第5回 Commvaultが提供するマルチテナント機能 (後編)

第5回となる今回は、前編に引き続きCommvaultのマルチテナント機能をご紹介していきます。

前編では、そもそもなぜバックアップ ソフトにマルチテナント機能が必要なのか、Commvaultはどのようにしてマルチテナントを実現するのかについてご紹介しました。その中で、Commvaultのマルチテナントはロールベース セキュリティにより実現していることをご紹介させていただきました。後編となる今回は、Commvaultのロールベース セキュリティをCommCell Consoleでどのように設定し、マルチテナントを実現していくのかをご紹介していきます。 

(1) 今回の説明用の環境と前提条件

今回の説明用の環境ですが、以下の画面ショットのように、CommServe (※都合によりCommServe名にはぼかしをいれています) 以外に、MediaAgentであるMediaAgentA、MediaAgentB、クライアントであるServerA、ServerBの4台が存在します。 

今回のブログでは、以下のような簡単な例を前提とし、Commvaultのロールベース セキュリティの設定方法をご説明します。 

  • 前提 1: テナントの1つであるA社では、ServerAとMediaAgentAのみを使用し、他のサーバーは使用しない。
  • 前提 2: このバックアップ システムのシステム管理者 (ユーザー名:admin) が、A社用に、テナント管理者役のユーザー (ユーザー名:CompanyAadmin) とオペレーター役のユーザー (ユーザー名:CompanyAope) を作成する。
  • 前提 3: オペレーター役のCompanyAopeはバックアップやリストアの操作を行えればよいため、必要以上にCommCell Console上でオプションを見せないようにする。
  • 前提 4: ここではデフォルトで準備されているロールを活用し、CompanyAadminにはロールTenant Adminを、CompanyAopeにはロールClient Adminsを割り当てる。 

(2) ロールベース セキュリティの設定

(2-1) クライアント コンピュータ グループの作成

A社ではServerAとMediaAgentAの2台しか使用しないため、クライアントコンピュータグループCompanyAを作成し、ServerAとMediaAgentAをこのグループに含めます。

クライアントコンピュータグループについては、こちらの説明を適宜ご参照ください。

システム管理者であるadminでCommCell Consoleにログインし、CommCell Console左側のCommCellブラウザの中の[クライアントコンピュータグループ]を右クリックし、表示されたメニューから、[新しいグループ]を選択します。

そうすると、「クライアント グループ作成」のウィンドウが表示されます。

[全般]タブが選択されていることを確認し、グループ名の箇所にCompanyAと入力します。また、画面下方の「すべてのクライアント」の箇所で、MediaAgentAとServerAの2つを選択してから (※[Ctrl]キーを押しながら左クリックすると、同時に2つを選択することが可能です) [含める >]をクリックし、「グループ内のクライアント」以下にMediaAgentとServerAの2つが表示されたことを確認してから、ウィンドウ下の[OK]をクリックします。

これで、MediaAgentAとServerAの2つを含むクライアントコンピュータグループCompanyAが作成できました。

(2-2) CV_Restricted_Visibilityユーザーグループの作成

次に、CV_Restricted_Visibilityユーザーグループを作成します。この例では、オペレーター役のCompanyAopeに必要以上にCommCell Console上でオプションを見せないようにするという前提条件がありますが、このような場合にCV_Restricted_Visibilityユーザー グループは便利です。CV_Restricted_Visibilityユーザーグループを作成し、このグループにユーザーを割り当てると、そのユーザーでCommCell Consoleにログインした場合に、多くの管理機能に関するオプションを非表示にすることができます。CV_Restricted_Visibilityユーザーグループでどのようなオプションが表示され、どのようなオプションが非表示となるかの詳細についてはこちらをご参照ください。 

CV_Restricted_Visibilityユーザー グループを作成するには、次の手順を実施します。

システム管理者であるadminでCommCell Consoleにログインし、CommCell Console左側のCommCellブラウザの一番上にあるCommServe名 (※都合によりCommServe名にはぼかしをいれています) を右クリックして[プロパティ]を選択します。

 

