SnapCenter Software 4.9
RBAC許可を使用したSnapCenterへのログイン
SnapCenterでは、ロールベース アクセス制御(RBAC)がサポートされています。SnapCenter管理者は、SnapCenter RBACを使用して、ロールとリソースをワークグループ / Active Directory内のユーザーまたはActive Directory内のグループに割り当てます。RBACユーザーは、割り当てられたロールを使用してSnapCenterにログインできるようになりました。
必要なもの
-
Windowsサーバー マネージャでWindowsプロセス アクティブ化サービス(WAS)を有効にする必要があります。
-
Internet Explorerをブラウザーとして使用してSnapCenter Serverにログインする場合は、Internet Explorerの保護モードが無効になっていることを確認する必要があります。
タスク概要
インストール時には、SnapCenter Serverのインストール ウィザードによってショートカットが作成され、SnapCenterがインストールされているホストのデスクトップと[スタート]メニューに配置されます。また、インストールが終了すると、インストール ウィザードに、インストール時に指定した情報に基づいてSnapCenterのURLが表示されます。リモート システムからログインする場合は、このURLをコピーして使用できます。
| Webブラウザーで複数のタブを開いている場合は、SnapCenterのブラウザー タブだけを閉じてもSnapCenterからはログアウトされません。SnapCenterとの接続を終了するには、[Sign out]ボタンをクリックするかWebブラウザー全体を閉じて、SnapCenterからログアウトする必要があります。 |
ベストプラクティス: セキュリティ上の理由から、SnapCenterのパスワードをブラウザーに保存しないことを推奨します。 |
GUIのデフォルトのURLは、SnapCenter Serverがインストールされたサーバーのデフォルトのポート8146へのセキュアーな接続(https://server:8146)になります。SnapCenterのインストール時に別のサーバー ポートを指定した場合は、そのポートが代わりに使用されます。
高可用性(HA)環境では、仮想クラスタのIPであるhttps://Virtual_Cluster_IP_or_FQDN:8146を使用してSnapCenterにアクセスする必要があります。Internet Explorer(IE)でhttps://Virtual_Cluster_IPorFQDN:8146にアクセスしてもSnapCenterのUIが表示されない場合は、各プラグイン ホストでIEの信頼済みサイトに仮想クラスタのIPアドレスまたはFQDNを追加するか、各プラグイン ホストでIEのセキュリティ強化オプションを無効にする必要があります。
SnapCenter GUIに加えて、PowerShellコマンドレットを使用してスクリプトを作成し、設定、バックアップ、リストアの各処理を実行できます。一部のコマンドレットは、SnapCenterの各リリースで変更されている場合があります。
| SnapCenterへの初回ログイン時は、インストール プロセスで指定したクレデンシャルを使用してログインする必要があります。 |
手順
-
ローカル ホストのデスクトップに表示されたショートカット、インストールの終了時に表示されたURL、またはSnapCenter管理者から受け取ったURLを使用して、SnapCenterを起動します。
-
ユーザー クレデンシャルを入力します。
指定する項目 使用する形式 ドメイン管理者
-
NetBIOS\UserName
-
UserName@UPN suffix
例:username@fujitsu.com
-
Domain FQDN\UserName
ローカル管理者
UserName
-
-
複数のロールが割り当てられている場合は、このログイン セッションで使用するロールを[Role]ボックスから選択します。
ログインすると、SnapCenterの右上に現在のユーザーとそのロールが表示されます。
結果
[ダッシュボード]ページが表示されます。
サイトに到達できないというエラーが表示されてログインに失敗した場合は、SSL証明書をSnapCenterにマッピングする必要があります。
終了後の操作
SnapCenter Serverに初めてRBACユーザーとしてログインしたら、リソース リストを更新します。
SnapCenterでサポート対象にする信頼されないActive Directoryドメインがある場合は、信頼されないドメインのユーザーにロールを設定する前に、それらのドメインをSnapCenterに登録する必要があります。詳細については、こちらを参照してください。
多要素認証(MFA)を使用したSnapCenterへのログイン
SnapCenter Serverは、Active Directoryに含まれているドメイン アカウントのMFAをサポートしています。
必要なもの
-
MFAを有効にしておく必要があります。
MFAを有効にする方法については、「多要素認証(MFA)の有効化」を参照してください。
タスク概要
-
FQDNのみがサポートされます。
-
ワークグループ ユーザーとクロスドメイン ユーザーは、MFAを使用したログインはできません。
手順
-
ローカル ホストのデスクトップに表示されたショートカット、インストールの終了時に表示されたURL、またはSnapCenter管理者から受け取ったURLを使用して、SnapCenterを起動します。
-
AD FSのログイン ページで、ユーザー名とパスワードを入力します。
AD FSのページに、ユーザー名またはパスワードが無効だというエラー メッセージが表示された場合は、次の点を確認してください。
-
有効なユーザー名とパスワードであるかどうか
ユーザー アカウントがActive Directory(AD)に存在している必要があります。
-
ADで設定された最大試行回数を超えていないかどうか
-
ADとAD FSが稼働中かどうか
-
SnapCenterのデフォルトのGUIセッション タイムアウトの変更
SnapCenter GUIのセッション タイムアウト時間を、デフォルトのタイムアウト時間である20分から変更できます。
セキュリティ機能として、デフォルトでは、操作を行わないまま15分が経過すると、5分後にSnapCenterのGUIセッションからログアウトすることを示す警告が表示されます。また、操作を行わないまま20分が経過すると、SnapCenterのGUIセッションからログアウトされ、再度ログインが必要になります。
手順
-
左側のナビゲーション ペインで、[設定] > [グローバル設定]をクリックします。
-
[グローバル設定]ページで、[設定]をクリックします。
-
[セッション タイムアウト]フィールドで、新しいセッション タイムアウトを分単位で入力し、[保存]をクリックします。
SSL 3.0の無効化によるSnapCenter Webサーバーの保護
SnapCenter WebサーバーでSecure Socket Layer(SSL)3.0プロトコルが有効になっている場合は、セキュリティ上の理由からMicrosoft IISで無効にする必要があります。
SSL 3.0プロトコルには欠陥があり、攻撃者が悪用して接続エラーを引き起こしたり、中間者攻撃を実行したり、Webサイトと訪問者の間の暗号化トラフィックを監視したりすることができます。
手順 . SnapCenter Webサーバー ホストでレジストリー エディターを起動するには、[Start] > [Run]をクリックし、「regedit」と入力します。 . レジストリー エディターで、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\に移動します。 Serverキーがすでに存在する場合: … 有効になっているDWORDを選択し、 > をクリックします。 … 値を「0」に変更し、をクリックします。 Serverキーが存在しない場合: … [Edit] > [New] > [Key]をクリックし、キーに「Server」という名前を付けます。 … 新しいServerキーを選択した状態で、[Edit] > [New] > [DWORD]をクリックします。 … 新しいDWORDに「Enabled」という名前を付け、値として「0」を入力します。 . レジストリー エディターを閉じます。
