Dell PowerStore Rack 仕様

ブランド: Dell

モデル: PowerStore Rack

タイプ: 仕様

Dell EMC PowerStore

セキュリティ構成ガイド

1.x

July 2020

Rev. A02

メモ、注意、警告

メモ: 製品を使いやすくするための重要な情報を説明しています。

注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。

警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。

所有者の商標である場合があります。

関連資料.........................................................................................................................................5

章 1: 認証とアクセス........................................................................................................................ 6

ユーザーアカウント、役割、権限の認証と管理を行う..............................................................................................6

工場出荷時デフォルトの管理..................................................................................................................................... 6

セッション規則...............................................................................................................................................................7

ユーザー名とパスワードの使用....................................................................................................................................7

ESXi パスワード.............................................................................................................................................................. 7

役割と権限.......................................................................................................................................................................8

役割の権限に基づくユーザーアカウント管理........................................................................................................11

管理者アカウントとサービスアカウントのパスワードのリセット.................................................................. 11

証明書................................................................................................................................................................................... 13

証明書を表示する.........................................................................................................................................................13

クラスター内の PowerStore アプライアンス間のセキュアな通信..........................................................................14

レプリケーションとデータインポートのためのセキュアな通信.............................................................................14

vSphere Storage API for Storage Awareness のサポート.............................................................................................14

CHAP 認証............................................................................................................................................................................15

CHAP を構成する............................................................................................................................................................... 16

外部 SSH アクセス............................................................................................................................................................. 16

外部 SSH アクセスの構成.................................................................................................................................................17

SSH セッション.............................................................................................................................................................17

サービスアカウントのパスワード............................................................................................................................ 17

SSH 認証......................................................................................................................................................................... 17

アプライアンスサービススクリプト...................................................................................................................... 18

アプライアンスノード Ethernet サービスポートと IPMItool.............................................................................. 18

NFS セキュア.......................................................................................................................................................................18

ファイルシステムオブジェクトに対するセキュリティ..........................................................................................19

マルチプロトコル環境のファイルシステムアクセス............................................................................................. 20

ユーザーマッピング.................................................................................................................................................... 20

NFS、SMB、FTP のアクセスポリシー.................................................................................................................. 25

ファイルレベルセキュリティの認証情報............................................................................................................ 25

CAVA（Common AntiVirus Agent）について................................................................................................................27

コード署名........................................................................................................................................................................... 27

章 2: 通信のセキュリティの設定...................................................................................................... 28

ポートの使用.......................................................................................................................................................................28

アプライアンスネットワークポート...................................................................................................................... 28

ファイルに関連するアプライアンスのネットワークポート............................................................................. 30

PowerStore X モデルアプライアンスに関連するネットワークポート...........................................................33

章 3: 監査......................................................................................................................................35

監査.......................................................................................................................................................................................35

章 4: データセキュリティ設定......................................................................................................... 36

目次 3

静止データ暗号化...............................................................................................................................................................36

暗号化のアクティブ化..................................................................................................................................................... 36

暗号化ステータス...............................................................................................................................................................36

キー管理............................................................................................................................................................................... 37

キーストアバックアップファイル............................................................................................................................... 37

暗号化が有効であるアプライアンスでのドライブの転用.......................................................................................38

暗号化が有効なシステムのベースエンクロージャとノードの交換........................................................................38

アプライアンスを工場出荷時設定にリセットする....................................................................................................38

章 5: 安全な保守設定......................................................................................................................39

運用に関する説明： SupportAssist

™

..............................................................................................................................39

SupportAssist オプション.................................................................................................................................................40

SupportAssist Gateway Connect オプション.................................................................................................................41

SupportAssist Direct Connect オプション......................................................................................................................41

SupportAssist Gateway Connect の要件.........................................................................................................................42

SupportAssist Direct Connect の要件..............................................................................................................................42

SupportAssist を設定する.................................................................................................................................................42

SupportAssist の構成......................................................................................................................................................... 42

付録 A: TLS 暗号スイート................................................................................................................44

サポートされている TLS 暗号スイート......................................................................................................................... 44

