メインコンテンツまでスキップ

カスタム役割の作成

役割は、特定の操作を実行するための権限セットまたは許可です。Lenovo XClarity Administratorには、いくつかの事前定義済みの (デフォルト) の役割が含まれています。また、ユーザーが実行できる固有の権限セットを強制するカスタムの役割を作成できます。

始める前に

このタスクを実行するには、lxc-supervisor 権限または lxc-security-admin 権限が必要です。

このタスクについて

ベスト・プラクティス
カスタム・ロールを作成するには、作成する役割に最も近い事前定義済みロールを 1 つ以上選択し、制限する個々の権限をクリアします。これにより、意図した権限がすべて取得され、役割が依存権限を使用して正しく構築されるようになります。
一部の XClarity Administrator の権限は、管理対象デバイスでアクションを実行するために対応する管理モジュール権限に依存します (管理モジュール v1 の権限 および 管理モジュール v2 の権限 参照)。XClarity Administrator 権限は、管理対象デバイスでアクションを要求できる場合がありますが、CMM、IMM、または XCC に対する対応する権限を持っていない場合、デバイスは要求を拒否します。たとえば、管理対象デバイスで電源操作を実行するためのカスタム役割を作成した場合は、lxc-inventory-modify device-power state 権限を次のように追加します。
  • ラック内の ThinkSystem サーバーについては、mm-power-and-restart-access-v1 の権限を追加します。

  • Flex System シャーシ全体 (シャーシ内のデバイスを含む) については、mm-power-and-restart-access-v1 の権限を追加します。

  • シャーシ内の ThinkSystem サーバーの場合は、mm-power-and-restart-access-v1mm-blade-operator-v2、およびターゲット・サーバーと一致する mm-blade-#-scope-v2 権限を追加します。

すべての役割に読み取り専用権限が含まれています。どのカスタム役割も、lxc-operator 役割よりも制限を厳しくすることはできません。

ユーザーが特定の操作を実行する権限を持っていない場合、メニュー項目、ツールバー・アイコン、およびそれらの操作を実行するボタンは無効になります (淡色表示されます)。

XClarity Administrator は、役割と同じ名前を使用して、定義済みの各役割に役割グループを提供します。作成する新しい役割の役割グループを作成することを検討してください。役割グループの詳細については、カスタム役割グループの作成を参照してください。

  • lxc-supervisor。この役割が割り当てられたユーザーは、管理サーバーとすべての管理対象デバイスで、利用可能なすべての操作にアクセスして構成および実行できます。

    この役割が割り当てられたユーザーは、常にすべての管理対象デバイスにアクセスできます。この役割でデバイスへのアクセスを制限することはできません。

  • lxc-admin。この役割が割り当てられたユーザーは、管理サーバーで、セキュリティー関連以外の設定の変更やセキュリティー関連以外のすべての操作を実行できます。たとえば、管理サーバーの更新や再起動が可能です。また、この役割では、管理サーバーと管理対象デバイスに関するすべての構成とステータス情報を表示できる権限も付与されます。
  • lxc-security-admin。この役割が割り当てられたユーザーは、管理サーバーと管理対象デバイスで、セキュリティー設定の変更やセキュリティー関連の操作を実行できます。また、この役割では、管理サーバーと管理対象デバイスに関するすべての構成とステータス情報を表示できる権限も付与されます。

