ユーザーの追加とロールの割り当て
PowerHA® SystemMirror® graphical user interface (GUI) でユーザーを作成し、Role-Based Access Control (RBAC) システムを使用して、ユーザーに昇格された特権を割り当てることができます。
ユーザーの定義
ユーザーを定義した後、クラスター・ゾーンを使用して、 PowerHA SystemMirror GUI 内で管理されるクラスターへのユーザーのアクセスを制限できます。 クラスター・ゾーンは、ユーザーのスコープを制限する手段を提供し、マルチテナンシーを実装するために使用できます。 クラスター・ゾーンについて詳しくは、 クラスター・ゾーンを参照してください。
デフォルトでは、 PowerHA SystemMirror GUI サーバー・ホストで定義されているすべてのユーザーが PowerHA SystemMirror GUIへのログインを許可されます。 ただし、 PowerHA SystemMirror GUI サーバーの構成ファイルを変更することにより、特定のユーザーが PowerHA SystemMirror GUIにログインするのを制限することができます。 デフォルトでは、 PowerHA SystemMirror GUIにログインするユーザーには、モニター・ロール ha_mon が自動的に割り当てられます。 事前定義された役割を使用して、 PowerHA SystemMirror GUI で明示的に定義されたユーザーに昇格された特権と機能を割り当てることができます。
ロール・ベースのアクセス制御
PowerHA SystemMirror 7.2.2以降では、 PowerHA SystemMirror GUI には、 AIX オペレーティング・システムの RBAC システムから独立した役割ベースのアクセス制御 (RBAC) システムが組み込まれており、簡単にアクセスできます。
ロール
GUI のアクセス権システムは、ロールに基づきます。 アクセス権はロールに割り振られ、ロールは 1 つ以上のユーザーに割り振られます。 ロールを持たないユーザーには、表示のみのモニター機能を備えたデフォルト・ロールが割り当てられます。 GUI のアクセス権システムは、ロールに基づきます。 アクセス権はロールに割り振られ、ロールは 1 つ以上のユーザーに割り振られます。
- ha_root
- このロールを持つユーザーは、GUI で定義されたすべてのゾーンに制限なしでアクセスできます。 このロールは、root アクセス権と同等です。
root
ユーザーとしてログインすると、ha_root
アクセス権が付与されます。注: この役割は、GUI のセットアップ時に使用できます。これには、ユーザー・アクセスのセットアップとゾーンの作成 (ゾーンを使用する場合) が含まれます。
- ha_admin
- このロールのユーザーは管理者になり、ユーザーおよびゾーンの定義を除くすべてのアクションを実行できます。
- ha_op
- ha_op (オペレーター) ロールは、クラスター管理機能のサブセット (クラスター・サービスの開始および停止、リソース・グループの開始および停止、別のノードへのリソース・グループの移動、スナップショットの作成、クラスター検査の実行など) にのみアクセスできます。
- ha_mon
- ha_mon (モニター) ロールは、非 root ユーザーとして GUI にログインする、GUI のユーザー・リストに追加されないユーザーに自動的に割り当てられるデフォルト・ロールです。注: この役割では、クラスターに対してアクションを実行することはできず、表示専用アクセス権限を持ちます。 GUI でユーザー・アカウントが作成されていないユーザーがログインした場合、そのユーザーにはいずれのゾーンへのアクセス権も付与されず、ユーザーは未割り当てのクラスター (どのゾーンにも割り当てられていないクラスター) しか見ることができません。
ha_root 以外のすべてのユーザーは、ha_root ユーザーによって割り当てられたゾーンにのみアクセスできます。 また、いずれのゾーンにも割り当てられていないクラスターにもアクセスできます。