この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ロールベース アクセス コントロール(RBAC)は、ユーザのロールとロケールに基づいてユーザのシステム アクセスを制限または許可する方法です。ロールによってシステム内でのユーザの権限が定義され、ロケールによってユーザがアクセス可能な組織(ドメイン)が定義されます。権限がユーザに直接割り当てられることはないため、適切なロールとロケールを割り当てることによって個々のユーザ権限を管理できます。
必要なシステム リソースへの書き込みアクセス権限がユーザに与えられるのは、割り当てられたロールによりアクセス権限が与えられ、割り当てられたロケールによりアクセスが許可されている場合に限ります。たとえば、エンジニアリング組織の管理者ロールを与えられたユーザは、エンジニアリング組織のサーバ設定を更新できます。ただし、そのユーザに割り当てられたロケールに財務部門が含まれている場合を除いて、財務部門内のサーバ設定を更新することはできません。
システムにはユーザ アカウントを使ってアクセスします。各 Cisco UCS Central ドメインで最大 128 のユーザ アカウントを設定できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
OpenSSH または SECSH のいずれかの形式の SSH 公開キーで、ユーザ アカウントを設定できます。
Cisco UCS Central 管理者アカウントはデフォルトのユーザ アカウントです。変更または削除することはできません。このアカウントは、システム管理者つまりスーパーユーザ アカウントであり、すべての権限が与えられています。管理者アカウントにはデフォルトのパスワードは割り当てられていません。システムの初期設定時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブで、有効期限がありません。管理者アカウントを非アクティブに設定することはできません。
ローカルの管理者ユーザは、認証がリモートに設定されている場合でも、フェールオーバーのためにログインできます。
ローカル認証されたユーザ アカウントは、Cisco UCS Central ユーザ データベースを介して認証されます。管理者または aaa 権限を持つユーザであれば、誰でもそれを有効または無効にすることができます。ローカル ユーザ アカウントを無効にすると、そのユーザはログインできなくなります。
(注) | Cisco UCS Central では、ローカル ユーザ アカウントを無効にしても、その設定の詳細がデータベースから削除されることがありません。無効ローカル ユーザ アカウントを再度有効にすると、アカウントはユーザ名とパスワードを含め、既存のコンフィギュレーションで再びアクティブになります。 |
リモート認証されたユーザ アカウントは、LDAP を介して認証される Cisco UCS Central ユーザ アカウントです。Cisco UCS ドメイン は、LDAP、RADIUS および TACACS+ をサポートしています。
ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持する場合、ローカル ユーザ アカウントで定義されたロールがリモート ユーザ アカウントに保持された値を上書きします。
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。ユーザ アカウントの有効期限が来ると、そのアカウントは無効になります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
(注) | ユーザ アカウントに有効期限日付を設定した後は、アカウントの有効期限をなくすよう再設定できません。ただし、アカウントの有効期限を可能な限り最も遅い日付に設定することは可能です。 |
ユーザ名は、Cisco UCS Central のログイン ID としても使用されます。Cisco UCS Central ユーザ アカウントにログイン ID を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。
次の語は Cisco UCS でローカル ユーザ アカウントを作成するときに使用できません。
ユーザ ロールには、ユーザに許可される操作を定義する 1 つ以上の権限が含まれます。ユーザごとに 1 つ以上のロールを割り当てることができます。複数のロールを持つユーザは、割り当てられたすべてのロールを組み合わせた権限を持ちます。たとえば、Role1 にストレージ関連の権限が含まれ、Role2 にサーバ関連の権限が含まれている場合、Role1 と Role2 の両方を持つユーザは、ストレージ関連の権限とサーバ関連の権限を持つことになります。
Cisco UCS ドメインは、デフォルトのユーザ ロールを含めて、最大 48 個のユーザ ロールを持つことができます。最初の 48 のユーザ ロールが許可された後に設定されたユーザ ロールは、障害が発生して無効になります。
すべてのロールには、Cisco UCS ドメイン内のすべての設定に対する読み取りアクセス権限が含まれています。読み取り専用ロールを持つユーザは、システム状態を変更できません。
権限を作成したり、既存の権限を変更または削除したり、ロールを削除したりできます。ロールを変更すると、そのロールを持つすべてのユーザに新しい権限が適用されます。権限の割り当ては、デフォルト ロールに定義されている権限に限定されません。つまり、権限を自由に組み合わせて独自のロールを作成できます。たとえば、デフォルトのサーバ管理者ロールとストレージ管理者ロールには、異なる組み合わせの権限が付与されています。しかし、両方のロールの権限を持つサーバおよびストレージ管理者ロールを作成することができます。
(注) | ロールをユーザに割り当てた後で削除すると、そのロールはそれらのユーザ アカウントからも削除されます。 |
