Post on 01-Nov-2020
Dell EMC Isilon Searchバージョン 2.0
セキュリティ構成ガイド302-003-765
REV 02
Copyright © 2017年 Dell Inc. その関連会社。 All rights reserved. (不許複製・禁無断転載)
2017 年 3 月発行
掲載される情報は、発信現在で正確な情報であり、予告なく変更される場合があります。
本文書に記載される情報は、「現状有姿」の条件で提供されています。本文書に記載される情報に関する、どのような内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示的保証はいたしません。この資料に記載される、いかなる Dell ソフトウェアの使用、複製、頒布も、当該ソフトウェアライセンスが必要です。
Dell、EMC、および Dell または EMC が提供する製品及びサービスにかかる商標は Dell Inc.またはその関連会社の商標又は登録商標です。その他の商標は、各社の商標又は登録商標です。Published in the USA.
EMC ジャパン株式会社〒 151-0053 東京都渋谷区代々木 2-1-1 新宿マインズタワーwww.DellEMC.com/ja-jp/index.htmお問い合わせはwww.DellEMC.com/ja-jp/index.htm
2 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
はじめに 5
通信セキュリティ 9ポートの使用................................................................................................. 10ネットワークの暗号化 ...................................................................................... 11暗号形式モジュール....................................................................................... 12ログイン、セッション、パスワード保護...................................................................12ファイアウォールのルール................................................................................... 12REST API.................................................................................................... 13データ セキュリティ........................................................................................... 13
アクセス制御 15デフォルトのアカウント...................................................................................... 16nginx.conf ファイルの編集.............................................................................. 16Isilon アクション サービスの設定........................................................................ 16共通のインデックス サービスの設定.................................................................... 17自己署名証明書または信頼できる証明書のインストール.....................................17LDAP および AD の構成.................................................................................18認証構成.....................................................................................................20ロールについて............................................................................................... 22
システム管理者ロール........................................................................22アプリケーション管理者ロール.............................................................. 23検索管理者ロール............................................................................25検索ユーザー ロール..........................................................................26インデックス固有の検索ロール............................................................. 28
役割の管理..................................................................................................34ユーザーまたはグループの追加.............................................................34ユーザーまたはグループの削除............................................................ 35ロールの割り当ての編集.................................................................... 36
第 1章
第 2章
目次
Dell EMC Isilon Search 2.0 セキュリティ構成ガイド 3
目次
4 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
はじめに