そうすると「CommCellプロパティ」ウィンドウが表示されますので、[追加設定]タブを選択します。

ここで、ウィンドウの下方にある[追加]をクリックして、「追加設定を追加」のウィンドウを表示させます。

 

このウィンドウ内の名称の箇所に”nRestricted”と入力してください。そうすると、”nRestrictedViewEnabled”と表示されますので、これを選択します。

”nRestrictedViewEnabled”を選択すると、カテゴリ、タイプ、値に自動的に値がセットされます。デフォルトの状態では、値には「0」と入力されています。

この値の「0」を「2」に書き換えてから、[OK]をクリックします。

「CommCellプロパティ」のウィンドウに戻りますので、ここでウィンドウ下部の[OK]をクリックします。

その後、CommServeのインストールされているシステムでCommvault Process Managerを起動し、[サービス]タブを選択して、All Servicesの上で右クリックし、[再起動]を選択してCommvaultのサービスを再起動させてください。

Commvaultのサービス再起動後、CommCell Consoleに再度adminユーザーでログインし、CommCellブラウザで、[セキュリティ] > [CommCellユーザーグループ]と展開して進んでいくと、ユーザーグループ「CV_Restricted_Visibility」が作成されていることが確認できます。

(2-3) テナント用ユーザーの作成、クライアントコンピュータグループ・ロールとの関連付け

次にテナント用のユーザーを作成して、2-1)の項で作成したクライアント コンピュータ グループ及びロールとの関連付けを行っていきます。

前編でご紹介した内容の復習となりますが、Commvaultのマルチテナントはロールベース セキュリティにより実現しており、ユーザー (ユーザーグループ) 、ロール、エンティティの3つを関連付けることで、誰にどのような権限を何に対して与えるかを定義しています。

ここでは、A社のテナント管理者役のユーザーであるCompanyAadminとオペレーター役のユーザーCompanyAopeを作成します。そして、エンティティとしては、2-1)の項で作成したクライアント コンピュータ グループのCompanyAを指定し、ロールとしてはユーザーCompanyAadminに対してはデフォルトで作成されるロールのTenant Adminを、ユーザーCompanyAopeに対してはデフォルトで作成されるロールのClient Adminsを割り当てていきます。  

システム管理者であるadminでCommCell Consoleにログインし、CommCell Console左側のCommCellブラウザで、[セキュリティ] > [CommCellユーザー]と進み、[CommCellユーザー]の上で右クリックして、[新しいユーザー]をクリックします。

そうすると、「新しいユーザーのプロパティ」のウィンドウが表示されます。最初にユーザーCompanyAadminを作成します。[全般]タブで、ユーザー名、パスワード、パスワードの再入力、フルネーム、電子メールIDの箇所に必要事項を入力します。入力が終わりましたら、[関連付けられたエンティティ]タブをクリックします。

この[関連付けられたエンティティ]タブで、作成するユーザーとエンティティ、ロールの関連付けを設定していきます。ウィンドウの下方にある[追加]をクリックします。 

そうすると、以下のような「関連付けの追加」ウィンドウが表示されます。ウィンドウの左側でエンティティ、右側でロールを指定していくことができます。

 

この例では、エンティティは2-1)の項で作成したクライアント コンピュータ グループのCompanyAになりますので、ウィンドウ左側のエンティティの枠内の[クライアント コンピュータ グループ]を展開し、その配下にある「CompanyA」のチェックボックスにチェックを入れます。

これでエンティティの指定ができましたので、ロールの指定に進みます。この例では、デフォルトで作成されるTenant Adminのロールを割り当てますので、ウィンドウ右側のロールの枠内の「ロールを選択してください」のボックスの中からTenant Adminを選択します。その後、ウィンドウ下部の[OK]をクリックします。

 

そうすると、「新しいユーザーのプロパティ」のウィンドウに戻りますので、ウィンドウ下部の[OK]をクリックしてください。

これで、A社のテナント管理者役のユーザーであるCompanyAadminが作成できました。

次に、A社のオペレーター役のユーザーCompanyAopeを作成します。CommCell Console左側のCommCellブラウザで、[セキュリティ] > [CommCellユーザー]と進み、[CommCellユーザー]の上で右クリックして、[新しいユーザー]をクリックします。

