アクセス制御ロールのカスタマイズによる特定コマンドへのユーザ アクセスの制限

クラスタ管理者は、指定したコマンドでアクセス制御ロールをカスタマイズし、ユーザ アカウントをそのロールにマッピングすることにより、ユーザが特定のコマンドにしかアクセスできないように制限できます。

手順

  1. 指定されたコマンドのみに制限されるか、-cmddirnameパラメータを指定したsecurity login role createコマンドを使用して実行する、カスタマイズされたアクセス制御ロールを作成します。
    security login role showコマンドは、ロールがアクセスできるコマンドを表示します。
  2. -roleパラメータを指定してsecurity login createコマンドを実行することにより、ユーザ アカウント用のログイン方法を作成し、カスタマイズされたロールにこのログイン方法をマッピングします。

アクセス制御ロールをカスタマイズしてユーザ アカウント アクセスを制限する例

次の例では、volume snapshotコマンドのみにアクセスが制限された「vol_snapshot」という名前のアクセス制御ロールと、「vol_snapshot」ロールが割り当てられた「snapshot_admin」という名前の「vs1」 Storage Virtual Machine(SVM、旧Vserverユーザ アカウントを作成しています。このユーザには、このロールで定義されているように、volume snapshotコマンドに対するフル アクセス権限があります。このユーザは、SSHを使用してSVMと認証パスワードにアクセスできます。

cluster1::> security login role create -vserver vs1 -role vol_snapshot 
-cmddirname "volume snapshot" 

cluster1::> security login role show -vserver vs1 -role vol_snapshot
           Role          Command/                               Access
Vserver    Name          Directory                        Query Level
---------- ------------- --------- ---------------------------- --------
vs1        vol_snapshot  DEFAULT                                none
vs1        vol_snapshot  volume snapshot                        all
2 entries were displayed.

cluster1::> security login create -vserver vs1 -user-or-group-name snapshot_admin 
-application ssh -authmethod password -role vol_snapshot 

Please enter a password for user 'snapshot_admin': 
Please enter it again: 

cluster1::> 
		  

次の例では、アクセス制御ロール名「sec_login_readonly」を作成しています。このロールは、security loginディレクトリに対して読み取り専用のアクセス権限を持ちますが、security login domain-tunnelsecurity login publickey、およびsecurity login roleサブディレクトリにはアクセス権限を持たないようにカスタマイズされています。このため、このロールはsecurity login showコマンドにしかアクセスできません。続いて「new_admin」という名前のクラスタ ユーザ アカウントが作成され、「sec_login_readonly」ロールが割り当てられています。このユーザは、コンソールを使用してクラスタと認証パスワードにアクセスできます。

cluster1::> security login role create -vserver cluster1 -role sec_login_readonly 
-cmddirname "security login" -access readonly

cluster1::> security login role create -vserver cluster1 -role sec_login_readonly 
-cmddirname "security login domain-tunnel" -access none

cluster1::> security login role create -vserver cluster1 -role sec_login_readonly 
-cmddirname "security login publickey" -access none

cluster1::> security login role create -vserver cluster1 -role sec_login_readonly 
-cmddirname "security login role" -access none

cluster1::> security login role show -vserver cluster1 -role sec_login_readonly 
  (security login role show)
           Role                 Command/                         Access
Vserver    Name                 Directory                  Query Level
---------- -------------------- --------- ---------------------- --------
cluster1   sec_login_readonly   DEFAULT                          none
cluster1   sec_login_readonly   security login                   readonly
cluster1   sec_login_readonly   security login domain-tunnel     none
cluster1   sec_login_readonly   security login publickey         none
cluster1   sec_login_readonly   security login role              none
5 entries were displayed.

cluster1::> security login create -vserver cluster1 -user-or-group-name new_admin 
-application console -authmethod password -role sec_login_readonly

Please enter a password for user 'new_admin':
Please enter it again:

cluster1::>