製品ラインを改善するための努力の一環として、Dell EMC ではソフトウェアおよびハードウェアのリビジョンを定期的にリリースしています。そのため、このドキュメントで説明されている機能の中には、現在お使いのソフトウェアまたはハードウェアのバージョンによっては、サポートされていないものもあります。製品のリリース ノートには、製品の機能に関する最新情報が掲載されています。製品が正常に機能しない、またはこのマニュアルの説明どおりに動作しない場合には、Dell EMC テクニカル サポート プロフェッショナルにお問い合わせください。
このマニュアルには、発行時点で正確だった情報が記載されています。Dell EMC オンライン サポート サイト()にアクセスして、このマニュアルの最新バージョンを使用していることを確認してください。https://support.emc.com
目的このドキュメントでは Dell EMC Isilon Search のセキュリティ機能と設定について説明します。
対象読者このドキュメントは、Isilon Search の管理に関与している検索管理者とインデックスの管理者を対象としています。このドキュメントは、Isilon Search の管理に関与している管理者とインデックスの管理者を対象としています。
リビジョン履歴次の表には、この資料の改訂履歴に関する情報が含まれています。
表 1 リビジョン履歴
リビジョン 日付 変更内容
02 2017年 4月 28日 編集上の変更。
01 2017年 3月 30日 「Isilon Search ユーザー ガイドセキ ュリティ構成ガイド」の初期バージョン。
関連ドキュメントIsilon Search マニュアル セットには、次のマニュアルが含まれます。l
l
l
l
「Isilon Search インストールおよび管理ガイド」「Isilon Search ユーザー ガイド」「Isilon Search セキュリティ構成ガイド」「Isilon Search リリース ノート」
このドキュメントで使用される特記事項の表記規則Dell EMC では、特別な注意を要する事項に次の表記法を使用します。
はじめに 5
事業損失またはデータ消失を招く可能性のある状況を示します。
トピックに不可欠の情報ではなく、付随する情報を示します。
表記規則Dell EMC では、以下の表記規則を使用します。
表 2 表記規則
[太字] ボタン、フィールド、タブ名、メニュー パスなど(ユーザーが選択またはクリックする)インターフェイス要素の名前を示す
「斜体」 本文内で参照される出版物の完全なタイトルを示す
Monospace 以下の場合に使用:l システム コードl エラー メッセージやスクリプトなどのシステム出力l パス名、ファイル名、プロンプト、構文l コマンドおよびオプション
[モノスペース斜体] 変数に使用
モノスペース太字 ユーザーによる入力値を示す
[ ] オプション値
| 縦棒は、選択肢を示し、「または」を意味する
{ } 中括弧内は、ユーザーが指定する必要のある内容を示す(例:x、y、z)
... 省略記号は、例の中で省略した必須ではない情報を示す
問い合わせ先Dell EMC のサポート情報、製品情報、ライセンス情報は、次の場所で入手できます。製品情報
Dell EMC製品に関するドキュメント、リリースノート、ソフトウェア アップデート、情報については、以下の Dell EMC サポートWeb サイトをご覧ください。
https://support.emc.com
テクニカル サポートDell EMC サポートWeb サイトに移動し、[Service Center] をクリックします。サイト内にDell EMC テクニカル サポートへの問い合わせ方法がいくつか表示されます。サービス リクエストを利用するには、有効なサポート契約が結ばれている必要があります。有効なサポート契約の入手方法の詳細や、アカウントに関する質問については、Dell EMC担当営業にお問い合わせください。
オンライン コミュニティオンライン コミュニティ — ピアの連絡先、対話、製品サポートおよびソリューションのコンテンツについては、Dell EMC コミュニティ ネットワーク(https://community.EMC.com)にアクセ
はじめに
6 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
スしてください。すべての Dell EMC製品について、カスタマー、パートナー、認定専門資格保持者とオンラインで対話します。https://community.emc.com
コメントマニュアルの精度、構成および品質を向上するため、お客様のご意見をお待ちしております。本書についてのご意見は、DPAD.Doc.Feedback@emc.com までお送りください。
はじめに
7
はじめに
8 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
第 1章
通信セキュリティ
通信セキュリティ設定では、製品コンポーネントと外部システムまたは外部コンポーネントの間での安全な通信チャネルを確立できます。本章は、次のトピックで構成されています。
l ポートの使用.........................................................................................................10l ネットワークの暗号化 ..............................................................................................11l 暗号形式モジュール............................................................................................... 12l ログイン、セッション、パスワード保護.......................................................................... 12l ファイアウォールのルール........................................................................................... 12l REST API............................................................................................................13l データ セキュリティ................................................................................................... 13
通信セキュリティ 9
ポートの使用次の表にリストされているポートは、すべて TCP/HTTPS プロトコルを使用している、さまざまなコンポーネントの Isilon Search デフォルト ポートです。これらのポートの一部を変更できます。さまざまな構成ファイルを手動で編集する必要があります。以下の表は、Isilon Search に必要なポートの一覧です。
