前回はESXiにPaloaltVMをインストールしてみました。今回は管理者ロールや管理者について見ていきます。意外と後回しにしがちですが、adminアカウントはなんでも操作可能なのでPaloaltoを利用するユーザ毎に権限を絞るべきだと思います。
1. 管理者ロール作成
adminアカウントでログイン後、画面上でのDEVICEタブから管理者ロールをクリックし、画面左下にある「追加」をクリックします。
名前に"admin-policy"とし、WebUIから下記項目を無効化します。
| パラメータ | 値 |
|---|---|
| モニター |  |
| ネットワーク | |
| デバイス | |
次にXML APIタブをクリックし、すべて無効化されている事を確認します。
コマンドラインタブも「None」になっている事を確認して、「OK」をクリックします。
admin-policyロールが作成されました。
2. 管理者作成
次に管理者をクリックし、画面下の「追加」をクリックします。
名前を「p-admin」パスワードを入れ、管理タイプをロールベースにして先ほど作成したadmin-policyを選択し「OK」をクリックします。
3. コミット
p-adminが作成されました。では、反映したいと思います。画面左上にある「Commit」をクリックします。
画面右したの「コミット」をクリックします。
成功したら「閉じる」をクリックします。
4. 動作確認
ブラウザを新規に立ち上げて先ほど作成したp-adminユーザでPaloaltoへログインします。
画面に上に表示されている内容が減っています。これは管理者ロールを作成する際にモニター、ネットワーク、デバイスを無効化しているからですね。このように利用したいユーザ毎で権限をカスタマイズする事が出来ます。
また、単に閲覧だけであればユーザ作成時に管理者タイプを「ダイナミック」にして「スーパーユーザ(read-only)」を選ぶことが可能です。
5. その他
次回はZone/インタフェース作成をやってみたいと思います。