4 目次

改善努力の一環として、ソフトウェアおよびハードウェアのリビジョンを定期的にリリースしています。本書で説明されている機

能の中には、現在お使いのソフトウェアまたはハードウェアの一部のバージョンによってサポートされていないものがあります。製

品のリリースノートには、製品の機能に関する最新情報が掲載されています。製品が正常に機能しない、またはこのマニュアルの

説明どおりに動作しない場合には、テクニカルサポートプロフェッショナルにお問い合わせください。

問い合わせ先

サポート情報、製品情報、ライセンス情報は、次の場所で入手できます。

● 製品情報

製品および機能のドキュメントまたはリリースノートについては、www.dell.com/powerstoredocs で［PowerStore

Documentation］ページを参照してください。

● トラブルシューティング

製品、ソフトウェアアップデート、ライセンス、サービスの詳細については、www.dell.com/support にアクセスし、該当する製

品サポートページを参照してください。

● テクニカルサポート

テクニカルサポートおよびサービスリクエストについては、www.dell.com/support にアクセスし、Service Requests ページを

参照してください。サービスリクエストを利用するには、有効なサポート契約が結ばれている必要があります。有効なサポート

契約を結ぶ方法の詳細や、アカウントに関するご質問については、セールス担当者にお問い合わせください。

前書き

関連する役割と権限

システムでは、次のような、ファイルに関連する役割と権限がサポートされています。

メモ: のある欄は、その役割で権限がサポートされていることを示し、空欄は、その役割で権限がサポートされていないこ

とを示しています。

タスクオペレーター VM 管理者セキュリティ管

理者

ストレージ管理者管理者

次の項目を表示します。

● ファイルシステムアラート

● NAS サーバーリスト

● ファイルシステムリスト

● ファイルユーザークォータリ

スト

● ファイルインターフェイスル

ートリスト

● ファイルインターフェイスリ

スト

8 認証とアクセス

タスクオペレーター VM 管理者セキュリティ管

理者

ストレージ管理者管理者

● SMB 共有リスト

● NFS エクスポートリスト

次の項目を表示します。

● ファイル DNS サーバーのリス

トまたは指定した DNS サーバ

ー

● ファイル FTP サーバーのリス

トまたは指定した FTP サーバ

ー

● ファイルインターフェイスの

リストまたは指定したファイ

ルインターフェイス

● ファイルインターフェイスル

ートのリストまたは指定した

インターフェイスルート

● ファイル Kerberos サーバーの

リストまたは指定した

Kerberos サーバー

● ファイル LDAP サーバーのリ

ストまたは指定した LDAP サ

ーバー

● ファイル NDMP サーバーのリ

ストまたは指定した NDMP サ

ーバー

● ファイル NIS サーバーのリス

トまたは指定した NIS サーバ

ー

● ファイルシステムのリストま

たは指定したファイルシステ

ム

● ファイルツリークォータのリ

ストまたは指定したファイル

ツリークォータ

● ファイルユーザークォータの

リストまたは指定したユーザ

ークォータ

● ファイルウイルスチェッカー

のリストまたは指定したファ

イルウイルスチェッカー

● NAS サーバーのリストまたは

指定した NAS サーバー

● NFS エクスポートのリストま

たは指定した NFS エクスポー

ト

● NFS サーバーのリストまたは

指定した NFS サーバー

● SMB サーバーのリストまたは

指定した SMB サーバー

● SMB 共有のリストまたは指定

した SMB 共有

指定した

NAS サーバーの追加、変

更、削除、Ping、または指定した

NAS サーバーへのパスワード、ホ

スト、グループのアップロード

指定した NAS サーバーのパスワー

ドまたはホストの表示

認証とアクセス 9

タスクオペレーター VM 管理者セキュリティ管

理者

ストレージ管理者管理者

ファイルシステムの追加、または

既存の NAS サーバーにある指定し

たファイルシステムの変更や削

除

指定したファイルシステムに対

するクローンやスナップショット

の追加、指定したファイルシステ

ムの更新やリストア、または指定

したファイルシステムのクォータ

の更新

ファイルツリークォータの追加、

または指定したファイルツリー

クォータの変更、削除、更新

ファイルユーザークォータの追

加、または指定したファイルユー

ザークォータの変更、削除、更新

ファイルウイルスチェッカーの

追加、指定したファイルウイルス

チェッカーの変更、削除、または

指定したファイルウイルスチェ

ッカー構成のアップロード

指定したファイルウイルスチェ

ッカー構成のダウンロード

SMB や NFS サーバーの追加、また

は指定した SMB や NFS サーバー

の変更、削除、参加、分離

SMB 共有の追加、または指定した

SMB 共有の変更、削除

NFS エクスポートの追加、または

指定した NFS エクスポートの変

更、削除

ファイルインターフェイスの追

加、または指定したファイルイン

ターフェイスの変更、削除

ファイルインターフェイスルー

トの追加、または指定したファイ

ルインターフェイスルートの変

更、削除

ファイル DNS、ファイル FTP、フ

ァイル Kerberos、ファイル LDAP、

ファイル NDMP、ファイル NIS サ

ーバーの追加、または指定したフ

ァイル DNS、ファイル FTP、ファ

イル Kerberos、ファイル LDAP、

ファイル NDMP、ファイル NIS サ

ーバーの変更、削除

ファイル Kerberos キータブのア

ップロード

ファイル Kerberos キータブのダ

ウンロード

ファイル LDAP 構成または LDAP

証明書のアップロード

10 認証とアクセス

タスクオペレーター VM 管理者セキュリティ管

理者

ストレージ管理者管理者

ファイル LDAP 証明書のダウンロ

ード

役割の権限に基づくユーザーアカウント管理

管理者またはセキュリティ管理者の役割を持つユーザーは、ユーザーアカウント管理に関して次の操作を実行できます。

● 新規ユーザーアカウントを作成する。

● 組み込みの管理者アカウント以外のすべてのユーザーアカウントを削除する。

メモ: 組み込みの管理者アカウントは削除できません。

● 別のユーザーを任意の役割に変更する。

● 別のユーザーのパスワードをリセットする。

● 別のユーザーアカウントをロックするか、アンロックする。

メモ: 管理者またはセキュリティ管理者の役割を持つログイン中のユーザーは、自分のアカウントをロックできません。

ログインしているユーザーは自分のユーザーアカウントを削除できません。また、セキュリティ管理者または管理者の役割を持つ

ユーザーを除き、ログインしているユーザーは自分のパスワードのみを変更できます。ユーザーがパスワードを変更するには、自分

の古いパスワードを入力する必要があります。ログインしているユーザーは、自分のパスワードのリセット、自分の役割の変更、さ

らに自分のアカウントのロックまたはアンロックはできません。

組み込みの管理者アカウントプロファイル（管理者の役割を持つ）は、編集することも、ロックすることもできません。

ユーザーの役割またはロックのステータスが変更されるとユーザーは削除されます。また、セキュリティ管理者または管理者によっ

てパスワードが変更されると、そのユーザーに関連づけられているすべてのセッションは無効になります。

メモ: ユーザーがセッション内の自分のパスワードを更新した場合、セッションは有効のままになります。

管理者アカウントとサービスアカウントのパスワードのリセット

アプライアンスには、デフォルトの管理者ユーザーアカウントがあり、これにより初期構成を実行できます。また、デフォルトの

サービスユーザーアカウントも含まれており、これにより専門的なサービス機能を実行できます。REST API やコマンドラインイ

ンターフェイス（CLI）などの別の方法ではなく、まず PowerStore Manager UI を使用して PowerStore を構成することを推奨しま

す。PowerStore Manager UI を使用することで、すべてのデフォルトのパスワードが確実に変更されます。新しいパスワードを忘れ

た場合は、パスワードをデフォルト値にリセットできます。

これらのパスワードをリセットする方法は、アプライアンスが PowerStore T model と PowerStore X model のどちらであるかによっ

て異なります。アプライアンスに対応する方法を使用して、管理者、サービス、またはその両方のパスワードをリセットします。

PowerStore T model アプライアンスでの管理者アカウントパスワードとサービス

アカウントパスワードのデフォルト値へのリセット

このタスクについて

PowerStore T model アプライアンスの場合、管理者またはサービスユーザーのパスワードをリセットする主な方法は、USB ドライ

ブを使用することです。サポートされているファイルシステムには、FAT32 と ISO 9660 が含まれます。

メモ: アプライアンスがサービスモードになっているときにパスワードをリセットするには、次のように手順が 1 つ異なりま

す。USB リセットプロセスを各ノードに適用します。このアクションでシステムが標準モードに戻り、PowerStore Manager へ

のログイン時に、管理者とサービスユーザーの両方の新しいパスワードを入力するように求められます。

手順

1. USB ドライブがフォーマットされている場合は、次のステップに進みます。それ以外の場合は、 format <d:> /FS:FAT32

などのコマンドプロンプトを使用してドライブをフォーマットします。

ここで、d:は、ノートパソコンまたは PC に挿入された USB ドライブのドライブレターです。

認証とアクセス 11

2. 次のコマンドでラベルを設定します。

label d:

RSTPWD

メモ: アプライアンスでは、RSTPWD ラベルのない USB ドライブはマウントされません。USB ドライブにラベルを付けた

後、リセットするアカウントパスワード用の空のファイルを挿入します。管理者パスワード、サービスアカウントパスワ

ード、またはその両方をリセットすることができます。

3. ドライブ上に空のファイルを作成するには、必要に応じて次のコマンドのいずれかまたは両方を使用します。

copy NUL d:\admin

copy NUL d:\service

4. アプライアンスのいずれかのノードの USB ポートに USB ドライブを挿入し、10 秒間待ってから取り外します。

これで、リセットした各アカウントのパスワードがデフォルト値になります。

5. クラスターの IP アドレスを使用して、ブラウザーを介してクラスターに接続し、デフォルトの初期パスワード（Password123

#）を使用して管理者としてログインします。

管理者パスワード、サービスパスワード、またはその両方をリセットするプロンプトが表示されます。セキュアシェル（SSH）

を使用してサービスパスワードをリセットする場合、サービスアカウントの初期デフォルトパスワードは service です。

6. デフォルトから、ユーザーが指定したパスワードに管理者パスワードを変更します。

7. 管理者パスワードとは異なるサービスアカウント　パスワードを設定する場合は、関連するチェックボックスをオフにします。

タスクの結果

この手順を実行した後も、ログイン試行時にパスワードのリセットを求められない場合は、サービスプロバイダーにお問い合わせ

ください。

PowerStore X model アプライアンスでの管理者アカウントパスワードとサービス

アカウントパスワードのデフォルト値へのリセット

前提条件

プライマリーアプライアンスのプライマリーノード名（たとえば、PSTX-44W1BW2-A および PowerStore D6013）を確認します。

必要に応じて、reset.iso ファイルを生成します。

このタスクについて

PowerStore X model アプライアンスの場合は、ISO イメージを使用して vSphere からマウントします。事前に作成されたイメージ

ファイルは www.dell.com/support からダウンロードできます。また、どのパスワードをリセットする必要があるかに応じて、次の

タッチコマンドのいずれかまたは両方を使用して、Linux システムから独自のイメージを作成することもできます。

mkdir iso

touch iso/admin

touch iso/service

mkisofs -V RSTPWD -o reset.iso iso

メモ: vSphere から仮想 CD としてマウントするには、ISO イメージ、reset.iso がデータストアに存在している必要がありま

す。

メモ: アプライアンスがサービスモードになっているときにパスワードをリセットするには、次のように手順が 2 つ異なりま

す。パブリックデータストアを使用できないため、まず、ISO イメージをコントローラー仮想マシン（VM）自体の PRIVATE-

C9P42W2.A.INTERNAL データストアにアップロードする必要があります。次に、reset.iso ファイルをアップロードして、コ

ントローラー VM ノード A と B の両方に適用します。このアクションでシステムが標準モードに戻り、PowerStore Manager ア

クセスが利用可能になり、管理者とサービスユーザーの両方の新しいパスワードを入力するように求められます。

手順

1. vSphere の Storage で、お使いの PowerStore X model アプライアンスを選択します。

12 認証とアクセス

例：DataCenter-WX-D6013 > PowerStore D6013

2. Files で ISOs を選択します。

3. Upload を選択し、reset.iso ファイル（www.dell.com/support にある事前作成済みのイメージファイル、または Linux システ

ムで自身で作成したイメージファイルのいずれか）をアップロードします。

reset.iso ファイルが ISOs フォルダーに表示されます。

4. vSphere の Host and Clusters で、クラスター内のプライマリー PowerStore X model アプライアンスのプライマリーノードを選

択します。

例：DataCenter-WX-D6013 > Cluster WX-D6013 > PSTX-44W1BW2-A

5. Summary で CD/DVD drive 1 をクリックして、Connect to datastore ISO file を選択します。

Choose an ISO image to mount ウィンドウが表示されます。

6. Datastores でクラスター内のプライマリー PowerStore X model アプライアンスをクリックして、ISOs フォルダーを選択しま

す。

reset.iso ファイルは Contents に表示されます。

7. reset.iso ファイルを選択し、OK をクリックします。

Summary の CD/DVD drive 1 で約 10 秒 Connected と表示され、その後 Disconnected に変わります。クラスター管理者パス