表 3 デフォルト ポート
コンポーネント サービス プロトコル ポート 説明
共通のインデックスサービス
NGINX TCP/HTTPS
442 Elasticsearch への安全なアクセス。たとえば、Elasticsearch Head プラグイン。
検索と管理の UI
および API
NGINX TCP/HTTPS
443 管理者Web アプリケーション
検索Web アプリケーション。
管理 REST API。
検索 REST API。
Isilon アクション
サービスNGINX TCP/
HTTPS444 アクションがトリガーされると、検索 UI によって
Isilon アクション サービスが呼び出されます。
共通のインデックスサービス
NGINX TCP/HTTPS
445 CIS REST API。共通インデックス サービスでは、Elasticsearch の上に安全なレイヤーを提供します。
Elasticsearch クラスタ ポート
NGINX TCP/HTTPS
9300~9400
Elasticsearch(インデックス データ ノード)と通信するためのポート。Elasticsearch クラスタ ポートは内部的にのみ開かれ、外部アクセスはできません。
Puppet Puppet TCP 8140、61613
Puppet マスター、エージェント、およびコンソール。Puppet ポートは自動アップグレードの間に通信できるように、Isilon Search ノード間で開かれている必要があります。
CEE(Common
Event Enabler)CEE TCP 12228 Common Event Enablerは、Isilon クラスタ
が Common Event Enabler コンポーネント経由でプロトコル監査イベントを送信できるようにします。
この機能を使用しない場合は、Common
Event Enabler コンポーネントを無効化します。
RabbitMQ RabbitMQ TCP 4369、25672
RabbitMQ では、Common Event Enabler
からのメッセージを受信します。
この機能を使用しない場合は、RabbitMQ
コンポーネントを無効化します。
通信セキュリティ
10 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
次の図は、ポートのデータ フローとアクセスを表示します。許可されているインバウンド ポートは次のとおりです。l 80(必須でない)l 443(必須)l 442
l 444
l 445
l 12228
l 8140
l 61613
l 9300~9400
l 389
l 4369
l 25672
図 1 ポートのデータ フローとアクセス
次の図は、Isilon Search のノード間の通信を示します。
ポートは開いたままです。
図 2 Isilon Search ノード間の通信
ネットワークの暗号化次の表は、採用される暗号化戦略です。
通信セキュリティ
ネットワークの暗号化 11
表 4 暗号化戦略
通信 暗号化タイプ
Web ブラウザと Isilon SearchWeb サーバ(管理/検索Web
アプリケーション)サーバ認証付き SSL
Isilon Search Web サーバと CIS Web サーバ 双方向認証付き SSL
Web ブラウザと CIS Web サーバ(CIS/Elasticsearch に直接移動する場合)
双方向認証付き SSL
暗号形式モジュール次に、Isilon Search によって使用される暗号形式モジュールの一覧を示します。l 署名 JWT のための HS256
l Web トークンを暗号化するための RSA1_5 2048 ビットl ロックボックス暗号化のための AES_256_GCM
l NGINX SSL証明書のための RSA 1024 ビットと RSA 2048 ビットのアルゴリズム
ログイン、セッション、パスワード保護ローカル システム アカウントでは、ポート http://localhost:9200 を使用して、仮想マシンにログインし、Elasticsearch に直接アクセスできます。このポートはリモートでアクセスできません。したがって、ローカル システムへのアクセスが制限されていることが重要です。
Elasticsearchは、ポート 442 を経由してリモートでアクセス可能であり、ログインする前に CIS の認証情報が必要です。
Isilon Search ログイン セッションは、1時間の非アクティブ期間の後、有効期限が切れます。
ファイアウォールのルールIsilon Searchは、次のポートにアクセスする必要があります。l 22
l 389(AD)l 389(openLDAP)l 442:445(Web/RestAPI)l 4369(RabbitMQ)l 8140(puppet)l 12228(CEE)l 25672(RabbitMQ)l 61613
通信セキュリティ
12 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
ポート 9300~9400 を使用するため、CISはサブネット内の IP アドレスへのアクセスを提供します。サブネットは、たとえば 128.222.162 のように指定します。Elasticsearch ノードは、クラスタを形成して、Elasticsearch の他のノードと通信するために、ポート 9300~9400 を使用します。
REST APIカスタム アプリケーションやウィジェットを実装するために REST API を使うことができますが、このソフトウェアは Dell EMC ではサポートされていません。
データ セキュリティIsilon Searchは https を使用して、すべての未了(in-flight)データを暗号化します。Elasticsearch ノード間の通信は暗号化されません。
通信セキュリティ
REST API 13
通信セキュリティ
14 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
第 2章
アクセス制御
アクセス制御設定を行うことで、不正アクセスからリソースを保護できます。本章は、次のトピックで構成されています。
