访问管理的工作原理
访问管理是在 ThinkSystem System Manager 中建立用户认证的方法。
访问管理配置和用户认证的工作原理如下:
- 管理员使用具有安全管理员权限的用户概要文件登录到 System Manager。注首次登录时,自动显示用户名
admin,无法更改此用户名。admin 用户具有系统中所有功能的完整访问权限。 - 管理员在用户界面中导航到访问管理。存储阵列已经过预配置,可以使用本地用户角色,这种用户角色是 RBAC(基于角色的访问控制)功能的实施。
- 管理员配置以下一种或多种认证方法:
- 本地用户角色 – 通过存储阵列中实施的 RBAC 功能管理认证。本地用户角色包括具有特定访问权限的预定义用户概要文件和角色。管理员可将这些本地用户角色用作单一认证方法,也可将它们与目录服务结合使用。除了为用户设置密码之外,无需进行任何配置。
- 目录服务 – 通过 LDAP(轻量级目录访问协议)服务器和目录服务(如 Microsoft 的 Active Directory)管理认证。管理员连接到 LDAP 服务器,然后将 LDAP 用户映射到存储阵列中嵌入的本地用户角色。
- SAML – 使用安全断言标记语言(SAML)2.0 通过身份提供商(IdP)管理认证。管理员建立 IdP 系统与存储阵列之间的通信,然后将 IdP 用户映射到存储阵列中嵌入的本地用户角色。
- 管理员为用户提供 System Manager 的登录凭证。
- 用户输入自己的凭证来登录系统。在登录期间,系统执行以下后台任务:注如果通过 SAML 和 SSO(单点登录)管理认证,系统可能绕过
System Manager 登录对话框。 - 根据用户帐户来认证用户名和密码。
- 根据已分配的角色确定用户的权限。
- 为用户提供用户界面中的任务的访问权限。
- 在界面右上方显示用户名。
System Manager 中可执行的任务
任务的访问权限取决于为用户分配的角色,其中包括以下几种角色:
- 存储管理员 – 对存储对象(例如,卷和磁盘池)具有完全读/写访问权限,但不能访问安全配置。
- 安全管理员 – 可访问“访问管理”、证书管理和审核日志管理中的安全配置,并能够打开或关闭旧版管理界面(SYMbol)。
- 支持管理员 – 可访问存储阵列上的所有硬件资源、故障数据、MEL 事件和控制器固件升级。不能访问存储对象或安全配置。
- 监察员 – 对所有存储对象具有只读访问权限,但不能访问安全配置。
不可用的任务在用户界面中显示为灰色或不显示。例如,具有“监视者”角色的用户可查看有关卷的所有信息,但不能访问用于修改该卷的功能。拷贝服务和添加到工作负载之类功能的选项卡将灰显,只有查看/编辑设置才可用。
ThinkSystem SAN Manager 和 ThinkSystem 存储管理软件 中的限制
如果为存储阵列配置了 SAML,则用户不能从 ThinkSystem SAN Manager 或 ThinkSystem 存储管理软件 界面发现或管理该阵列的存储。
如果配置了本地用户角色和目录服务,用户必须先输入凭证,才能执行下面的任何功能:
- 重命名存储阵列
- 升级控制器固件
- 加载存储阵列配置
- 执行脚本
- 未经使用的会话超时后尝试执行活动操作
提供反馈