Cluster-Mode vServer Management ：管理ロールの設定方法

に適用されます

clustered Data ONTAP 8.1 

説明

Data ONTAP 8.1 Cluster-Mode では、特定の Vserver のみを管理する機能が追加されました。

たとえば、ストレージシステムの管理者がユーザのログインを許可し、特定の Vserver のオブジェクトの表示や管理のみを許可する場合、 SVM Management LIF および RBAC の概念を使用してこれを実行できます。

用語

アクセスレベル
アクセスレベルでは、ユーザがアクセスできるレベルを指定します。アクセスレベルには、 readonly 、 all 、 none があります。

コマンドディレクトリ
コマンドディレクトリは、 cluster-admin がユーザに対してアクセスを許可するコマンドのサブセットです。これらのコマンドは非常に詳細なレベルで指定できますが、コマンドディレクトリ構造全体を含める必要があります。

指定されたコマンドの一部は、 Vserver 管理でサポートされていない場合があります。この場合、次の出力が表示されます。

::> security login role create -role test -cmddirname "job" -access readonly -vserver vsRBAC

Warning: "test" role has no access to the following commands (they are unsupported for Vserver administrators):
job schedule show-jobs

::> security login role create -role test -cmddirname "statistics show" -access readonly -vserver vsRBAC

Error: command failed: invalid operation

vsadmin
vsadmin ユーザはデフォルトでロックされているため、使用できるようにロックを解除する必要があります。

デフォルトでは、次のロールが vsadmin に許可されます。

::> security login role show -vserver vsRBAC -role vsadmin
             Role          Command/                           Access
Vserver      Name          Directory                              Query Level
-------   -------------  --------------------------------             -------------------
vsRBAC     vsadmin        DEFAULT                          none
vsRBAC    vsadmin        dashboard health vserver                  readonly
vsRBAC     vsadmin        job                            all
vsRBAC    vsadmin        job schedule                       none
vsRBAC    vsadmin             lun                            all
vsRBAC    vsadmin        network connections              readonly
vsRBAC    vsadmin        network connections active show-clients    none
vsRBAC    vsadmin        network connections active show-protocols  none
vsRBAC    vsadmin        network connections active show-services   none
vsRBAC    vsadmin        network interface               readonly
vsRBAC    vsadmin        network interface failover-groups       none
vsRBAC    vsadmin        network routing-groups            readonly
vsRBAC    vsadmin             security login password            all
vsRBAC    vsadmin        security login publickey           all
vsRBAC    vsadmin        security login role show-ontapi        all
vsRBAC    vsadmin        set                      all
vsRBAC    vsadmin        version                    all
vsRBAC    vsadmin             volume                                     all
vsRBAC    vsadmin        volume copy                                none
vsRBAC    vsadmin             volume efficiency                          none
vsRBAC    vsadmin        volume move                  none
vsRBAC     vsadmin        vserver                    readonly
vsRBAC    vsadmin        vserver cifs                 all
vsRBAC    vsadmin        vserver export-policy             all
vsRBAC     vsadmin        vserver fcp                  all
vsRBAC    vsadmin        vserver iscsi                              all
vsRBAC    vsadmin        vserver locks                 all
vsRBAC    vsadmin        vserver name-mapping             all
vsRBAC    vsadmin        vserver nfs                  all
vsRBAC    vsadmin        vserver services                           all
vsRBAC    vsadmin        vserver services kerberos-realm        none
vsRBAC     vsadmin        vserver services ldap client         readonly
vsRBAC    vsadmin        vserver services web                       none
33 entries were displayed.