AAA サーバ(RADIUS または TACACS+)上のユーザ プロファイルを、そのユーザに付与される権限に対応したロールを追加するように変更します。属性にロール情報が保存されます。AAA サーバでは、要求とともにこの属性が返され、それを解析することでロールが得られます。LDAP サーバでは、ユーザ プロファイル属性内のロールが返されます。
システムには、次のデフォルトのユーザ ロールが用意されています。
ユーザ、ロール、および AAA 設定に対する読み取りと書き込みのアクセス権。その他のシステムに対する読み取りアクセス。
システム全体に対する完全な読み取りと書き込みのアクセス権。このロールは、デフォルトで管理者アカウントに割り当てられます。変更することはできません。
power management 権限による、電源管理操作に対する読み取りと書き込みのアクセス。その他のシステムに対する読み取りアクセス。
ファブリック インターコネクト インフラストラクチャとネットワーク セキュリティ操作に対する読み取りと書き込みのアクセス権。その他のシステムに対する読み取りアクセス。
システムのログ(syslog サーバを含む)と障害に対する読み取りと書き込みのアクセス権。その他のシステムに対する読み取りアクセス。
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
サービス プロファイルのほとんどの側面に対する読み取りと書き込みのアクセス権。ただし、ユーザは vNIC または vHBA を作成、変更、または削除できません。
物理サーバ関連の操作に対する読み取りと書き込みのアクセス。その他のシステムに対する読み取りアクセス。
論理サーバ関連の操作に対する読み取りと書き込みのアクセス。その他のシステムに対する読み取りアクセス。
サーバ セキュリティ関連の操作に対する読み取りと書き込みのアクセス。その他のシステムに対する読み取りアクセス。
ストレージ操作に対する読み取りと書き込みのアクセス権。その他のシステムに対する読み取りアクセス。
Cisco UCS でカスタム ロールを作成するときは次の語を使用できません。
ユーザ ロールを割り当てられたユーザは、権限により、特定のシステム リソースへアクセスしたり、特定のタスクを実行したりできるようになります。次の表に、各権限と、その権限がデフォルトで与えられるユーザ ロールのリストを示します。
ヒント | これらの権限および権限によってユーザが実行できるようになるタスクの詳細情報は、『Privileges in Cisco UCS』は、次の URL で入手可能です。 http://www.cisco.com/en/US/products/ps10281/prod_technical_reference_list.html で利用可能です。 |
ロール |
権限 |
LDAP/RADIUS/TACACS サーバの設定に対するロール |
---|---|---|
AAA アドミニストレータ |
aaa |
aaa |
アドミニストレータ |
admin |
admin |
KVM 管理者 |
kvm |
kvm |
ネットワーク |
pod-qos,pod-config,pod-policy,ext-lan-qos,pod-security, ext-lan-config,ext-lan-policy,ext-lan-security,service-profile-qos,service-profile-network,service-profile-qos-policy,service-profile-network-policy |
network |
オペレーション |
fault, operations |
fault, operations |
Read-Only |
read-only |
read-only |
サーバ計算アドミニストレータ |
service-profile-compute,service-profile-server-oper,service-profile-server-policy |
server-compute |
サーバ機器アドミニストレータ |
server-policy,server-equipment,server-maintenance |
server-equipment |
サーバ プロファイル アドミニストレータ |
service-profile-config,service-profile-server,service-profile-ext-access,service-profile-server-oper,service-profile-server-policy,service-profile-config-policy |
server-profile |
サーバ セキュリティ アドミニストレータ |
server-security,service-profile-security,service-profile-security-policy |
server-security |
統計情報の管理者 |
stats |
stats-management |
ストレージ アドミニストレータ |
ext-san-qos,ext-san-config,ext-san-policy,ext-san-security,service-profile-storage,service-profile-storage-policy |
storage |
特権 |
説明 |
デフォルトのロール割り当て |
---|---|---|
aaa |
システム セキュリティおよび AAA |
AAA アドミニストレータ |
admin |
システム管理 |
アドミニストレータ |
ext-lan-config |
外部 LAN 設定 |
ネットワーク管理者 |
ext-lan-policy |
外部 LAN ポリシー |
ネットワーク管理者 |
ext-lan-qos |
外部 LAN QoS |
ネットワーク管理者 |
ext-lan-security |
外部 LAN セキュリティ |
ネットワーク管理者 |
ext-san-config |
外部 SAN 設定 |
ストレージ アドミニストレータ |
ext-san-policy |
外部 SAN ポリシー |
ストレージ アドミニストレータ |
