2.6.1 アカウント管理
ETERNUS DXでは、ユーザーアカウント作成時に役割(ロール)とアクセス権限を割り当て、ユー
ザーごとに利用できる機能範囲を設定できます。
ストレージ管理者の権限機能を用途ごとに細分化し、管理者には必要な最小権限だけ与えることに よって、不要な機能アクセスによるオペレーションミスの削減、管理工数の削減、およびセキュリティ の向上を図ることができます。
図 2.40 アカウント管理
ࢩࢫࢸ࣒⟶⌮ RAID⟶⌮
⨨⟶⌮
ࢭ࢟ࣗࣜࢸタᐃ
࣮ࣘࢨ࣮
࢝࢘ࣥࢺタᐃ
A B C
D E F
࣮ࣘࢨ࣮ࡈ⏝ྍ⬟࡞ᶵ⬟
⠊ᅖࢆタᐃࡋࠊせࢡࢭࢫࢆ
ETERNUS DX ๐ῶ
≧ែ☜ㄆ
Monitor Admin StorageAdmin
AccountAdmin SecurityAdmin Maintainer
ETERNUS DXに設定可能なユーザーアカウント数は最大60です。
同時に装置にログインできるユーザー数はETERNUS Web GUI、ETERNUS CLIそれぞれで最大16 ユーザーです。
ユーザーアカウントに付加した役割によって、ログオン後に表示されるメニューが異なります。
• 役割と機能範囲
ETERNUS DXでは7種類のデフォルトロールがあります。役割と利用可能な機能範囲(カテゴ
リー)を以下の表に示します。
表 2.22 デフォルトロールの機能範囲
カテゴリー
ロール
Monitor Admin Storage Admin
Account Admin
Security
Admin Maintainer Software
(*1)
状態表示 ¡ ¡ ¡ ´ ¡ ¡ ´
RAIDグループ設定 ´ ¡ ¡ ´ ´ ¡ ´
NAS設定 ´ ¡ ¡ ´ ´ ¡ ´
ボリューム登録・変更 ´ ¡ ¡ ´ ´ ¡ ´
ボリューム削除・フォーマット ´ ¡ ¡ ´ ´ ¡ ´
ホスト接続設定 ´ ¡ ¡ ´ ´ ¡ ´
アドバンスト・コピー設定 ´ ¡ ¡ ´ ´ ¡ ´
コピーセッション設定 ´ ¡ ¡ ´ ´ ¡ ´
ストレージマイグレーション設 定
´ ¡ ¡ ´ ´ ¡ ´
装置設定 ´ ¡ ´ ´ ´ ¡ ´
ユーザー設定 ´ ¡ ´ ¡ ´ ´ ´
認証・役割設定 ´ ¡ ´ ¡ ´ ´ ´
セキュリティ設定 ´ ¡ ´ ´ ¡ ´ ´
保守情報 ´ ¡ ´ ´ ¡ ¡ ´
ファームウェア管理 ´ ¡ ´ ´ ´ ¡ ´
保守作業 ´ ´ ´ ´ ´ ¡ ´
¡:サポートカテゴリー ´:対象外
*1: 外部ソフトウェア専用のロールです。「Software」を割り当てたユーザーアカウントは、
ETERNUS Web GUIおよびETERNUS CLIでは使用できません。
• ライセンスの登録が必要な機能を使用する場合は、該当するライセンス登録機能をサポートする カテゴリーの選択が必要です。
• デフォルトロールの削除、変更はできません。
• 役割設定時の機能カテゴリーは変更できません。
• ユーザーアカウント設定時、役割付与は必須です。
2.6.2 ユーザー認証
ETERNUS DXへのログオン認証機構には、内部認証と外部認証があります。外部認証としては、
RADIUS認証を使用できます。
ここで説明しているユーザー認証機能は、装置設定、および運用管理を行う際に、運用管理LANを経
由してETERNUS DXにアクセスする際に使用できます。
●
内部認証内部認証は、ETERNUS DXの認証機能を使用して行います。
以下の認証機能は、運用管理ソフトウェアからLAN経由でETERNUS DXに接続する場合にも使用で きます。
• ユーザーアカウント認証
ETERNUS DXに登録したユーザーアカウント情報を使用して照合を行い認証します。ETERNUS
DXに対してアクセス可能なユーザーアカウントを60個まで設定できます。
• SSL認証
ETERNUS Web GUIおよびSMI-Sでは、SSL/TLSを使用したHTTPS接続をサポートしています。
ネットワーク上のデータは暗号化されるため、セキュリティを確保できます。接続に必要なサーバ証
明書はETERNUS DX内で自動生成されます。
• SSH認証
ETERNUS CLIではSSH接続をサポートしているため、ネットワーク上のデータを暗号化して送受
信できます。SSH用のサーバ鍵は装置ごとに異なり、サーバ証明書が更新されるとサーバ鍵も併せ て更新されます。
SSH接続の認証方式には、パスワード認証とクライアント公開鍵認証があります。
サポートしているクライアント公開鍵の種類を以下に示します。