l デフォルトのアカウント.............................................................................................. 16l nginx.conf ファイルの編集......................................................................................16l Isilon アクション サービスの設定................................................................................16l 共通のインデックス サービスの設定............................................................................17l 自己署名証明書または信頼できる証明書のインストール............................................ 17l LDAP および AD の構成........................................................................................ 18l 認証構成............................................................................................................ 20l ロールについて.......................................................................................................22l 役割の管理......................................................................................................... 34
アクセス制御 15
デフォルトのアカウント次の表はデフォルトの Isilon Search アカウントです。
表 5 デフォルトのアカウント名
アカウント タイプ ユーザー名 説明
ユーザー アカウント admin デフォルトのシステム、アプリケーション、および検索管理者アカウント
Elasticsearch Head プラグインにアクセス可能
導入時に設定
root ユーザー root 仮想マシン端末の root アカウント
導入時に設定
その他のすべてのアカウントは、Microsoft Active Directoryなどの LDAP ソリューションで管理されます。外部の LDAP アカウントは Isilon Search[管理]アプリケーションを使用して、指定されます。
nginx.conf ファイルの編集/etc/nginx/nginx.conf で、デフォルトのポートと公開 UI および REST API用の自己署名証明書が定義されます。/etc/nginx/nginx.search.conf には、次のコンポーネントの設定が含まれます。l 検索ユーザー インターフェイスl 検索 REST API
l 管理者ユーザー インターフェイスl 管理者 REST API
デフォルトで /etc/nginx/nginx.search.conf では次を使用します。l ポート 443
l 自己署名証明書 /etc/nginx/nginx.certl キー /etc/nginx/nginx.keyデフォルトのポート、自己署名証明書、またはキーを変更するには、次のファイルを編集します。/etc/nginx/nginx.search.conf
ファイルを変更した後は、nginx を再起動します。
Isilon アクション サービスの設定アクションがトリガーされると、検索ユーザー インターフェイスは Isilon のアクション サービスを呼び出します。/etc/nginx/nginx.action.conf で Isilon のアクション サービスを定義します。
デフォルトで /etc/nginx/nginx.action.conf では次を使用します。
アクセス制御
16 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
l ポート 444
l ssl_certificate_key /usr/local/search/action/isilon/etc/certs/server.key
l ssl_certificate /usr/local/search/action/isilon/etc/certs/server.crt
l ssl_client_certificate /usr/local/search/action/isilon/etc/certs/ca.crt
デフォルトのポート、ssl_certificate_key、ssl_certificate、ssl_client_certificate を変更するには、次のファイルを編集します。/etc/nginx/nginx.action.conf
ファイルを変更した後は、nginx を再起動します。
共通のインデックス サービスの設定/etc/nginx/nginx.cis.conf で、CIS(共通インデックス サービス)の設定を定義します。デフォルトで /etc/nginx/nginx.cis.conf では次を使用します。l ポート 445
l 自己署名証明書 /etc/nginx/nginx.certl キー /etc/nginx/nginx.key
Elasticsearchパススルーとして、CISはセカンダリ ポートを開きます。デフォルトのポートは、442 に変更されます。
デフォルトのポート、自己署名証明書、またはキーを変更するには、次のファイルを編集します。/etc/nginx/nginx.cis.conf
ファイルを変更した後は、nginx を再起動します。
ポートを変更する場合は、ファイアウォールの設定を更新します。
自己署名証明書または信頼できる証明書のインストールnginx ファイルは、信頼できる公開キー証明書ではなく、自己署名証明書と一緒にインストールされます。証明書は、Web ユーザー インターフェイスおよび REST API へのセキュアな HTTP アクセス(https)に使用されます。この証明書には、コンポーネント間の安全な通信が含まれます。
自己署名証明書がアクティブな場合、Web ベースの管理と検索インターフェイスに接続しているユーザーに、信頼されていない接続に接続していることが警告します。ほとんどのWeb ブラウザでは、この警告は最初に表示された後、抑止できます。Isilon Search nginx Web サーバに自己署名証明書または信頼できる証明書のいずれかをインストールするには、次の手順を実行します。
アクセス制御
共通のインデックス サービスの設定 17
手順1. root として各 Isilon Search ノードに接続します。2. 既存の証明書と秘密鍵ファイルをバックアップの場所にコピーします。
cp /etc/nginx/nginx.cert /nginx.certcp /etc/nginx/nginx.key /nginx.key
3. (オプション)新しいプライベート キーを生成します。openssl genrsa -out nginx.key 2048
4. 以下のいずれかの手順を実行します。l 既存または新規に生成したプライベート キー ファイルを使用して自己署名証明書を作成します。a. 以下のコマンドを入力します。openssl req -new -x509 -key nginx.key -out nginx.cert -days1095
b. プロンプトに応答します。l 既存または新規に生成したプライベート キー ファイルを使用して証明書リクエスト(csr)ファイルを生成します。