ワードかサービスパスワード、またはその両方がデフォルトにリセットされます。

8. クラスターの IP アドレスを使用して、ブラウザーを介してクラスターに接続し、デフォルトの初期パスワード（Password123

#）を使用して管理者としてログインします。

管理者パスワード、サービスパスワード、またはその両方をリセットするプロンプトが表示されます。SSH を使用してサービス

パスワードをリセットする場合、サービスアカウントの初期デフォルトパスワードは service です。

9. デフォルトから、ユーザーが指定したパスワードに管理者パスワードを変更します。

10. 管理者パスワードとは異なるサービスアカウント　パスワードを設定する場合は、関連するチェックボックスをオフにします。

タスクの結果

この手順を実行した後も、ログイン試行時にパスワードのリセットを求められない場合は、サービスプロバイダーにお問い合わせ

ください。

証明書

PowerStore の証明書ストア内のデータは永続的です。証明書ストアには、次のタイプの証明書が保存されます。

● CA（認証局）の証明書

● クライアント証明書

● サーバー証明書

証明書を表示する

このタスクについて

アプライアンスに保存されている各証明書について、PowerStore Manager に次の情報が表示されます。

● Service

● Type

● Scope

● Issued by

● Valid

● Valid to

● Issued to

メモ: 追加の証明書情報を表示するには、REST API または CLI を使用します。

証明書情報を表示するには、次の操作を実行します。

手順

1. PowerStore Manager を起動します。

認証とアクセス 13

2. Settings をクリックし、Support で Certificates をクリックします。

アプライアンスに保存されている証明書に関する情報が表示されます。

3. 1 つの証明書を構成する一連の証明書とサービスの関連情報を表示するには、該当するサービスをクリックします。

View Certificate Chain が表示され、証明書を構成する一連の証明書についての情報が一覧表示されます。

クラスター内の PowerStore アプライアンス間のセキュア

な通信

クラスターの作成時に、クラスターマスターアプライアンスのプライマリーノードは、クラスター CA とも呼ばれる認証局（CA）

証明書を作成します。マスターアプライアンスによって、クラスター CA 証明書が、クラスターに参加するアプライアンスに渡さ

れます。

クラスター内の各 PowerStore アプライアンスは、クラスター CA 証明書によって署名される固有の IPsec 証明書を生成します。

PowerStore アプライアンスがそのクラスターネットワーク上で送信する機密データは IPsec と TLS で保護されるため、データのセ

キュリティと整合性は確保されます。

レプリケーションとデータインポートのためのセキュアな

通信

PowerStore の証明書と認証情報インフラストラクチャにより、サーバーとクライアントの証明書およびユーザー資格情報の交換が

可能になります。このプロセスには、以下が含まれます。

● TLS ハンドシェイク中のサーバー証明書の取得と検証

● リモートシステムから認証情報ストアへの信頼済み CA 証明書の追加

● 認証情報ストアへの信頼済みサーバー/クライアント証明書の追加

● 信頼が確立された後の安全な接続の確立への支援

PowerStore は、次の証明書管理機能をサポートしています。

● レプリケーションについては、2 つの PowerStore クラスター間での証明書の交換による信頼済み管理通信の確立。PowerStore

クラスター間のレプリケーションを容易にするために、クラスタ間に双方向信頼を確立して、レプリケーション REST 制御リク

エストの発行時に双方向 TLS 認証が行われるようにする必要があります。

● データのインポートについては、証明書、およびデータ保全を備えた認証情報交換による、Dell EMC ストレージシステム

（VNX、Unity、Storage Center（SC）、Peer Storage（PS）システム）と PowerStore クラスターの間で安全な接続の確立。

vSphere Storage API for Storage Awareness のサポート

vSphere Storage API for Storage Awareness（VASA）は、VMware が定義した、特定のベンダーに依存しないストレージ認識 API で

す。VASA プロバイダーは、着信 VASA API リクエストを処理するために協力して動作する複数のコンポーネントで構成されていま

す。すべての着信 VASA API を受信する VASA API ゲートウェイは、PowerStore クラスター内のプライマリーアプライアンス（フ

ローティング管理 IP を所有するもの）に導入されます。ESXi ホストおよび vCenter Server は、VASA プロバイダーに接続し、利用

可能なストレージトポロジー、機能、ステータスに関する情報を取得します。次に、vCenter Server は、この情報を vSphere クライ

アントに提供します。VASA は、PowerStore Manager クライアントではなく、VMware クライアントによって使用されます。

vSphere ユーザーは、この VASA プロバイダーインスタンスを、クラスターの VASA 情報のプロバイダーとして構成する必要があり

ます。主要なアプライアンスがダウンした場合は、関連するプロセスが VASA プロバイダーとともに、次のプライマリーとなるア

プライアンスで再開されます。IP アドレスは自動的にフェイルオーバーします。内部的には、新しくアクティブになった VASA プ

ロバイダーからの構成の変更イベントをプロトコルが取得したときに、障害が認識されますが、これによってユーザー介入を必要と

せずに VASA オブジェクトの自動再同期化が実行されます。

PowerStore は、vSphere 6.5 および 6.7 の VASA 3.0 インターフェイスを提供します。

VASA 3.0 は、Virtual Volumes（VVols）をサポートしています。VASA 3.0 は、VVols やストレージコンテナなど、ストレージの抽象

化にクエリーを実行するためのインターフェイスをサポートしています。この情報は、ストレージのポリシーベースの管理（SPBM）

で仮想ドライブの配置およびコンプライアンスに関する決定を行うために役立ちます。VASA 3.0 は、仮想ドライブのバックアップ

に使用される VVols のライフサイクルのプロビジョニングおよび管理を行うためのインターフェイスもサポートしています。こう

したインターフェイスは、VMware ESXi ホストによって直接起動されます。

14 認証とアクセス

VASA、vSphere、VVols の詳細については、VMware のドキュメントおよび PowerStore Manager オンラインヘルプを参照してくだ

さい。

VASA に関連する認証

vCenter から PowerStore Manager VASA プロバイダーへの接続を開始するには、vSphere クライアントを使用して、次の情報を入力

します。

● VASA プロバイダーの URL。VASA 3.0 のフォーマット、https://<管理 IP アドレス>:8443/version.xml を使用します。

● PowerStore Manager ユーザー（役割が VM 管理者または管理者）のユーザー名。

メモ: VM 管理者ロールは厳密に、証明書を登録する手段として使用されます。

● そのユーザーに関連づけられているパスワード。

ここで使用される PowerStore Manager 認証情報は、接続のこの最初のステップでのみ使用されます。PowerStore Manager 認証情

報がターゲットクラスターに有効である場合は、vCenter Server の証明書が自動的にクラスターに登録されます。この証明書を使用

して、vCenter からの以降のすべてのリクエストが認証されます。この証明書を VASA プロバイダーにインストールまたはアップ

ロードするために手動の操作は必要ありません。この証明書が期限切れになった場合、新しいセッションをサポートするために

vCenter で新しい証明書を登録する必要があります。証明書がユーザーによって取り消された場合、セッションは無効化され、接続

は切断されます。

vCenter セッション、安全な接続と認証情報

vCenter セッションは、vSphere 管理者が vSphere クライアントを使用して、VASA プロバイダーの URL とログイン認証情報を

vCenter Server に入力したときに開始されます。vCenter Server は、この URL、認証情報、VASA プロバイダーの SSL 証明書を使用

して、VASA プロバイダーとの安全な接続を確立します。vCenter セッションは、次のいずれかのイベントが発生すると終了しま

す。

● 管理者が vSphere クライアントを使用して、vCenter の構成から VASA プロバイダーを削除し、vCenter Server が接続を終了し

たとき。

● vCenter Server または vCenter Server サービスが失敗し、接続が終了したとき。vCenter または vCenter Server サービスが SSL