ext-san-qos |
外部 SAN QoS |
ストレージ アドミニストレータ |
ext-san-security |
外部 SAN セキュリティ |
ストレージ アドミニストレータ |
fault |
アラームおよびアラーム ポリシー |
オペレーション |
kvm |
KVM の起動 |
オペレーション |
operations |
ログおよび Smart Call Home |
オペレーション |
org-management |
組織管理 |
オペレーション |
pod-config |
ポッド設定 |
ネットワーク管理者 |
pod-policy |
ポッド ポリシー |
ネットワーク管理者 |
pod-qos |
ポッド QoS |
ネットワーク管理者 |
pod-security |
ポッド セキュリティ |
ネットワーク管理者 |
power-mgmt |
電源管理操作に対する読み取りと書き込みのアクセス |
ファシリティ マネージャ |
read-only |
読み取り専用アクセス権 読み取り専用は、権限として選択できません。この権限は、すべてのユーザ ロールに割り当てられます。 |
Read-Only |
server-equipment |
サーバ ハードウェア管理 |
サーバ機器アドミニストレータ |
server-maintenance |
サーバ メンテナンス |
サーバ機器アドミニストレータ |
server-policy |
サーバ ポリシー |
サーバ機器アドミニストレータ |
server-security |
サーバ セキュリティ |
サーバ セキュリティ アドミニストレータ |
service-profile-compute |
サービス プロファイルの計算 |
サーバ計算アドミニストレータ |
service-profile-config |
サービス プロファイル設定 |
サーバ プロファイル アドミニストレータ |
service-profile-config-policy |
サービス プロファイル設定ポリシー |
サーバ プロファイル アドミニストレータ |
service-profile-ext-access |
サービス プロファイル エンドポイント アクセス |
サーバ プロファイル アドミニストレータ |
service-profile-network |
サービス プロファイル ネットワーク |
ネットワーク管理者 |
service-profile-network-policy |
サービス プロファイル ネットワーク ポリシー |
ネットワーク管理者 |
service-profile-qos |
サービス プロファイル QoS |
ネットワーク管理者 |
service-profile-qos-policy |
サービス プロファイル QoS ポリシー |
ネットワーク管理者 |
service-profile-security |
サービス プロファイル セキュリティ |
サーバ セキュリティ アドミニストレータ |
service-profile-security-policy |
サービス プロファイル セキュリティ ポリシー |
サーバ セキュリティ アドミニストレータ |
service-profile-server |
サービス プロファイル サーバ管理 |
サーバ プロファイル アドミニストレータ |
service-profile-server-oper |
サービス プロファイル コンシューマ |
サーバ プロファイル アドミニストレータ |
service-profile-server-policy |
サービス プロファイル プール ポリシー |
サーバ セキュリティ アドミニストレータ |
service-profile-storage |
サービス プロファイル ストレージ |
ストレージ アドミニストレータ |
service-profile-storage-policy |
サービス プロファイル ストレージ ポリシー |
ストレージ アドミニストレータ |
ユーザは 1 つ以上のロケールに割り当てることができます。各ロケールでは、ユーザがアクセスできる 1 つ以上の組織(ドメイン)を定義します。通常、アクセスできるのは、ロケールで指定された部門のみに限定されます。ただし、部門をまったく含まないロケールは例外です。このようなロケールは、全部門のシステム リソースへの無制限のアクセスを提供します。
Cisco UCS ドメインは、最大 48 個のユーザ ロケールを持つことができます。最初の 48 のユーザ ロールが許可された後に設定されたユーザ ロケールは、障害が発生して無効になります。
admin または aaa の権限を持つユーザは、組織をその他のユーザのロケールに割り当てることができます。組織の割り当ては、それを行うユーザのロケール内の組織だけに制限されます。たとえば、ロケールにエンジニアリング組織しか含まれていない場合、そのロケールを割り当てられたユーザは、他のユーザにエンジニアリング組織のみを割り当てることできます。
(注) | ロケールを次の権限の 1 つ以上を持つユーザに割り当てることはできません。 |
組織は階層的に管理できます。トップ レベルの組織に割り当てられたユーザは、自動的にその下にあるすべての組織にアクセスできます。たとえば、エンジニアリング組織が、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織で構成されているとします。ソフトウェア エンジニアリング部門のみを含むロケールでは、その部門内のシステム リソースにのみアクセスできます。しかし、エンジニアリング部門を含むロケールでは、ソフトウェア エンジニアリング部門とハードウェア エンジニアリング部門の両方のリソースにアクセスできます。
ユーザは、1 つ以上の組織を作成できます。各組織では、サブ組織、障害、イベント、UUID 接尾辞プール、および UUID のブロックが定義されます。
Cisco UCS 組織は、ユーザによって階層的に管理されます。ルート レベルの組織に割り当てられたユーザは、自動的にすべての組織およびその下にあるドメイン グループにアクセスできます。