HCIのNutanix かなり良さげ(4)〜ACL〜

連載に戻る

Nutanixにログインするユーザー権限が非常にシンプルとなっており、やや物足りないと思えばその通り。もう少し、権限のカスタマイズができればいいのですが。権限についてはこちら(MANAGING LOCAL USER ACCOUNTS)に記載あります。ここでは、Nutanixでの権限情報について簡単に説明したいと思います。また、ユーザー管理の合理性から、Active Directory(AD)との連携設定方法もご案内します。

まず、Nutanixでは、次の権限(ロール)があります。

  - User Admin : 全ての操作が可能
  - Cluster Admin : User Admin からユーザ管理を削除した権限
  - Viewer : 参照のみ (=仮想マシンを操作するボタンが表示されません)

実質、AdminとViewerの2権限。Viewer権限の場合は、各仮想マシンからコンソールを起動すらできません。本当に参照だけとなっています。もうちょっと操作できる各機能に関した制御ができればいいんですけど。例えば、VMware vSphereの場合だと、アクセスできる仮想マシンのグループ単位で表示・非表示ができたり、どこまで操作できるか、アクセスコントロールができるため、複数ユーザーで役割を持たせることができますが、Nutanixの場合は、それができない。ややリスキーとなっている。

下の画面は役割を設定する画面。Adminのチェックを外せば、Viewerという権限になるようです。

ユーザーについてはActive Directoryに対応している。こちら(CONFIGURING AUTHENTICATION)を参考に設定が必要。設定方法は、シンプルです。

右上の歯車から認証をクリックします。部分的に日本語化されていません…。

ディレクトリタイプは、Active DirectoryとOpen LDAPのどちらかを選択できます。ここでは、Active Directoryでの例です。ドメインは、mDNSで話題ですが、xxx.localでも対応しています。ディレクトリは、ldap://xxx.local:389、サービスアカウント名は、AD(Active Directory)の管理者IDをメールアドレス形式(xxxx@xxx.local)で入力します。パスワードは、その管理者のパスワードを入れます。

認証方式には、「ディレクトリサービス」のチェックが外れていれば、チェックを入れて有効にします。

クライアントには、特にチェックは入れる必要ありません。

続いて、ADユーザーがPrism(Nutanixにログインするためのコンソール名)にログインする設定を行います。
歯車から、役割管理をクリックします。ディレクトリは、先ほど作成した、ディレクトリリスト作成時に登録した名前が表示されます。値には、ログインする情報を入力します。ドメイン名は外して入力します。

LDAPタイプは、グループ・ユーザー・OUから選択が可能です。

役割(ロール)は、先ほどあったAdminとかviewerとか。

設定したADでログインする場合には、xxxx@xxx.local といったメールアドレス形式で入力します。
Viewerユーザーでconfiguration的な操作をしようとすると、Access is deniedとしてエラーが出ます。

ただ、Prism 5.5から、このアクセス権限(ACL)は、もうちょっと柔軟になっているようです。5.5にバージョンアップしたら、また書きたいと思います。

おすすめの記事