のタスクを実行することはできません。 ログインする際は、
|
vCenter を介した HX Data Platform プラグイン |
ほとんどの HX タスクを実行できます。 |
ほとんどの HX タスクを実行できます。 |
ほとんどの HX タスクを実行できます。 VCenter SSO ユーザです。 |
VCenter 情報のみを表示できます。 HX Data Platform プラグインを表示できません。 VCenter SSO ユーザです。 |
HX REST API |
ほとんどの HX タスクを実行できます。 ログインする際は、
|
ほとんどの HX タスクを実行できます。 ログインする際は、
|
無効 |
無効 |
ユーザ管理の用語
-
認証:ログイン クレデンシャルに関する処理。これらのプロセスは、通常、ユーザ名とパスワードに基づいて、指定されたユーザのユーザ クレデンシャルを確認します。一般に、認証によってユーザ クレデンシャルを確認し、認証されたユーザにセッションを関連付けます。
-
承認:アクセス権限に関する処理。これらのプロセスでは、ユーザのアイデンティティに基づき、ユーザ/クライアント アプリケーションに対して、管理対象エンティティの作成、読み取り、更新、削除、あるいはプログラムの実行などのアクションを許可します。承認により、認証済みユーザがサーバ上で何を実行できるかが定義されます。
-
アカウンティング:ユーザ アクションの追跡に関する処理。これらのプロセスでは、レコードを保持し、ログイン セッションおよびコマンドの実行を含むユーザ操作を追跡します。情報はログに保存されます。これらのログは、Cisco HX 接続 または他の Cisco HX データ プラットフォーム インターフェイスを通じて生成することができるサポート バンドルに含まれます。
-
アイデンティティ(ID):ユーザ個人にアイデンティティが与えられ、特定の権限を持つロールがそれに割り当てられます。
-
権限:リソースを使用するためにロールに与えられる設定。これは、ロールと、リソースおよびリソースによって公開される機能との間のリンクです。たとえば、データストアはリソースであり、変更ロールにはデータストアをマウントする権限が付与されますが、読み取り専用ロールでは単にそのデータストアの存在を表示できるだけです。
-
特権:アイデンティティとアプリケーションの間のリンク。アプリケーションとの特定のインタラクションのコンテキストで使用されます。例:仮想マシンの電源をオンにする、データストアを作成する、データストアの名前を変更する。
-
リソース:Cisco HX プラットフォーム全体であり、その機能および管理制御は、GET、POST、PUT、DELETE、HEAD などの HTTP 動詞を使用して HTTP 経由で公開されています。データストア、ディスク、コントローラ ノード、クラスタ属性はすべて、REST API を使ってクライアント アプリケーションに公開されるリソースです。
-
ロール:権限レベルを定義します。各アプリケーション機能は、1 つまたは複数のロールによって実行される可能性があります。例:管理者、仮想マシン管理者、リソース プール管理者。ロールは特定の ID に割り当てられます。
AAA アカウンティングの監査ログ
AAA アカウンティングをサポートするため、Cisco HX データ プラットフォーム ではユーザ アクティビティの監査ログを実装しています。これらのログは、生成されたサポート バンドルに含まれます。
Cisco HX データ プラットフォーム を含む HX 接続 インターフェイスを介したサポート バンドルの生成については、『Cisco HyperFlex システム トラブルシューティング ガイド』を参照してください。
-
stMgrAudit.log:
stcli
アクティビティの監査記録を含みます。サンプル エントリ。キーワード
Audit
に注意してください。2017-03-27-22:10:02.528 [pool-1-thread-1] INFO Audit - 2017-03-27-03.10.02 127.0.0.1 --> 127.0.0.1 POST /stmgr 200 : root 27ms
このファイルには、その他の情報も含まれます。監査イベントに絞り込むには、スクリプトを使用して単語
Audit
をフィルタリングします。 -
audit.log:REST API アクティビティの監査レコードが格納されます。
サンプル エントリ。ユーザ名
administrator@vsphere.local
に注意してください。2017-03-29-01:47:28.779 - 127.0.0.1 -> 127.0.0.1 - GET /rest/clusters 200; administrator@vsphere.local 454ms