「新しいユーザーのプロパティ」のウィンドウが表示されますので、CompanyAopeを作成します。[全般]タブで、ユーザー名、パスワード、パスワードの再入力、フルネーム、電子メールIDの箇所に必要事項を入力します。入力が終わったら、[ユーザー グループ]タブをクリックします。

この[ユーザーグループ]タブで、2-2)の項で作成したCV_Restricted_Visibilityグループを指定することで、作成するユーザーCompanyAopeをCV_Restricted_Visibilityグループに所属させ、バックアップやリストア操作を行えればよいユーザーには不要な管理用のオプションを非表示にし、CommCell Console上の表示をシンプルにすることができます。

ウィンドウ左側の「使用可能なグループ」以下に表示されている「CV_Restricted_Visibility」を選択し、ウィンドウ中央の[>]をクリックします。そうすると、「メンバ グループ」以下に

「CV_Restricted_Visibility」が表示されます。これで、このユーザーCompanyAopeをCV_Restricted_Visibilityユーザーグループに含めることができます。 

その後、[関連付けられたエンティティ]タブを選択し、ウィンドウ下部の[追加]をクリックします。

ウィンドウ「関連付けの追加」が表示されますので、先程と同様の手順でエンティティとロールの関連付けを行います。

ウィンドウ左側のエンティティの枠内の[クライアント コンピュータ グループ]を展開し、その配下にある「CompanyA」のチェックボックスにチェックを入れます。

次に、ロールの指定に進みます。この例では、デフォルトで作成されるClient Adminsのロールを割り当てますので、ウィンドウ右側のロールの枠内の「ロールを選択してください」のボックスの中からClient Adminsを選択します。その後、ウィンドウ下部の[OK]をクリックします。 

そうすると、「新しいユーザーのプロパティ」のウィンドウに戻りますので、ウィンドウ下部の[OK]をクリックしてください。

これで、A社のオペレーター役のユーザーであるCompanyAopeも作成できました。

(3) CommCell Consoleでの表示の違いの確認

これでロールベース セキュリティの設定が一通り完了しました。最後に、システム管理者であるadmin、テナント管理者役のCompanyAadmin、テナント内オペレーター役のCompanyAopeの3ユーザーでどのようにCommCell Consoleの表示がどのように異なるかを、CommCellブラウザでの表示を例にご紹介します。 

以下の3つの画面ショットは、左から順番に、admin、CompanyAadmin、CompanyAopeの各ユーザーでそれぞれCommCell Consoleにログオンした時のCommCellブラウザの表示です (※都合によりCommServe名等、一部にぼかしをいれています) 。

     

これらの画面ショットをご覧いただくと、adminでログインした場合はデフォルトで作成されるクライアント コンピュータ グループや作成したCompanyAクライアント コンピュータ グループに含めていないServerB等のクライアント コンピュータも表示されていますが、CompanyAadminでは、CompanyAクライアント コンピュータ グループおよびその中のクライアント コンピュータしか表示されていないことが確認できます。また、CompanyAopeでログインした場合、CV_Restricted_Visibilityユーザー グループの効果により、「セキュリティ」や「ストレージ リソース」等の管理用の項目が非表示になっていることが確認できます。 

今回はCommvaultのロールベース セキュリティをCommCell Consoleで設定していく方法について、簡単な例を通してご紹介いたしました。説明を簡略化するため、デフォルトで作成されているロールを使用して操作を進めましたが、ロールをカスタマイズして、より細かく権限の設定を行っていくことも可能ですので、バックアップ システムのマルチテナント化をお考えの方は、Commvaultを一度ご検討いただければ幸いです。 

※このブログ中で紹介している画面ショットには、一部ぼかしが入っておりますことをご了承ください。
※このブログでご紹介している手順および画面ショットは、Commvault v11 Service Pack 11の環境で確認したものです。 

【参考資料】

 

前回の記事へ | 次の記事へ>

Posted on 2018.08