接続を再確立できない場合は、新しいサービスを起動します。

● VASA プロバイダーが失敗し、接続が終了したとき。VASA プロバイダーが開始すると、SSL 接続および VASA セッションを再

確立するために、vCenter Server からの通信に応答できます。

vCenter セッションは、vCenter Server と VASA プロバイダーの間のセキュア HTTPS 通信を基にしています。VASA 3.0 では、

vCenter Server が VMware 認証局（VMCA）として動作します。VASA プロバイダーは、リクエストの許可後、リクエストに応じて

自己署名された証明書を送信します。そして、VMCA 証明書をトラストストアに追加した後、証明書署名リクエストを発行し、自

己署名された証明書を VMCA 署名証明書にリプレースします。以降の接続は、以前に登録したルート署名証明書と照合して確認さ

れたクライアントの Storage Monitoring Service（SMS）証明書を使用して VASA プロバイダーによって認証されます。VASA プロバ

イダーは、ストレージエンティティーオブジェクトの一意の識別子を生成し、vCenter Server は、この識別子を使用して、特定の

エンティティーのデータをリクエストします。

VASA プロバイダーは、VASA セッションを確認するために SSL 証明書および VASA セッション識別子を使用します。セッションの

確立後、VASA プロバイダーは vCenter Server からの各関数呼び出しに関連づけられた SSL 証明書および VASA セッション識別子

の両方を確認する必要があります。VASA プロバイダーは、そのトラストストアに格納された VMCA 証明書を使用して、vCenter

SMS からの関数呼び出しに関連づけられた証明書を確認します。VASA セッションは、複数の SSL 接続間で継続されます。SSL 接

続がドロップすると、vCenter Server は同じ VASA セッションのコンテキストで SSL 接続を再確立するために VASA プロバイダー

に対して SSL ハンドシェイクを実行します。SSL 証明書の有効期限が切れた場合、vSphere 管理者は新しい証明書を生成する必要

があります。vCenter Server は新しい SSL 接続を確立し、VASA プロバイダーに新しい証明書を登録します。

注意: SMS は、3.0 VASA プロバイダーに対して unregisterVASACertificate 関数を呼び出しません。したがって、登録

解除した後でも、VASA プロバイダーは SMS から取得した VMCA 署名済み証明書を引き続き使用できます。

CHAP 認証

チャレンジハンドシェイク認証プロトコル（CHAP）は、iSCSI イニシエーター（ホスト）とターゲット（ボリュームとスナップシ

ョット）を認証する方法です。CHAP では、iSCSI ストレージが公開され、セキュアな標準ストレージプロトコルが確保されます。

認証は、パスワードと同様に、認証システムとピアの両方が知っているシークレットを使用して行われます。CHAP プロトコルに

は、次の 2 つのタイプがあります。

● 単方向 CHAP 認証では、iSCSI ターゲットがイニシエーターを認証できます。イニシエーターは、（標準モードまたは検出モードに

より）ターゲットに接続しようとする際に、ユーザー名とパスワードをターゲットに提供します。

認証とアクセス 15

● 双方向 CHAP 認証は、単方向 CHAP に加えて適用されます。双方向 CHAP では、iSCSI ターゲットとイニシエーターが相互に認

証を行うことができます。グループによって示される各 iSCSI ターゲットは、iSCSI イニシエーターによって認証されます。イニ

シエーターがターゲットに接続しようとする際に、ターゲットは、ユーザー名とパスワードをイニシエーターに提供します。イニ

シエーターは、提供されたユーザー名とパスワードを、自身が持つ情報と比較します。情報が一致した場合は、イニシエーターが

ターゲットに接続できます。

メモ: 環境内で CHAP を使用する場合は、CHAP 認証をセットアップして有効にしてから、データを受信するボリュームを準備

することをお勧めします。CHAP 認証を設定して有効化する前にデータを受信するようにドライブを準備すると、ボリュームへ

のアクセスが失われる可能性があります。

PowerStore は iSCSI CHAP 検出モードをサポートしていません。次の表は iSCSI CHAP 検出モードに関連する PowerStore の制限事

項を示しています。

表 1. iSCSI CHAP 検出モードの制限事項

CHAP モードシングルモード（イニシエーターが有効）相互モード（イニシエーターとターゲット

が有効）

検出 PowerStore はホストの認証（チャレンジ）

を行いません。認証を使用してターゲッ

トの検出を妨げることはできません。こ

れによって、ユーザーデータへの意図しな

いアクセスが発生することはありません。

PowerStore はホストからの認証リクエス

ト（チャレンジ）には応答せず、ホストが

PowerStore にチャレンジする場合、検出

は失敗します。

標準予期したとおりに作動します。認証情報

は PowerStore によりテストされます。

予期したとおりに作動します。認証情報

は PowerStore により転送されます。

ソースとターゲットのアプライアンス間のリモートレプリケーションでは、検証と更新のプロセスによって、ローカルシステムと

リモートシステムでの変更が検出され、データ接続が再確立されます。このとき、CHAP 設定も考慮されます。

CHAP を構成する

PowerStore クラスターでは、CHAP の単方向（イニシエーターが有効）認証または双方向（イニシエーターとターゲット）認証を有

効にすることができます。CHAP は、1 つのアプライアンスまたは複数 PowerStore アプライアンスと外部ホストのクラスター実装

に対して有効にすることができます。

単方向認証が有効である場合、外部ホストが追加されるときに、各イニシエーターのユーザー名とパスワードの入力が必要になりま

す。双方向認証が有効である場合は、クラスターのユーザー名とパスワードの入力も必要になります。ホストを追加し、CHAP を有

効にしてイニシエーターを追加する場合、イニシエーターのパスワードは一意である必要があります。同じホストの複数のイニシ

エーターに同じパスワードを使用することはできません。外部ホストの CHAP 構成の構成方法の詳細は、状況により異なります。

この機能を使用するには、ホストのオペレーティングシステムと、その構成方法を熟知している必要があります。

メモ: システムでホストが構成された後に CHAP を有効にすると、外部ホストが停止する結果となります。外部ホストとアプ

ライアンスの両方で構成が設定されるまで、I/O の中断が発生します。CHAP 構成を実装する場合は、CHAP 構成タイプを決定

してから、外部ホストをアプライアンスに追加することをお勧めします。

ホストを追加した後に CHAP を有効化する場合は、各ホストのイニシエーターを更新します。CHAP が有効である場合は、CHAP 認

証情報がないホストグループにホストを追加することはできません。CHAP を有効にし、後でホストを追加する場合は、

PowerStore Manager でホストを手動で登録（Compute で Hosts & Host Groups を選択）します。認証を使用するには、iSCSI レ

