CONTAP-173273: ONTAP のカスタムロールを持つドメインユーザが、同じロールを持つローカルユーザと同じ認可を受けられない
問題
- カスタムロールを持つONTAPのドメインユーザは、同じロールを持つローカルユーザと同じ認可を受けられません
- この問題は、csroleが割り当てられたADアカウントを使用し、ドキュメント(https://docs.netapp.com/us-en/cloudi...-management-ip)に従って以下の詳細でONTAP 9.13.1用のSWS ONTAP SVMデータコレクタをドメインユーザで使用する際に発生します。
- security login role create -role csrole -cmddirname DEFAULT -access readonly
- security login role create -role csrole -cmddirname "vserver fpolicy" -access all
- security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
- security login role create -role csrole -cmddirname "event catalog" -access all
- security login role create -role csrole -cmddirname "event filter" -access all
- security login role create -role csrole -cmddirname "event notification destination" -access all
- security login role create -role csrole -cmddirname "event notification" -access all
- security login role create -role csrole -cmddirname "security certificate" -access all_*
- csroleを持つローカルユーザー(csuser)は正常に動作しましたが、顧客がcsroleを持つADユーザーに切り替えるとすぐに動作しなくなりました。
- SWSエージェントのデータソースログ(dsc.log)には、「Ontap type is not decided」と繰り返し記録されます。
- apache_access.logは、csroleを持つADユーザの場合、9.13.1で「system-get-version」zapiコールにアクセスできないことを示しています。
- たとえば、vserver showなどの一部のコマンドは、ローカルユーザでONTAP CLIにログインした場合は結果が得られますが、ドメインユーザでクラスタにログインした場合は使用できません。