a. 以下のコマンドを入力します。openssl req -new -key nginx.key -out nginx.csr
b. プロンプトに応答します。c. 認証機関に nginx.csr ファイルを送信します。d. 返却された証明書ファイルを nginx.cert に名称変更します。
5. nginx サービスを停止します。service nginx stop
6. 新しい証明書、およびオプションで新しいプライベート キーを/etc/nginx ディレクトリにコピーします。cp /etc/nginx/nginx.cert /nginx.cert
cp /etc/nginx/nginx.key /nginx.key
7. ファイルが、正しい権限を持っていることを確認します。chmod 644 /etc/nginx/nginx.cert
chmod 644 /etc/nginx/nginx.key
8. nginx サービスを開始します。service nginx start
LDAPおよび ADの構成Isilon Search には事前構成済みのアカウントを持つ組み込み型の OpenLDAP サービスが付属しています。たとえば、管理ユーザーなどです。デフォルトの管理ユーザーには E メール アドレスが設定されていないため、E メール通知を受け取ることはできません。
アクセス制御
18 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
システム管理者ロールを持っていると、Isilon Search の管理および検索操作の実行が可能な追加のユーザーを定義するために、他の LDAP サービスまたは AD サービスを追加することができます。Isilon Search では、LDAP権限に対してユーザーを認証しません。認証サービスでは、ユーザーまたはそのユーザーが所属するグループの UUID を外部権限で使用します。認証が成功すると、認証サービスはユーザーのトークンを発行します。 GUI では、トークン情報を使用して、このユーザーが実行する権限を持つアクティビティのみをこのユーザーが実行できることを確認します。LDAP ユーザーおよび AD ユーザーは、アプリケーション管理者ロールでのみ構成できます。
手順1. [管理]ウィンドウで、[管理] > [システム]を選択します。
[システム管理者]ビューが表示されます。2. [管理] > [オプション] > [LDAP オプション]を選択します。
[LDAP オプション]ウィンドウが表示されます。3. LDAP サーバを追加するには、 をクリックします。
[LDAP構成の追加]ウィンドウが表示されます。
4. [名前]フィールドで、LDAP構成の名前を入力します。5. [サーバ タイプ]フィールドで、以下の認証タイプのいずれかを選択します。
l Active Directory
l OpenLDAP
6. [LDAP サーバ]フィールドに、次のいずれかを入力します。l LDAP サーバまたは AD サーバのホスト名l LDAP サーバまたは AD サーバの IP アドレス
7. [LDAP ポート]フィールドに、外部認証機関によって使用されるポート番号を入力します。
LDAP用のデフォルトのポート番号は 389 です。
SSL の場合、[True]が選択されていると LDAPS のデフォルトの番号が 636 に変更されます。
8. [ベース DN]フィールドに、LDAP サーバ内で考慮されるユーザーとグループの範囲を入力します。例:DC=example, DC=comベース DNは、検索フィルタが適用される LDAP サーバの構造を決定します。これは通常、LDAP サーバが権限を持つドメイン名と類似しています。
9. [ユーザー名]フィールドに次のように入力します。a. LDAP または AD ディレクトリへの完全な読み取りアクセス権を持っているユーザー アカウントを次の形式で入力します:ユーザー @ ドメイン例:administrator@ldap.example.com
b. Active Directory の場合は、ユーザー名が次のいずれかであるようにします。
アクセス制御
LDAP および AD の構成 19
l 共通名l メール アドレスl 表示名l UPN(ユーザー プリンシパル名)l 同一アカウント名l DN(識別名)
c. OpenLDAP の場合は、ユーザー名が次のいずれかであるようにします。l 共通名l メール アドレスl エントリー識別名
d. ユーザーがディレクトリに対する読み取りアクセス権を持っていることを確認します。e. E メール通知を含めるには、アカウントの E メール アドレスを定義します。
定義済みの E メール アドレスを持つ管理者アカウントのみが、E メール通知を受信できます。デフォルトの admin ユーザーには E メール アドレスが設定されていないため、E メール通知を受け取ることはできません。
10. [パスワード]フィールドに、[ユーザー名]フィールドに指定したユーザー アカウントのパスワードを入力します。
11. [SSL]フィールドで、次のいずれかのオプションを選択します。l LDAPS を使用して、外部認証サーバに接続するには、[True]を選択します。
デフォルトのポート番号が自動的に 636 に変わります。l 安全な接続の設定を適用しない場合、[False]を選択します。
12. [デフォルト]フィールドで、オプションを[False]のまま設定します。
デフォルトでは、Isilon Search組み込み型の OpenLDAP サーバを参照します。
13. [接続のテスト]をクリックして接続をテストします。14. [保存]をクリックします。
認証構成このセクションでは、LDAP ユーザー アカウントとグループについて説明します。
ユーザーは、LDAP で構成された適切なアカウントを使用している場合にのみ、Isilon Search管理および検索Web ベース インターフェイスにリモートでログインできます。また、ソフトウェア内でのロールにより、ログイン時のユーザーの権限が決まります。次の表では、LDAP のアカウントおよびグループをリストしています。
アクセス制御
20 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
表 6 LDAP サーバ
アカウントおよびグループ
説明
システム管理者 システム管理者ができること:l 他のユーザーおよびグループにシステム管理者ロールを割り当てるl システムの稼働状態の表示l システム通知の構成および表示l LDAP ソースの管理
アプリケーション管理者 アプリケーション管理者ができること:l ユーザーおよびグループに、次の役割を割り当てる
n アプリケーション管理者n 検索管理者n 検索ユーザー
l Isilon クラスタ上のジョブのステータスを表示するl 次のものを含む、インデックスの検索ロールを管理する
n 検索管理者:すべてのアクセスn 検索管理者:読み取り専用n 検索ユーザー
l ソースの Isilon クラスタの追加または編集l LDAP ソースの管理l Isilon クラスタの通知の構成および表示l Isilon クラスタの稼働状態の表示