ベルで認証情報を入力する必要があります。この場合は、ホストから IQN をコピーしてから、各イニシエーターの関連 CHAP 認証

情報を追加します。

次のいずれかの方法を使用してクラスターの CHAP を構成します。

● CHAP：PowerStore Manager から設定ページにアクセスします（Settings をクリックし、Security で CHAP を選択）。

● REST API サーバー：アプリケーションインターフェイスで、CHAP の設定を構成するための REST API リクエストを受け取りま

す。REST API の詳細については、PowerStore REST API Reference Guide を参照してください。

CHAP のステータスを特定するには、PowerStore Manager で Settings をクリックし、Security で CHAP を選択します。

外部 SSH アクセス

各アプライアンスはオプションで、アプライアンスの IP アドレスの SSH ポートに外部セキュアシェル（SSH）がアクセスできる

ようにすることができます。これにより、ユーザーは、アプライアンスのプライマリーノードのサービス機能を使用できます。アプ

16 認証とアクセス

ライアンスの IP アドレスは、プライマリー指定の変更に従って、アプライアンスの 2 つのノード間でフローティングします。外部

SSH が無効化されている場合、SSH アクセスは許可されません。

アプライアンスが最初に起動し、構成されていない際は、SSH はデフォルトで有効になります。これにより、アプライアンスは、

クラスターに追加される前に問題が発生した場合でもサービスを実行できるようになります。新しいクラスターが作成された場合、

またはクラスターへの参加操作では、すべてのアプライアンスで SSH の初期設定が無効である必要があります。

外部 SSH アクセスの構成

次のいずれかの方法を使用して、クラスター内のアプライアンスへの外部 SSH アクセスを構成します。

● SSH Management：PowerStore Manager からアクセスできる SSH 設定ページ（Settings をクリックし、Security で SSH

