エクスポートポリシーコマンドを特定のユーザグループに制限するにはどうすればよいですか?
環境
- ONTAP 9
- ロールベース アクセス制御(RBAC)
回答
- 最初に、コマンドディレクトリ 「
DEFAULTアクセス権をallに設定して、ユーザカテゴリ用のセキュリティロールを作成します。
例:
::> security login role create -role restrict -cmddirname DEFAULT -access all
- 次に、同じロールのコマンドディレクトリ 「
vserver export-policyアクセスセットをnoneに追加します。
::> security login role create -role restrict -cmddirname "vserver export-policy" -access none -query ""
- 構成を検証します。
::> security login role show -role restrict
Role Command/ Access Vserver Name Directory Query Level ---------- ------------- --------- ----------------------------------- -------- aff320-2n-rtp-2 restrict DEFAULT all vserver export-policy none
テストユーザまたはテストグループを作成し、作成したロールをこのユーザに関連付けます。
::> security login create -user-or-group-name test -application ssh -authentication-method password -role restrict
Please enter a password for user 'test':
Please enter it again:user:testで新しいセッションにログインして検証し、vserver export-policyコマンドを実行します。このコマンドは次のエラーで失敗します。
::> whoami (security login whoami) User: test Role: restrict ::> vserver export Error: "export" is not a recognized command ::> vserver export-policy show Error: "export-policy" is not a recognized command