検索管理者:読み取り専用
検索管理者:読み取り専用ができること:l キーワード検索の実行l フィルタ検索の実行l 検索結果のメタデータの表示
検索管理者:すべてのアクセス
検索管理者:すべてのアクセスができること:l 検索結果の全コンテンツのインデックス作成を実行するl 検索結果の表示l ファイルをローカルにダウンロード
検索ユーザー 検索ユーザーが実行できること:l 検索結果の全コンテンツのインデックス作成を実行するl 検索結果の表示l ファイルをローカルにダウンロード
アクセス制御
認証構成 21
ロールについてロールとは、そのロールによって定義される複数の権限です。Isilon仮想アプライアンスを構成する場合、OpenLDAP から定義済みのユーザーがすでにあります。
システム管理者ロールシステム管理者のみが、別のシステム管理者ロールを割り当てることができます。システム管理者ができること:l 他のユーザーおよびグループにシステム管理者ロールを割り当てるl システムの稼働状態の表示l システム通知の構成および表示l LDAP ソースの管理
システム管理者ロールの割り当てシステム管理者のみが、別のシステム管理者ロールを追加することができます。手順
1. [管理]ウィンドウで、[管理] > [システム]を選択します。[システム]ビューが表示されます。
2. [管理] > [ロール]を選択します。[アプリケーション管理者の管理]ウィンドウが表示されます。
3. をクリックします。[ユーザーの選択]ウィンドウが表示されます。
4. [ユーザーの選択]ウィンドウで次の操作を実行します。a.[名前]フィールドで、次のカテゴリのいずれかに、検索を制限します。l ユーザーまたはグループl ユーザーl グループ
b. ユーザーまたはグループの名前を入力します。c.[ディレクトリ]フィールドで、認証プロバイダーを指定します。たとえば、Active Directory の名前などです。
d.[検索]をクリックします。ユーザーまたはユーザー グループのリストが表示されます。
サブストリングを指定する前に、[検索]をクリックした場合、全体のディレクトリが返されます。この操作によりパフォーマンスが低下する可能性があります。
「管理者」ロールを持つユーザーを検索するには:
アクセス制御
22 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
a. Admin と入力します。b.[検索]をクリックします。
e. ユーザー、グループを選択するか、または[すべて選択]をクリックします。f.[OK]をクリックします。
[ロールの管理]ウィンドウが表示されます。5. 追加されたユーザーまたはグループにロールを割り当てるには、[システム管理者]を選択し
ます。
アプリケーション管理者ロールアプリケーション管理者は、Isilon の具体的な構成を管理します。アプリケーション管理者だけが、別のアプリケーション管理者のロールを割り当てることができます。アプリケーション管理者は次のタスクを実行できます。l ユーザーおよびグループに、次の役割を割り当てる
n アプリケーション管理者n 検索管理者n 検索ユーザー
l Isilon クラスタ上のジョブのステータスを表示するl 次のものを含む、インデックスの検索ロールを管理する
n 検索管理者:すべてのアクセスn 検索管理者:読み取り専用n 検索ユーザー
l ソースの Isilon クラスタの追加または編集l LDAP ソースの管理l Isilon クラスタの通知の構成および表示l Isilon クラスタの稼働状態の表示
アクセス制御
アプリケーション管理者ロール 23
図 3 アプリケーション管理者の管理
アプリケーション管理者ロールの割り当てアプリケーション管理者だけが、アプリケーション管理者ロールを割り当てることができます。手順
1. [管理]ウィンドウで、[管理] > [Isilon]を選択します。
[Isilon管理]ビューが表示されます。
2. [管理] > [ロール]を選択します。
[ロールの管理]ウィンドウが表示されます。3. ユーザーまたはグループを追加するには、 をクリックします。
[ユーザーの選択]ウィンドウが表示されます。4. [ユーザーの選択]ウィンドウで次の操作を実行します。
a.[名前]フィールドで、次のカテゴリのいずれかに、検索を制限します。l ユーザーまたはグループl ユーザーl グループ
b. ユーザーまたはグループの名前を入力します。c.[ディレクトリ]フィールドで、認証プロバイダーを指定します。たとえば、Active Directory の名前などです。
d.[検索]をクリックします。ユーザーまたはユーザー グループのリストが表示されます。
アクセス制御
24 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
サブストリングを指定する前に、[検索]をクリックした場合、全体のディレクトリが返されます。この操作によりパフォーマンスが低下する可能性があります。
「管理者」ロールを持つユーザーを検索するには:a. Admin と入力します。b.[検索]をクリックします。
e. ユーザー、グループを選択するか、または[すべて選択]をクリックします。f.[OK]をクリックします。
[ロールの管理]ウィンドウが表示されます。5. 追加されたユーザーまたはグループにロールを割り当てるには、[アプリケーション管理者]を
選択します。
検索管理者ロール検索管理者は、インデックスのすべての設定をオーバーライドするグローバル検索管理者です。アプリケーション管理者だけが検索管理者ロールを割り当てることができます。検索管理者は、次のアクションを実行できます。l 検索結果の全コンテンツのインデックス作成を実行するl 検索結果の表示l ファイルをローカルにダウンロード
検索管理者ロールの割り当てアプリケーション管理者だけが検索管理者ロールを割り当てることができます。手順
1. [管理]ウィンドウで、[管理] > [Isilon]を選択します。
[Isilon管理]ビューが表示されます。
2. [管理] > [ロール]を選択します。
[ロールの管理]ウィンドウが表示されます。3. ユーザーまたはグループを追加するには、 をクリックします。
[ユーザーの選択]ウィンドウが表示されます。4. [ユーザーの選択]ウィンドウで次の操作を実行します。
a.[名前]フィールドで、次のカテゴリのいずれかに、検索を制限します。l ユーザーまたはグループl ユーザーl グループ
b. ユーザーまたはグループの名前を入力します。c.[ディレクトリ]フィールドで、認証プロバイダーを指定します。たとえば、Active Directory の名前などです。
アクセス制御
検索管理者ロール 25
d.[検索]をクリックします。ユーザーまたはユーザー グループのリストが表示されます。
サブストリングを指定する前に、[検索]をクリックした場合、全体のディレクトリが返されます。この操作によりパフォーマンスが低下する可能性があります。
「管理者」ロールを持つユーザーを検索するには:a. Admin と入力します。b.[検索]をクリックします。