Management を選択）。

● REST API サーバー：アプリケーションインターフェイスで、SSH の設定を構成するための REST API リクエストを受け取りま

す。REST API の詳細については、PowerStore REST API Reference Guide を参照してください。

● svc_service_config - アプライアンスにサービスユーザーとして直接入力できるサービスコマンド。このコマンドの詳細に

ついては、PowerStore Service Scripts Guide を参照してください。

クラスター内のアプライアンスでの SSH のステータスを特定するには、PowerStore Manager で Settings をクリックし、Security

で SSH Management を選択します。選択した 1 つまたは複数のアプライアンスで SSH を有効にしたり、無効にしたりすることも

できます。

SSH サービスが正常に有効化されたら、任意の SSH クライアントを使用してアプライアンスの IP アドレスにログインします。ア

プライアンスにアクセスするには、サービスユーザーの認証情報が必要です。

サービスアカウントを使用して、ユーザーは次の機能を実行できます。

● アプライアンスシステムの設定とオペレーションを監視およびトラブルシューティングするためにアプライアンスサービスス

クリプトを実行します。

● 制限付きシェルモードでは、特権のない Linux ユーザーアカウントのメンバーとして割り当てられた、限定セットのコマンドの

みを操作します。このアカウントには、専用のシステムファイル、構成ファイル、ユーザー/お客様データなどに対するアクセ

ス権はありません。

アプライアンスのセキュリティを最大限に高めるために、外部 SSH サービスインターフェイスは、アプライアンスで特に実行しな

ければならないサービス操作がある場合を除き、常に無効にしておくことをお勧めします。必要なサービス操作を実行したら、SSH

インターフェイスを無効にして、アプライアンスの安全性を確保します。

SSH セッション

PowerStore SSH サービスインタフェイスセッションは、SSH クライアントによって確立された設定に基づいて維持されます。セ

ッションの特性は、SSH クライアント構成設定によって決まります。

サービスアカウントのパスワード

サービスアカウントは、基本的な Linux コマンドを実行するためにサービス担当者が使用できるアカウントです。

アプライアンスの初期構成時に、デフォルトのサービスパスワードを変更する必要があります。サービスパスワードへの制限事項

は、システム管理アカウントに適用される制限事項と同じです（ユーザー名とパスワードの使用、p. 7 を参照）。

SSH 認証

サービスアカウント認証は、次のものに基づいています。

● アプリケーション分離：PowerStore ソフトウェアは、アプリケーション分離を提供するコンテナーテクノロジーを使用します。

サービスコンテナーはアプライアンスサービスへのアクセスを提供し、サービススクリプトのセットと Linux コマンドのセット

のみを使用できます。サービスアカウントには、ファイルシステムを提供しユーザーへの I/O をブロックする他のコンテナーに

アクセスする機能はありません。

● Linux ファイルシステムの権限：ほとんどの Linux ツールとユーティリティーは、何らかの方法でシステムオペレーションを変

更するものであり、サービスユーザーに対しては使用できません。これには、スーパーユーザーアカウントの権限が必要です。

サービスアカウントにはこれらの権限がないため、サービスアカウントでは、実行に必要なアクセス権限がない Linux のツール

やユーティリティの使用や、読み取りや変更に root アクセスを必要とする構成ファイルの編集はできません。

認証とアクセス 17

● アクセス制御：コンテナーテクノロジーによって提供されるアプリケーション分離に加えて、アプライアンス上のアクセス制御

リスト（ACL）メカニズムでは、サービスアカウントによるシステムリソースへのアクセスを明示的に許可または拒否する、

非常に特殊なルールのリストを使用します。標準の Linux ファイルシステム権限によって定義されない、アプライアンスの他の

領域に対するサービスアカウント権限は、これらの規則によって指定されます。

アプライアンスサービススクリプト

アプライアンスのソフトウェアバージョンには、問題の診断、システム構成、システムリカバリーに関する一連のスクリプトがイ

ンストールされています。これらのスクリプトを使用すると、PowerStore Manager を使用した場合よりも、さらに詳しい情報を収

集し、より深いレベルのシステム制御を行うことができます。PowerStore Service Scripts Guide では、これらのスクリプトとその

一般的な使用例について説明します。

アプライアンスノード Ethernet サービスポートと IPMItool

ご使用のアプライアンスは、各ノードの Ethernet サービスポートを介したコンソールアクセスを提供します。このアクセスには、

IPMItool を使用する必要があります。IPMItool は、SSH や Telnet に似たネットワークツールであり、IPMI プロトコルを使用して、

Ethernet 接続を介した各ノードとのインターフェイスを確立します。IPMItool は、アプライアンスのノードコンソールにアクセスす

るための安全な通信チャネルをネゴシエートする Windows ユーティリティーです。このユーティリティーでは、コンソールをアクテ

ィブ化するために物理アクセスが必要です。

ノード Ethernet サービスポートインターフェイスでは、サービス SSH インターフェイス（サービス LAN インターフェイス）と同じ

機能が提供され、同じ制限が適用されます。ただし、ユーザーはインターフェイスにアクセスするために、SSH クライアントでは

なく Ethernet ポート接続を使用します。このインターフェイスはフィールドサービス担当者向けに設計されており、ネットワーク

を妨害することなくアプライアンスに接続できます。専用の管理コンソールは必要ありません。

このインターフェイスは、直接的なポイントツーポイントでルーティング不可能な接続を提供します。サービス担当者は、コンソー

ルの出力にサービス LAN インターフェイスを使用して、PowerStore サービスコンテナーと PowerStore Manager（ICW（初期構成ウ

ィザード）を含む）に SSH アクセスできます。サービス LAN インターフェイスを介したサービスコンテナーへの SSH アクセスは常

に有効であり、無効にすることはできません。ただし、サービスアカウントの認証情報は管理できます。

サービススクリプトのリストについては、PowerStore Service Scripts Guide を参照してください。

NFS セキュア

NFS セキュアでは、NFSv3 および NFSv4 でユーザーを認証するために Kerberos を使用します。Kerberos は、整合性（署名）とプ

ライバシー（暗号化）を提供します。整合性とプライバシーは有効化に必須ではなく、NFS のエクスポートオプションです。

Kerberos を使用しない場合、サーバーはユーザー認証についてクライアントに全く依存することになります。サーバーはクライアン

トを信頼します。Kerberos を使用する場合、サーバーは KDC（キー配布センター）を信頼します。KDC は、認証を処理し、アカウ

ント（プリンシパル）とパスワードを管理します。さらに、パスワードが送信されることもありません。

Kerberos を使用しない場合、ユーザーの認証情報が暗号化されずに送信されるため、簡単になりすましの被害に遭います。Kerberos

を使用すると、ユーザーの ID（プリンシパル）は暗号化された Kerberos のチケットに含まれ、それを読み取れるのはターゲットサ

ーバーと KDC だけです。暗号化キーを知ることができるのは、ここだけです。

NFS セキュアに関連して、Kerberos では AES128 および AES256 暗号化がサポートされます。NFS セキュアとともに、SMB と LDAP

にインパクトを与えます。これらの暗号化は、Windows および Linux でデフォルトでサポートされています。これらの新しい暗号

化は非常に安全ですが、それを使用するかどうかはクライアントにかかっています。サーバーはそのユーザープリンシパルからア

クティブ Unix ディレクトリーサービス（UDS）をクエリーして、ユーザーの認証情報を構築します。NIS はセキュアでないため、

NFS セキュアと使用することは推奨されません。Kerberos は LDAP または LDAPS と併用することが勧められています。

NFS セキュアは、PowerStore Manager を使用して構成できます。

ファイルプロトコルの関係

Kerberos を使用するには、次が必要です。

● DNS：IP アドレスの代わりに DNS 名を使用する必要があります。

● NTP：PowerStore には NTP サーバーが構成されている必要があります。

メモ: Kerberos を使用するには、ネットワークで KDC、サーバー、クライアントの時刻が正確に同期されている必要があり

ます。

18 認証とアクセス

● UDS：認証情報の構築用。

● ホスト名：Kerberos は、IP アドレスではなく、名前を使用します。

