クラスタ管理者は、指定したコマンドでアクセス制御ロールをカスタマイズし、ユーザ アカウントをそのロールにマッピングすることにより、ユーザが特定のコマンドにしかアクセスできないように制限できます。
次の例では、volume snapshotコマンドのみにアクセスが制限された「vol_snapshot」という名前のアクセス制御ロールと、「vol_snapshot」ロールが割り当てられた「snapshot_admin」という名前の「vs1」 Storage Virtual Machine(SVM、旧Vserver)ユーザ アカウントを作成しています。このユーザには、このロールで定義されているように、volume snapshotコマンドに対するフル アクセス権限があります。このユーザは、SSHを使用してSVMと認証パスワードにアクセスできます。
cluster1::> security login role create -vserver vs1 -role vol_snapshot -cmddirname "volume snapshot" cluster1::> security login role show -vserver vs1 -role vol_snapshot Role Command/ Access Vserver Name Directory Query Level ---------- ------------- --------- ---------------------------- -------- vs1 vol_snapshot DEFAULT none vs1 vol_snapshot volume snapshot all 2 entries were displayed. cluster1::> security login create -vserver vs1 -user-or-group-name snapshot_admin -application ssh -authmethod password -role vol_snapshot Please enter a password for user 'snapshot_admin': Please enter it again: cluster1::>
次の例では、アクセス制御ロール名「sec_login_readonly」を作成しています。このロールは、security loginディレクトリに対して読み取り専用のアクセス権限を持ちますが、security login domain-tunnel、security login publickey、およびsecurity login roleサブディレクトリにはアクセス権限を持たないようにカスタマイズされています。このため、このロールはsecurity login showコマンドにしかアクセスできません。続いて「new_admin」という名前のクラスタ ユーザ アカウントが作成され、「sec_login_readonly」ロールが割り当てられています。このユーザは、コンソールを使用してクラスタと認証パスワードにアクセスできます。
cluster1::> security login role create -vserver cluster1 -role sec_login_readonly -cmddirname "security login" -access readonly cluster1::> security login role create -vserver cluster1 -role sec_login_readonly -cmddirname "security login domain-tunnel" -access none cluster1::> security login role create -vserver cluster1 -role sec_login_readonly -cmddirname "security login publickey" -access none cluster1::> security login role create -vserver cluster1 -role sec_login_readonly -cmddirname "security login role" -access none cluster1::> security login role show -vserver cluster1 -role sec_login_readonly (security login role show) Role Command/ Access Vserver Name Directory Query Level ---------- -------------------- --------- ---------------------- -------- cluster1 sec_login_readonly DEFAULT none cluster1 sec_login_readonly security login readonly cluster1 sec_login_readonly security login domain-tunnel none cluster1 sec_login_readonly security login publickey none cluster1 sec_login_readonly security login role none 5 entries were displayed. cluster1::> security login create -vserver cluster1 -user-or-group-name new_admin -application console -authmethod password -role sec_login_readonly Please enter a password for user 'new_admin': Please enter it again: cluster1::>