e. ユーザー、グループを選択するか、または[すべて選択]をクリックします。f.[OK]をクリックします。
[ロールの管理]ウィンドウが表示されます。5. 追加されたユーザーまたはグループにロールを割り当てるには、[検索管理者]を選択しま
す。
検索ユーザー ロール検索ユーザーは、インデックスのすべての設定をオーバーライドするグローバル検索ユーザーです。アプリケーション管理者だけが検索ユーザー ロールを割り当てることができます。検索ユーザーは所有しているファイルのみを表示でき、構成済みの CIFS/SMB共有経由のアクセス権を持ちます。図 4 検索ロールの管理
検索ユーザーは、所有するファイルに対してのみ、次のアクションを実行できます。l 検索結果の全コンテンツのインデックス作成を実行するl 検索結果の表示l ファイルをローカルにダウンロード
アクセス制御
26 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
図 5 検索ユーザー ビュー
検索ユーザー ロールの割り当てアプリケーション管理者だけが検索ユーザー ロールを割り当てることができます。
手順1. [管理]ウィンドウで、[管理] > [Isilon]を選択します。
[Isilon管理]ビューが表示されます。
2. [管理] > [ロール]を選択します。
[ロールの管理]ウィンドウが表示されます。3. ユーザーまたはグループを追加するには、 をクリックします。
[ユーザーの選択]ウィンドウが表示されます。4. [ユーザーの選択]ウィンドウで次の操作を実行します。
a.[名前]フィールドで、次のカテゴリのいずれかに、検索を制限します。l ユーザーまたはグループl ユーザーl グループ
b. ユーザーまたはグループの名前を入力します。c.[ディレクトリ]フィールドで、認証プロバイダーを指定します。たとえば、Active Directory の名前などです。
アクセス制御
検索ユーザー ロール 27
d.[検索]をクリックします。ユーザーまたはユーザー グループのリストが表示されます。
サブストリングを指定する前に、[検索]をクリックした場合、全体のディレクトリが返されます。この操作によりパフォーマンスが低下する可能性があります。
「管理者」ロールを持つユーザーを検索するには:a. Admin と入力します。b.[検索]をクリックします。
e. ユーザー、グループを選択するか、または[すべて選択]をクリックします。f.[OK]をクリックします。
[ロールの管理]ウィンドウが表示されます。5. 追加されたユーザーまたはグループにロールを割り当てるには、[検索ユーザー]を選択しま
す。
インデックス固有の検索ロール次のロールを特定のインデックスに適用できます。
検索管理者:すべてのアクセス ロールアプリケーション管理者だけが、検索管理者:すべてのアクセス ロールを割り当てることができます。検索管理者:すべてのアクセス ロールは、特定のインデックス内で次のアクションを実行できます。l 検索結果の全コンテンツのインデックス作成を実行するl 検索結果の表示l ファイルをローカルにダウンロード図 6 検索管理者:すべてのアクセス ロール
アクセス制御
28 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
検索管理者:すべてのアクセス ロールの割り当てアプリケーション管理者だけが、特定のインデックス用に検索管理者:すべてのアクセス ロールを割り当てることができます。手順
1. ユーザーまたはグループが Active Directory または OpenLDAP ソースとして追加されていることを確認します。
2. [管理] > [インデックス]を選択します。インデックスのリストが表示されます。
3. ユーザーまたはグループにアクセス権を付与するインデックスを選択します。4. 検索ロールを管理するには、 をクリックします。[検索ロールの管理]ウィンドウが表示されます。
5. ユーザーまたはグループを追加するには、 をクリックします。[ユーザーの選択]ウィンドウが表示されます。
6. [ユーザーの選択]ウィンドウで次の操作を実行します。a.[名前]フィールドで、次のカテゴリのいずれかに、検索を制限します。l ユーザーまたはグループl ユーザーl グループ
b. ユーザーまたはグループの名前を入力します。c.[ディレクトリ]フィールドで、認証プロバイダーを指定します。たとえば、Active Directory の名前などです。
d.[検索]をクリックします。ユーザーまたはユーザー グループのリストが表示されます。
サブストリングを指定する前に、[検索]をクリックした場合、全体のディレクトリが返されます。この操作によりパフォーマンスが低下する可能性があります。
「管理者」ロールを持つユーザーを検索するには:a. Admin と入力します。b.[検索]をクリックします。
e. ユーザー、グループを選択するか、または[すべて選択]をクリックします。f.[OK]をクリックします。[ロールの管理]ウィンドウが表示されます。
7. ロールをユーザーまたはグループに割り当てるには、[検索管理者:すべてのアクセス]を選択します。
検索管理者:読み取り専用ロールアプリケーション管理者だけが、検索管理者:読み取り専用ロールを割り当てることができます。
アクセス制御
インデックス固有の検索ロール 29
検索管理者:読み取り専用ロールは、特定のインデックス内で次のアクションを実行できます。l キーワード検索の実行l フィルタ検索の実行l 検索結果のメタデータの表示図 7 検索管理者:読み取り専用ロール
検索管理者:読み取り専用ロールの割り当てアプリケーション管理者だけが、特定のインデックス用に検索管理者:読み取り専用ロールを割り当てることができます。手順
1. ユーザーまたはグループが Active Directory または OpenLDAP ソースとして追加されていることを確認します。
2. [管理] > [インデックス]を選択します。
インデックスのリストが表示されます。3. ユーザーまたはグループにアクセス権を付与するインデックスを選択します。4. 検索ロールを管理するには、 をクリックします。
[検索ロールの管理]ウィンドウが表示されます。5. ユーザーまたはグループを追加するには、 をクリックします。
[ユーザーの選択]ウィンドウが表示されます。6. [ユーザーの選択]ウィンドウで次の操作を実行します。
a.[名前]フィールドで、次のカテゴリのいずれかに、検索を制限します。l ユーザーまたはグループl ユーザーl グループ
アクセス制御
30 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
b. ユーザーまたはグループの名前を入力します。c.[ディレクトリ]フィールドで、認証プロバイダーを指定します。たとえば、Active Directory の名前などです。
d.[検索]をクリックします。ユーザーまたはユーザー グループのリストが表示されます。
サブストリングを指定する前に、[検索]をクリックした場合、全体のディレクトリが返されます。この操作によりパフォーマンスが低下する可能性があります。
