メインコンテンツまでスキップ

特定のデバイスへのアクセス制御

デバイスが最初に Lenovo XClarity Administrator によって管理される際、役割グループの事前定義済みセットにはデフォルトでデバイスにアクセスするアクセス権限があります。特定の管理対象デバイスにアクセスできる役割グループを変更できます。特定の役割グループにアクセス権限が付与されると、その役割グループのメンバーになっているユーザーのみがそれらの特定のデバイスを表示および操作できます。

始める前に

lxc-supervisorlxc-security-admin、または lxc-recovery の権限を持つユーザーのみが、この操作を実行できます。

このタスクについて

アクセス制御は、個々のデバイスで設定されています。ラックおよびリソース・グループなどのコンテナには設定されません。

シャーシまたはエンクロージャー内のコンポーネントでは、シャーシまたはエンクロージャー内のコンポーネントを表示するユーザーは、少なくともそのシャーシまたはエンクロージャーに対する読み取り専用アクセスが必要です。シャーシまたはエンクロージャに対する読み取り専用アクセス以上の権限がないユーザーでも、一部のビューではシャーシ・コンポーネントが表示されますが、すべてのビューで表示されるとは限りません。

lxc-supervisor 権限を持つユーザーは、そのリソースへのアクセス権限が特に付与されている役割グループに属しているかどうかにかかわらず、すべてのリソースを表示および操作できます。lxc-supervisor 役割グループの任意のリソースへのアクセスを削除することはできません。

ユーザーが、特定の管理対象デバイスへのアクセス権限を持つ役割グループのメンバーでない場合は、そのユーザーはその特定のデバイスを表示または操作できません。これには、Lenovo XClarity Administrator 経由の管理コントローラー Web インターフェースの起動も含まれます。Flex および System x デバイスの場合、アクセス権限がない CMM または管理コントローラーに直接ログインすることもできません。

デフォルトのアクセス制御設定は、デバイスが最初に XClarity Administrator に管理される際に、そのデバイスのアクセス権限を設定するために使用されます。また、特定のデバイスのアクセス権限をデフォルト設定にリセットする場合にも使用されます。デフォルトのアクセス制御設定を変更しても、すでに管理対象になっているデバイスのアクセス権限は自動的に変更されません。

重要

  • ユーザーが 1 つ以上の役割グループのメンバーであり、その役割グループが異なるデバイスに割り当てられている場合は、ユーザーに許可されている操作が各デバイスで異なる場合があります。たとえば、ユーザーがデフォルトの役割グループ LXC-FW-ADMIN および LXC-OS-ADMIN のメンバーであり、LXC-FW-ADMIN にはサーバー A へのアクセス権限が付与されているが LXC-OS-ADMIN にはサーバー A へのアクセス権限が付与されていない場合、そのユーザーはサーバー A のファームウェアを更新することはできますが、サーバー A にオペレーティング・システムをデプロイすることはできません。LXC-OS-ADMIN にサーバー B へのアクセス権限が付与されているが LXC-FW-ADMIN にはサーバー B へのアクセス権限が付与されていない場合、同じユーザーはサーバー B にオペレーティング・システムをデプロイすることはできますが、サーバー B のファームウェアを更新することはできません。

  • (Flex シャーシ内のサーバーやスイッチ) など、親リソースを持つデバイスへのアクセスに制限がある場合、ユーザーには、デバイスと完全に対話するために、親リソースに対する少なくとも読み取り専用のアクセス許可が必要です。ユーザーが親ではなくデバイスに対して少なくとも読み取り専用アクセスを持つ場合、ユーザーには装置インベントリーは表示されませんが、ジョブ、イベントなど、一部のビューでデバイスについて表示できる場合があります。

    たとえば、親の役割グループを作成し、その役割グループに lxc-operator の役割を割り当てることができます。該当する役割グループ内のいずれかの子 (Flex シャーシ内のサーバー、スイッチなど) にアクセスできるすべてのユーザーが含まれます。次に、親にアクセスできるいずれかのグループとしてその役割グループを含めます。

手順

特定のデバイスに役割グループを関連付けてそのデバイスへのアクセスを制御するには、以下の手順を実行します。

  1. Lenovo XClarity Administrator のメイン・メニューで、「管理」 > 「セキュリティー」の順にクリックします。
  2. 左ナビゲーション・ペインで、「リソース・ビュー」をクリックします。「リソース・ビュー」ページが表示されます。

    テーブルの列をソートすると特定のデバイスを見つけやすくなります。さらに、「リソース・タイプ」ドロップダウン・リストでデバイス・タイプを選択したり、「役割グループ」ドロップダウン・メニューで役割グループを選択したり、「リソース・グループ」ドロップダウン・メニューでリソース・グループを選択したり、「フィルター」フィールドにテキスト (リソース名やタイプなど) を入力したりして、選択された条件に一致するデバイスのみをリストできます。

  3. アクセスを制御するデバイスを 1 つ以上選択します。
  4. 編集」アイコン (「編集」アイコン) をクリックします。「リソース名」フィールドにターゲット・デバイスがリストされた「リソースの編集」ダイアログが表示されます。
  5. 役割グループ」ドロップダウン・リストで、ターゲット・デバイスにアクセスを許可する役割グループを選択します。
    デバイスに親リソース (たとえば、Flex シャーシ内のサーバーまたはスイッチ) がある場合、デバイス (右の列) と親リソース (左の列) の両方に対するアクセスを指定できます。
  6. 公開アクセス」を「No」に設定します。これにより、選択した役割グループのメンバーであるユーザーのみが、ターゲット・デバイスにアクセスできます。
  7. 保存」をクリックします。
  8. アクセス権限の割り当てが完了したら、「無効」トグルをクリックして「リソース・アクセス制御」を有効に変更します。

    リソース・アクセス制御は、特定のデバイスへのアクセスを構成する前でも構成した後でも、いつでも有効にできます。この設定が有効な場合、表に表示された構成が有効になります。これには、そのデバイスへのアクセスが構成されているグループを持たないデバイスへのスーパーバイザー以外のユーザーのアクセスの拒否も含まれます。

終了後

また、以下の操作を実行して、デバイスへのアクセスを制御することもできます。

  • デフォルトの役割グループおよび公開アクセスの設定のアクセス権限を変更するには、「編集」アイコン (「編集」アイコン) をクリックしてから、「デフォルトにリセット」をクリックします。

  • デフォルトの役割グループおよび公開アクセスの設定を変更します (デフォルトのアクセス権限の変更を参照)。

  • リソース・アクセス制御を無効にするには、「有効」トグルをクリックして「リソース・アクセス制御」を無効に変更します。これにより、すべての役割グループがすべての管理対象デバイスにアクセスできます。