CLI を使用した IBM Security Services によるリモート認証サービスの構成

コマンド・ライン・インターフェース (CLI) を使用して、Storwize® V3700 管理アプリケーション (IBM® Spectrum Control など) のユーザーを IBM Security Services を使用してクラスター化システムに認証できるようにシステムを構成することができます。

このタスクについて

IBM Security Services (CLI では TIP と呼ばれます) を使用してユーザーを認証できるようにシステムを構成するには、以下の手順を実行します。

手順

  1. リモート認証サーバーのロケーションを使用してシステムを構成します。 システム設定値を変更するには chauthservice コマンドを発行して、システム設定値を表示するには lssystem コマンドを発行します。
    要確認: サーバーへの接続には、http または https のどちらかを使用できます。 http を使用すると、ユーザー、パスワード、および SSH 鍵の情報は IP ネットワーク上で平文として送信されます。
  2. 認証サービスで使用されているユーザー・グループとの突き合わせを行って、システム上にユーザー・グループ (および役割) を構成します。 認証サービスに認識されているそれぞれのインタレストのグループごとに、同じ名前および使用可能になっているリモート設定値を使用して、Storwize V3700 のユーザー・グループを作成する必要があります。 例えば、sysadmins というグループのメンバーに Storwize V3700 管理者 (Administrator) の役割が必要な場合は、次のコマンドを発行します。
    mkusergrp -name sysadmins -remote -role Administrator

    あるユーザーのグループのいずれも Storwize V3700 ユーザー・グループのどれにも一致しない場合、ユーザーはシステムにアクセスできません。

  3. セキュア・シェル (SSH) アクセスが必要ないユーザーを構成する。 リモート認証サービスを使用し、SSH アクセスを必要としない Storwize V3700・ユーザーは、システムから削除する必要があります。
    要確認: スーパーユーザー・パスワード権限をシステムから削除することはできず、スーパーユーザー ID を使用する個人はリモート認証サービスを使用できません。
  4. SSH アクセスが必要なユーザーを構成する。 リモート認証サービスを使用し、SSH アクセスを必要とする Storwize V3700のすべてのユーザーは、リモート設定値を使用可能にし、システムと認証サービスの両方で同じパスワードおよび SSH 鍵を設定する必要があります。
  5. システム時刻を構成する。 Storwize V3700 のクラスター化システムと、リモート認証サービスを実行しているシステムの両方の現在時刻が一致している必要があります。
    重要: 両方のシステムに同じ Network Time Protocol (NTP) サーバーを使用してください。