「管理者」ロールを持つユーザーを検索するには:a. Admin と入力します。b.[検索]をクリックします。
e. ユーザー、グループを選択するか、または[すべて選択]をクリックします。f.[OK]をクリックします。
[ロールの管理]ウィンドウが表示されます。7. ロールをユーザーまたはグループに割り当てるには、[検索管理者:読み取り専用]を選択
します。検索管理者:読み取り専用ロールは、次のアクションを実行できません。l ヒットのインライン プレビューの表示l ヒットの完全なプレビューの表示l ファイルをローカルにダウンロード
検索ユーザー ロール検索ユーザーは、インデックスのすべての設定をオーバーライドするグローバル検索ユーザーです。アプリケーション管理者だけが検索ユーザー ロールを割り当てることができます。検索ユーザーは所有しているファイルのみを表示でき、構成済みの CIFS/SMB共有経由のアクセス権を持ちます。
アクセス制御
インデックス固有の検索ロール 31
図 8 検索ロールの管理
検索ユーザーは、所有するファイルに対してのみ、次のアクションを実行できます。l 検索結果の全コンテンツのインデックス作成を実行するl 検索結果の表示l ファイルをローカルにダウンロード図 9 検索ユーザー ビュー
アクセス制御
32 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
インデックス固有の検索ユーザー ロールの割り当てアプリケーション管理者だけが、特定のインデックス用に検索ユーザー ロールを割り当てることができます。手順
1. ユーザーまたはグループが Active Directory または OpenLDAP ソースとして追加されていることを確認します。
2. [管理] > [インデックス]を選択します。
インデックスのリストが表示されます。3. ユーザーまたはグループにアクセス権を付与するインデックスを選択します。4. 検索ロールを管理するには、 をクリックします。
[検索ロールの管理]ウィンドウが表示されます。5. ユーザーまたはグループを追加するには、 をクリックします。
[ユーザーの選択]ウィンドウが表示されます。6. [ユーザーの選択]ウィンドウで次の操作を実行します。
a.[名前]フィールドで、次のカテゴリのいずれかに、検索を制限します。l ユーザーまたはグループl ユーザーl グループ
b. ユーザーまたはグループの名前を入力します。c.[ディレクトリ]フィールドで、認証プロバイダーを指定します。たとえば、Active Directory の名前などです。
d.[検索]をクリックします。ユーザーまたはユーザー グループのリストが表示されます。
サブストリングを指定する前に、[検索]をクリックした場合、全体のディレクトリが返されます。この操作によりパフォーマンスが低下する可能性があります。
「管理者」ロールを持つユーザーを検索するには:a. Admin と入力します。b.[検索]をクリックします。
e. ユーザー、グループを選択するか、または[すべて選択]をクリックします。f.[OK]をクリックします。
[ロールの管理]ウィンドウが表示されます。7. ユーザーまたはグループにロールを割り当てるには、[検索ユーザー]を選択します。
アクセス制御
インデックス固有の検索ロール 33
検索ユーザーは所有しているファイルのみを表示でき、構成済みの CIFS/SMB共有経由のアクセス権を持ちます。これらのファイルに対してすべての操作を実行できます。
役割の管理このセクションでは、ユーザーのロールを追加および編集し、管理者へアクセス権限を割り当てる方法を説明します。
ユーザーまたはグループの追加システム管理者またはアプリケーション管理者のロールを持っていると、ユーザーにロールを割り当てることができます。手順
1. [管理]ウィンドウで、[管理] > [Isilon]または[管理] > [システム]のいずれかを選択します。[管理]ビューが表示されます。
2. [管理] > [ロール]を選択します。
[アプリケーション管理者の管理]ウィンドウが表示されます。3. ユーザーまたはグループを追加するには、 をクリックします。
[ユーザーの選択]ウィンドウが表示されます。4. [ユーザーの選択]ウィンドウで次の操作を実行します。
a.[名前]フィールドで、次のカテゴリのいずれかに、検索を制限します。l ユーザーまたはグループl ユーザーl グループ
b. ユーザーまたはグループの名前を入力します。c.[ディレクトリ]フィールドで、認証プロバイダーを指定します。たとえば、Active Directory の名前などです。
d.[検索]をクリックします。ユーザーまたはユーザー グループのリストが表示されます。
サブストリングを指定する前に、[検索]をクリックした場合、全体のディレクトリが返されます。この操作によりパフォーマンスが低下する可能性があります。
「管理者」ロールを持つユーザーを検索するには:a. Admin と入力します。b.[検索]をクリックします。
アクセス制御
34 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド
e. ユーザー、グループを選択するか、または[すべて選択]をクリックします。f.[OK]をクリックします。
[ロールの管理]ウィンドウが表示されます。5. ロールをユーザーまたはグループに割り当てるには、次のオプションの 1 つ以上をクリックしま
す。l アプリケーション管理者l 検索管理者l 検索ユーザー
図 10 [ロールの管理]ウィンドウ
ユーザーまたはグループの削除システム管理者またはアプリケーション管理者のロールで、ユーザーまたはグループを削除することができます。手順
1. [管理]ウィンドウで、[管理] > [Isilon]または[管理] > [システム]のいずれかを選択します。[管理]ビューが表示されます。
2. [管理] > [ロール]を選択します。
[アプリケーション管理者の管理]ウィンドウが表示されます。3. 削除するユーザーまたはグループの名前をクリックします。4. をクリックします。5. [確認]ウィンドウで、ユーザーまたはグループを削除するには[確認]をクリックします。
結果ユーザーまたはグループが表示されなくなります。
アクセス制御
ユーザーまたはグループの削除 35
ロールの割り当ての編集システム管理者またはアプリケーション管理者のロールがあれば、ロールの割り当てまたは編集が可能です。手順
1. [管理]ウィンドウで、[管理] > [Isilon]または[管理] > [システム]のいずれかを選択します。[管理]ビューが表示されます。
2. [管理] > [ロール]を選択します。
[アプリケーション管理者の管理]ウィンドウが表示されます。3. 編集するロールを持つユーザーまたはグループを選択します。4. 次のオプションのいずれかをクリックします。
l アプリケーション管理者l 検索管理者l 検索ユーザー
図 11 [ロールの管理]ウィンドウ
アクセス制御
36 Dell EMC Isilon Search 2.0 セキュリティ構成ガイド