表 2.23 クライアント公開鍵(SSH認証)
公開鍵の種類 暗号強度(bit)
IETF style DSA for SSH v2 1024、2048、4096
IETF style RSA for SSH v2 1024、2048、4096
●
外部認証外部認証では、ETERNUS DXの外部に設置した認証サーバに登録されたユーザーアカウント情報
(ユーザー名、パスワード、ロール名)を使用して認証を行います。RADIUS認証の対象は、ETERNUS
DXのETERNUS Web GUIおよびETERNUS CLIのログイン認証、および運用管理ソフトウェアから
LAN経由でETERNUS DXに接続する場合の認証です。
• RADIUS認証
RADIUS認証は、Remote Authentication Dial-In User Service(RADIUS)プロトコルを用いて、リ モート・アクセスにおける認証情報を一元管理する仕組みです。
ETERNUSシステム外部に設置したRADIUS認証サーバに認証要求を行います。認証方法はCHAP
とPAPから選択できます。ユーザーアカウント情報の冗長または分散を目的として、RADIUS認証
サーバを2 台(プライマリサーバとセカンダリサーバ)まで接続できます。プライマリのRADIUS
サーバで認証に失敗した場合、セカンダリのRADIUSサーバでの認証を試みます。
ユーザーのロールは、サーバからアクセス許可応答(Access-Accept)のVendor Specific Attribute
(VSA)に設定されます。VSAに設定する構文については、以下の表を参照してください。
項目 サイズ
(オクテット) 値 説明
Type 1 26 Vendor Specific Attributeを示す属性番号
Length 1 7以上 属性サイズ(サーバが算出)
Vendor-Id 4 211 Fujitsu Limited(SMI Private Enterprise
Code)
Vendor type 1 1 Eternus-Auth-Role
Vendor length 1 2以上 Vendor type以降の属性サイズ(サーバが
算出)
Attribute-Specific 1以上 ASCII文字 認証に成功したユーザーに割り当てられ
たロール名(*1)
*1: サーバに設定するロール名はETERNUS DXに登録されているロール名と完全一致している
必要があります。大文字小文字を区別するので正確にロール名を入力してください。
例:RoleName0
• ETERNUS Web GUI、ETERNUS CLI、およびSMI-Sで、RADIUS認証のエラー発生時の動作に
内部認証を行わない設定をした場合、RADIUS認証に失敗すると、ETERNUS Web GUIおよび
ETERNUS CLIにログオンできなくなります。
ネットワークの問題が原因でエラーが発生した場合に内部認証を行う設定をした場合、RADIUS 認証に失敗し、プライマリサーバとセカンダリサーバの両方、またはどちらか一方で通信エラー が発生していた場合、内部認証を行います。
• RADIUSサーバから応答がない場合、「RADIUS設定」の設定項目「タイムアウト時間(秒)」で
設定した時間(秒)の間、認証をリトライします。「タイムアウト時間(秒)」で設定した時間(秒)
内に認証に成功しなかった場合、ETERNUS DXはRADIUS認証に失敗したとみなします。
• RADIUS認証を行う場合、サーバから受信したロール名が装置に設定されていないと、RADIUS
認証に失敗します。
2.6.3 監査ログ
ETERNUS DXでは、管理者のアクセス情報や設定変更情報を監査ログとしてSyslogサーバに送信で
きます。
監査ログは、ETERNUS DXを利用した際に実行した操作と、それに伴うシステムの動作を記録した監 査証跡情報のことで監査に必要となる情報です。
監査ログ機能を使用すると、システムに影響を与える可能性のあるすべての操作および不正アクセス を監視できます。
監査ログの対応プロトコルは、Syslog(RFC3164およびRFC5424)です。
送信する情報は、装置内部には保持せず、外部への送信にはSyslogプロトコルを使用します。送信先 サーバは、イベント通知用Syslogサーバとは別に、2台のSyslogサーバを設定できます。
図 2.41 監査ログ
ࢩࢫࢸ࣒⟶⌮⪅
ࣟࢢࣥ
ࣟࢢ࢘ࢺ タᐃኚ᭦
Ў Ў
⨨ྡ
࣮ࣘࢨ࣮㸭࣮ࣟࣝ
ฎ⌮㛫 ฎ⌮ෆᐜ ฎ⌮⤖ᯝ
࡞
┘ᰝࣟࢢ
ETERNUS DX Syslogࢧ࣮ࣂ