    この役割が割り当てられたユーザーは、常にすべての管理対象デバイスにアクセスできます。この役割でデバイスへのアクセスを制限することはできません。

  • lxc-hw-admin。この役割が割り当てられたユーザーは、管理対象デバイスで、セキュリティー以外の設定の変更やセキュリティー関連以外の操作を実行できます。たとえば、管理対象デバイスの更新や再起動が可能です。また、この役割では、管理サーバーとすべての管理対象デバイスに関するすべての構成とステータス情報を表示できる権限も付与されます。
  • lxc-fw-admin. この役割が割り当てられたユーザーは、ファームウェア・ポリシーを作成し、管理対象デバイスにそのポリシーをデプロイできます。この役割を割り当てられていないユーザーは、ポリシー情報の表示のみができます。
  • lxc-os-admin. この役割が割り当てられたユーザーは、オペレーティング・システムおよびデバイス・ドライバーの更新を管理対象サーバーにダウンロードし、デプロイできます。この役割が割り当てられていないユーザーは、オペレーティング・システムおよびデバイス・ドライバーの情報の表示のみを行うことができます。
  • lxc-service-admin。この役割が割り当てられたユーザーは XClarity Administrator および管理対象デバイスのサービス・ファイルを収集およびダウンロードできます。この役割が割り当てられていないユーザーは、サービス・データを収集できますが、ダウンロードできません。
  • lxc-hw-manager。この役割が割り当てられたユーザーは、新しいデバイスを検出し、それらのデバイスを XClarity Administrator の管理制御下に置くことができます。この役割を持つユーザーは、管理サーバーと管理対象デバイスで、新しいデバイスの検出と管理に必要な操作を超えた操作を実行したり、構成設定を変更したりすることができません。
  • lxc-operator。この役割が割り当てられたユーザーは、管理サーバーと管理対象デバイスに関するすべての構成とステータス情報を表示できます。この役割のユーザーは、管理サーバーと管理対象デバイスで、操作を実行したり構成設定を変更したりできません。
  • lxc-recovery。この役割が割り当てられたユーザーは、管理サーバーで、セキュリティー設定の変更やセキュリティー関連の操作を実行できます。認証方式が外部 LDAP サーバーに設定されている場合でも、XClarity Administrator に直接認証することもできます。この役割は、「ログイン資格情報」構成を使用する外部 LDAP サーバーとの通信で何らかのエラーが発生した場合、リカバリー機能を提供します。

    この役割が割り当てられたユーザーは、常にすべての管理対象デバイスにアクセスできます。この役割でデバイスへのアクセスを制限することはできません。

次の事前定義済みの役割は予約済みであり、新しい役割グループの作成に使用したり新規ユーザーに割り当てることはできません。
  • lxc sysrdr
  • lxc-sysmgr

手順

カスタム役割を作成するには、以下の手順を実行します。

  1. XClarity Administrator メニュー・バーで、管理 > 「セキュリティー」をクリックします。
  2. 「ユーザーとグループ」セクションの「役割」をクリックして、「役割管理」ページを表示します。

    「役割」ページ
  3. 作成」アイコン (「作成」アイコン) をクリックして、役割を作成します。「カスタム役割の作成」ダイアログが表示されます。

    「カスタム役割の作成」ダイアログ。
  4. 役割の名前と説明を入力します。
  5. オプション: このカスタム役割の開始点として使用する事前定義済みの役割を選択します。

    既存の役割を選択すると、その役割に関連付けられている権限がダイアログで選択されます。

  6. 「追加権限の選択」ドロップダウン・メニューから権限を選択するか、選択を解除することによって、この新しい役割の権限を変更します。
    特定のカテゴリーのすべての権限を選択した場合で、XClarity Administrator を更新またはアップグレードしたときにそのカテゴリーに権限が追加された場合、新しい権限がカスタム役割に自動的に追加されます。
  7. 作成」をクリックします。「役割の管理」ページのテーブルに新しい役割が追加されます。

結果

また、以下の操作を実行できます。
  • 役割を選択して、「表示」アイコン (「ビュー」アイコン) をクリックすると、特定の役割に関連する権限が表示されます。
  • 編集」アイコン (「編集」アイコン) をクリックすると、カスタム役割の名前の変更または編集を行うことができます。カスタム役割を編集する場合、その役割に関連付けられている選択した権限、説明、およびユーザーのリストを変更できます。
    事前定義済みの役割を変更することはできません
  • 削除」アイコン (「削除」アイコン) をクリックすると、事前定義済みの役割またはカスタム役割を削除できます。
  • 役割グループから役割を追加または削除します (複数のユーザーの役割グループからの追加および削除 を参照してください)。
  • 「すべての操作」 > 「デフォルトの役割の復元」をクリックすると、削除されたすべての事前定義済みの役割を復元できます。