NFS では、ホスト名の値に応じて、1 つまたは 2 つのサービスプリンシパル名（SPN）を使用します。ホスト名が完全修飾ドメイ

ン名形式である host.domain の場合：

● 短い SPN：nfs/host@REALM

● 長い SPN：nfs/host.domainFQDN@REALM

ホスト名が完全修飾ドメイン名形式でない場合、短い SPN のみが使用されます。

SMB と同様に、SMB サーバーをドメインに結合できるように、NFS サーバーをレルム（Kerberos でドメインに相当）に結合するこ

とができます。これには 2 つのオプションがあります。

● 構成された Windows ドメインがある場合はそれを使用します

● UNIX KDC ベースの Kerberos レルムを全部構成します

管理者が、構成された Windows ドメインを使用するよう選択した場合、ほかに行うことはありません。NFS サービスで使用される

すべての SPN は、SMB サーバーの参加/参加解除時に、KDC に自動的に追加/削除されます。NFS セキュアが SMB 構成を使用する

よう構成されている場合、SMB サーバーは破棄できないことにご注意ください。

管理者が、UNIX ベースの Kerberos レルムを使用するよう選択した場合、さらに構成する必要があります。

● レルム名：Kerberos レルムの名前で、一般にすべて大文字です。

● UNIX KDC ベースの Kerberos レルムを全部構成します。

クライアントが特定のセキュリティで NFS エクスポートをマウントできるよう、セキュリティパラメーター（sec）が提供されて

おり、どの最小限のセキュリティが許可されているかを示します。セキュリティには 4 種類のあります。

● AUTH_SYS：標準的な従来のセキュリティです。Kerberos を使用しません。サーバーはクライアントが提供する認証情報を信頼

します。

● KRB5：Kerberos v5 を使用した認証

● KRB5i：Kerberos の認証および整合性（署名）

● KRB5p：Kerberos の認証および整合性とプライバシー（暗号化）

NFS クライアントが、構成されている最小限のセキュリティを下回っているセキュリティでエクスポートをマウントした場合、ア

クセスは拒否されます。たとえば、最小限のアクセスが KRB5i の場合、AUTH_SYS または KRB5 を使用したマウントはすべて拒否

されます。

認証情報の作成

ユーザーがシステムに接続すると、そのシステムのプリンシパルである user@REALM のみが表示されます。これは、Kerberos チケ

ットから抽出されています。AUTH_SYS セキュリティとは異なり、認証情報は NFS リクエストに含まれません。プリンシパルから

ユーザーの部分（@の前）が抽出され、対応する UID の UDS を検索するために使用されます。その UID から、システムはアクティ

ブ UDS を使って認証情報を作成します。これは拡張 NFS 認証情報が有効な場合と同様です（例外は、Kerberos がない場合、UID

はリクエストによって直接提供されます）。

プリンシパルが UDS でマッピングされていない場合、構成されたデフォルト UNIX ユーザーの認証情報が代わりに使用されます。

デフォルト UNIX ユーザーが設定されていない場合、使用される認証情報は nobody のものとなります。

ファイルシステムオブジェクトに対するセキュリティ

マルチプロトコル環境では、セキュリティポリシーはファイルシステムレベルで設定されて、ファイルシステムごとに独立して

います。各ファイルシステムはアクセスポリシーを使用して、NFS と SMB との間のアクセス制御セマンティックの違いを解決す

る方法を判別します。アクセスポリシーを選択することで、特定のファイルシステムでファイルセキュリティを適用するために

使用するメカニズムが決定します。

メモ: ご自分の環境で古い SMB1 プロトコルをサポートする必要がある場合、svc_nas_cifssupport サービスコマンドを使

用して有効にできます。このサービスコマンドの詳細については、PowerStore Service Scripts Guide を参照してください。

UNIX セキュリティモデル

UNIX ポリシーを選択した場合、SMB プロトコルからのファイルレベルセキュリティの変更、ACL（アクセス制御リスト）への変

更の試行は無視されます。UNIX のアクセス権は、ファイルシステムオブジェクトのモードビットまたは NFSv4 ACL と呼ばれま

す。モードビットは、ビット文字列で表されます。各ビットは、ファイルを所有するユーザー、ファイルシステムオブジェクトに

認証とアクセス 19

関連づけられているグループ、その他のすべてのユーザーに許可されているアクセスモードまたは権限を表します。UNIX のモード

ビットは、ユーザーのカテゴリー（ユーザー、グループ、その他）ごとに連結された 3 文字 rwx（読み取り、書き込み、実行）の 3

個のセットとして表されます。ACL は、サービスへのアクセスの許可や拒否を制御するためのユーザーとユーザーグループのリスト

です。

Windows セキュリティモデル

Windows セキュリティモデルは、SD（セキュリティディスクリプター）およびその ACL の使用を含み、主にオブジェクト権限単

位に基づきます。SMB ポリシーを選択した場合、NFS プロトコルのモードビットに対する変更は無視されます。

ファイルシステムオブジェクトへのアクセスは、権限がセキュリティディスクリプターを使用して許可または拒否に設定されて

いるかどうかにより異なります。SD は、オブジェクトの所有者とグループ SID、その ACL を記述します。ACL は、各オブジェクト

のセキュリティディスクリプターの一部です。各 ACL には、ACE（アクセス制御エントリー）が含まれます。各 ACE には、ユー

ザー、グループ、コンピューターを示す単一 SID、その SID で拒否または許可されている権限のリストが含まれます。

マルチプロトコル環境のファイルシステムアクセス

ファイルアクセスは NAS サーバーを使用して提供されます。NAS サーバには、データが格納される一連のファイルシステムが含ま

れます。NAS サーバでは、SMB 共有および NFS 共有を使用してファイルシステムを共有することによって、NFS、SMB ファイル

プロトコルのこのデータへのアクセスを提供します。マルチプロトコル共有の NAS サーバモードでは、SMB と NFS 間の同じデー

タの共有が可能です。マルチプロトコル共有モードではファイルシステムへの同時 SMB および NFS アクセスを提供するため、

Windows ユーザーの UNIX ユーザーへのマッピング、使用するセキュリティルール（モードビット、ACL、ユーザー資格情報）の定

義を考慮に入れ、マルチプロトコル共有用に適切に構成する必要があります。

メモ: マルチプロトコル共有、ユーザーマッピング、アクセスポリシー、ユーザー資格情報に関する NAS サーバーの構成および

管理については、PowerStore Manager オンラインヘルプを参照してください。

ユーザーマッピング

マルチプロトコルコンテキストでは、Windows ユーザーは UNIX ユーザーと一致する必要があります。ただし、UNIX ユーザーを

Windows ユーザーにマッピングする必要があるのは、アクセスポリシーが Windows である場合のみです。この一致が必要なのは、

プロトコルに対してネイティブでない場合でも、ファイルシステムのセキュリティを適用させるためです。ユーザーマッピングに

は次のコンポーネントが必要です。

● UNIX ディレクトリサービスまたはローカルファイル、もしくはその両方

● Windows リゾルバー

● secmap（セキュアマッピング）：SID と NAS サーバーによって使用される UID または GID との間のすべてのマッピングを格納す

るキャッシュです。

● ntxmap

メモ: ユーザーマッピングは、SMB サーバーのローカルのユーザーまたはグループには影響しません。

UNIX ディレクトリサービスとローカルファイル

UDS（UNIX ディレクトリサービス）とローカルファイルを使用して、以下が行われます。

● 特定の UID（ユーザー識別子）の場合、対応する UNIX アカウント名を返す。

● 特定の UNIX アカウント名の場合、応する UID およびプライマリ GID（グループ識別子）を返す。

サポートされるサービスとは、次のとおりです。

● LDAP

● NIS

● ローカルファイル

● なし（考えられるマッピングは、デフォルトのユーザーを介したものだけです）

マルチプロトコル共有が有効のときは、NAS サーバーに対して、1 つの UDS を有効にするか、ローカルファイルを有効にするか、

またはローカルファイルと UDS の両方を有効にする必要があります。NAS サーバーの Unix ディレクトリーサービスのプロパティ

によって、ユーザーマッピングにどれを使用するかが決定します。

20 認証とアクセス

ページが読み込まれています...

Dell PowerStore Rack 仕様

ブランド: Dell

モデル: PowerStore Rack

タイプ: 仕様

PDFをダウンロードします

報告

Dell PowerStore Rack 仕様

Dell PowerStore Rack 仕様

関連論文

その他のドキュメント