Cluster-Mode vServer Management :管理ロールの設定方法
に適用されます
clustered Data ONTAP 8.1
説明
Data ONTAP 8.1 Cluster-Mode では、特定の Vserver のみを管理する機能が追加されました。
たとえば、ストレージシステムの管理者がユーザのログインを許可し、特定の Vserver のオブジェクトの表示や管理のみを許可する場合、 SVM Management LIF および RBAC の概念を使用してこれを実行できます。
用語
アクセスレベル
アクセスレベルでは、ユーザがアクセスできるレベルを指定します。アクセスレベルには、 readonly 、 all 、 none があります。
コマンドディレクトリ
コマンドディレクトリは、 cluster-admin がユーザに対してアクセスを許可するコマンドのサブセットです。これらのコマンドは非常に詳細なレベルで指定できますが、コマンドディレクトリ構造全体を含める必要があります。
指定されたコマンドの一部は、 Vserver 管理でサポートされていない場合があります。この場合、次の出力が表示されます。
::> security login role create -role test -cmddirname "job" -access readonly -vserver vsRBAC
Warning: "test" role has no access to the following commands (they are unsupported for Vserver administrators):
job schedule show-jobs
::> security login role create -role test -cmddirname "statistics show" -access readonly -vserver vsRBAC
Error: command failed: invalid operation
vsadmin
vsadmin ユーザはデフォルトでロックされているため、使用できるようにロックを解除する必要があります。
デフォルトでは、次のロールが vsadmin に許可されます。
::> security login role show -vserver vsRBAC -role vsadmin
Role Command/ Access
Vserver Name Directory Query Level
------- ------------- -------------------------------- -------------------
vsRBAC vsadmin DEFAULT none
vsRBAC vsadmin dashboard health vserver readonly
vsRBAC vsadmin job all
vsRBAC vsadmin job schedule none
vsRBAC vsadmin lun all
vsRBAC vsadmin network connections readonly
vsRBAC vsadmin network connections active show-clients none
vsRBAC vsadmin network connections active show-protocols none
vsRBAC vsadmin network connections active show-services none
vsRBAC vsadmin network interface readonly
vsRBAC vsadmin network interface failover-groups none
vsRBAC vsadmin network routing-groups readonly
vsRBAC vsadmin security login password all
vsRBAC vsadmin security login publickey all
vsRBAC vsadmin security login role show-ontapi all
vsRBAC vsadmin set all
vsRBAC vsadmin version all
vsRBAC vsadmin volume all
vsRBAC vsadmin volume copy none
vsRBAC vsadmin volume efficiency none
vsRBAC vsadmin volume move none
vsRBAC vsadmin vserver readonly
vsRBAC vsadmin vserver cifs all
vsRBAC vsadmin vserver export-policy all
vsRBAC vsadmin vserver fcp all
vsRBAC vsadmin vserver iscsi all
vsRBAC vsadmin vserver locks all
vsRBAC vsadmin vserver name-mapping all
vsRBAC vsadmin vserver nfs all
vsRBAC vsadmin vserver services all
vsRBAC vsadmin vserver services kerberos-realm none
vsRBAC vsadmin vserver services ldap client readonly
vsRBAC vsadmin vserver services web none
33 entries were displayed.