14.4.1 セキュリティおよびマルチテナントの設定ツール
NNMiには,マルチテナントとセキュリティを設定するための幾つかのツールが備わっています。
- セキュリティウィザード
NNMiコンソールの[セキュリティウィザード]は,セキュリティ設定の可視化に役立ちます。NNMiコンソール内でノードをセキュリティグループに割り当てるには,このウィザードを使用する方法が最も簡単です。[変更概要の表示]ページには,現在のウィザードセッションで保存されていない変更点のリストが表示されます。また,セキュリティ設定に関する潜在的な問題も示されます。
[セキュリティウィザード]の使用法の詳細については,ウィザード内のNNMiヘルプリンクをクリックしてください。
- メモ
[セキュリティウィザード]は,NNMiセキュリティ設定に関してだけ使用できます。テナント情報は含まれていません。
- NNMiコンソールフォーム
NNMiコンソール内の個々のセキュリティオブジェクトおよびマルチテナントオブジェクトのフォームは,設定の1つの側面を同時に集中的に捉える場合に便利です。これらのフォームの使用法の詳細については,各フォームのNNMiヘルプを参照してください。
[テナント]ビューにはNNMiマルチテナント設定情報が含まれています。このビューは,[設定]ワークスペースの[検出]の下に表示されます。各[テナント]フォームには1つのNNMiテナントが記述され,現在そのテナントに割り当てられているノードが表示されます。ノードの割り当て情報は読み取り専用です。
ノードに割り当てられているテナントまたはセキュリティグループを変更するには,[ノード]フォームまたはnnmsecurity.ovplコマンドを使用します。
次のNNMiコンソールビューは,[設定]ワークスペースの[セキュリティ]の下に表示されます。これらのビューには,次のNNMiセキュリティ設定情報が含まれています。
- ユーザーアカウント
・各[ユーザーアカウント]フォームには1つのNNMiユーザーが記述され,そのユーザーが属するユーザーグループが表示されます。メンバーシップ情報は読み取り専用です。
・ユーザーグループメンバーシップをディレクトリサービスに保存すると,ユーザーアカウントはNNMiコンソールに表示されません。
- ユーザーグループ
各[ユーザーグループ]フォームには1つのNNMiユーザーグループが記述され,そのユーザーグループにマッピングされたユーザーアカウントとセキュリティグループが表示されます。マッピング情報は読み取り専用です。
- ユーザーアカウントのマッピング
・各[ユーザーアカウントのマッピング]フォームには,1つのユーザーアカウントとユーザーグループの関連づけが表示されます。
・ユーザーアカウントマッピングを変更しても,現在のNNMiコンソールユーザーにその変更は反映されません。現在のユーザーは,NNMiコンソールに次回のサインインで,変更を受け取ります。
・ユーザーグループメンバーシップをディレクトリサービスに保存すると,ユーザーアカウントマッピングはNNMiコンソールに表示されません。
- セキュリティグループ
各[セキュリティグループ]フォームには1つのNNMiセキュリティグループが記述され,そのセキュリティグループに現在割り当てられているノードが表示されます。ノードの割り当て情報は読み取り専用です。
- セキュリティグループのマッピング
・各[セキュリティグループのマッピング]フォームには,1つのユーザーグループとセキュリティグループの関連づけが表示されます。
・初期設定のあと,セキュリティグループマッピングに関連づけられたオブジェクトのアクセス権は読み取り専用になっています。セキュリティグループマッピングのオブジェクトアクセス権を変更するには,そのマッピングを削除して,再度作成します。
- コマンドライン
nnmsecurity.ovplコマンドラインインタフェースは,自動操作や一括操作する場合に便利です。このツールは,セキュリティ設定に関する潜在的な問題のレポートも提供します。
nnmsecurity.ovplオプションの多くは,コンマ区切り値(CSV)ファイルからの入力データのロードをサポートしています。設定データは,nnmsecurity.ovplコマンドで使用するために,CSV出力を生成できるファイルまたはシステムに保持できます。このコマンドは,NNMiの外部で生成されたUUIDも受け入れます。
- ヒント
セキュリティグループとテナントの名前は一意である必要はないため,nnmsecurity.ovplコマンドへの入力値としてセキュリティグループまたはテナントのUUIDを指定します。
次のスクリプト例では,nnmsecurity.ovplコマンドを使用して,2つのユーザーアカウントと5つのノードにセキュリティ設定を作成しています。
#!/bin/sh # ユーザーを2つ作成する nnmsecurity.ovpl -createUserAccount user1 -password password -role level1 nnmsecurity.ovpl -createUserAccount user2 -password password -role level2 # グループを2つ作成する nnmsecurity.ovpl -createUserGroup local1 nnmsecurity.ovpl -createUserGroup local2 # 新しいユーザーグループにユーザーアカウントを割り当てる nnmsecurity.ovpl -assignUserToGroup -user user1 -userGroup local1 nnmsecurity.ovpl -assignUserToGroup -user user2 -userGroup local2 # セキュリティグループを2つ作成する nnmsecurity.ovpl -createSecurityGroup secgroup1 nnmsecurity.ovpl -createSecurityGroup secgroup2 # 新しいセキュリティグループに新しいユーザーグループを割り当てる nnmsecurity.ovpl -assignUserGroupToSecurityGroup -userGroup local1 -securityGroup secgroup1 -role level1 nnmsecurity.ovpl -assignUserGroupToSecurityGroup -userGroup local2 -securityGroup secgroup2 -role level2 # セキュリティグループをノードに割り当てる nnmsecurity.ovpl -assignNodeToSecurityGroup -node mplspe01 -securityGroup secgroup1 nnmsecurity.ovpl -assignNodeToSecurityGroup -node vwan_router-1 -securityGroup secgroup1 nnmsecurity.ovpl -assignNodeToSecurityGroup -node vwan_router-2 -securityGroup secgroup1 nnmsecurity.ovpl -assignNodeToSecurityGroup -node data_center_1 -securityGroup secgroup2 nnmsecurity.ovpl -assignNodeToSecurityGroup -node mplspe03 -securityGroup secgroup2