Tips-06

Commvaultが提供するマルチテナント機能 (後編)

今回は前編に引き続きCommvaultのマルチテナント機能をご紹介していきます。

前編では、そもそもなぜバックアップソフトにマルチテナント機能が必要なのか、Commvaultはどのようにしてマルチテナントを実現するのかについてご紹介しました。その中でCommvaultのマルチテナントはロールベース セキュリティにより実現していることをご紹介させていただきました。後編となる今回はCommvaultのロールベース セキュリティをCommCell Consoleでどのように設定しマルチテナントを実現していくのかを紹介していきます。

今回の環境と前提条件

今回の環境ですが、以下の画面ショットのようにCommServe以外にMediaAgentであるMediaAgentA・MediaAgentB、
クライアントであるServerA・ServerBの4台が存在します。

今回は以下のような簡単な例を前提とし、Commvaultのロールベース セキュリティの設定方法をご説明します。

前提 1
テナントの1つであるA社ではServerAとMediaAgentAのみを使用し他のサーバーは使用しない。


前提 2

バックアップシステムのシステム管理者 (ユーザー名:admin) が、A社用にテナント管理者役のユーザー ( ユーザー名:CompanyAadmin ) とオペレーター役のユーザー ( ユーザー名:CompanyAope ) を作成する。


前提 3

オペレーター役のCompanyAopeはバックアップやリストアの操作を行えればよいため、必要以上にCommCell Console上でオプションを見せないようにする。


前提 4

ここではデフォルトで準備されているロールを活用し、CompanyAadminにはロールTenant Adminを、CompanyAopeにはロールClient Adminsを割り当てる。

ロールベース セキュリティの設定

(1) クライアント コンピュータ グループの作成

A社ではServerAとMediaAgentAの2台しか使用しないため、クライアントコンピュータグループCompanyAを作成し、ServerAとMediaAgentAをこのグループに含めます。

クライアントコンピュータグループについては、 こちらの説明を適宜参照してください。

システム管理者であるadminでCommCell Consoleにログインし CommCell Console左側のCommCellブラウザの中の [クライアントコンピュータグループ] を右クリック。表示されたメニューから [新しいグループ] を選択します。

そうすると「クライアント グループ作成」のウィンドウが表示されます。

[全般]タブが選択されていることを確認しグループ名の箇所にCompanyAと入力します。
また画面下方の「すべてのクライアント」の箇所で MediaAgentAとServerAの2つを選択してから ( ※[Ctrl]キーを押しながら左クリックすると同時に2つを選択することができます ) [含める >] をクリックし、「グループ内のクライアント」以下にMediaAgentとServerAの2つが表示されたことを確認してからウィンドウ下の[OK]をクリックします。

これでMediaAgentAとServerAの2つを含むクライアントコンピュータグループCompanyAが作成できました。

(2) CV_Restricted_Visibilityユーザーグループの作成

次にCV_Restricted_Visibilityユーザーグループを作成します。
この例ではオペレーター役のCompanyAopeに必要以上にCommCell Console上でオプションを見せないようにするという前提条件がありますが、このような場合にCV_Restricted_Visibilityユーザー グループは便利です。
CV_Restricted_Visibilityユーザーグループを作成しこのグループにユーザーを割り当てると、そのユーザーでCommCell Consoleにログインした場合に多くの管理機能に関するオプションを非表示にすることができます。

※CV_Restricted_Visibilityユーザーグループでどのようなオプションが表示され、どのようなオプションが非表示となるかの詳細については こちらを参照してください。

CV_Restricted_Visibilityユーザー グループを作成するには次の手順を実行します。

システム管理者であるadminでCommCell Consoleにログインし CommCell Console左側のCommCellブラウザの一番上にあるCommServe名を右クリックして[プロパティ]を選択します。

そうすると「CommCellプロパティ」ウィンドウが表示されますので [追加設定] タブを選択します。

ここでウィンドウの下方にある[追加]をクリックして「追加設定を追加」のウィンドウを表示させます。

このウィンドウ内の名称の箇所に”nRestricted”と入力してください。
そうすると ”nRestrictedViewEnabled” と表示されますのでこれを選択します。

”nRestrictedViewEnabled” を選択すると、カテゴリ・タイプ・値に自動的に値がセットされます。
デフォルトの状態では値には「0」と入力されています。

この値の「0」を「2」に書き換えてから [OK]をクリックします。

「CommCellプロパティ」のウィンドウに戻りますので、ここでウィンドウ下部の[OK]をクリックします。

その後、CommServeのインストールされているシステムでCommvault Process Managerを起動し [サービス]タブを選択して All Servicesの上で右クリック。[再起動]を選択してCommvaultのサービスを再起動させてください。

Commvaultのサービス再起動後、CommCell Consoleに再度adminユーザーでログインし CommCellブラウザで [セキュリティ] > [CommCellユーザーグループ] と展開して進んでいくとユーザーグループ「CV_Restricted_Visibility」が作成されていることが確認できます。

(3) テナント用ユーザーの作成、クライアントコンピュータグループ・ロールとの関連付け

次にテナント用のユーザーを作成して(1)の項で作成したクライアント コンピュータ グループ及びロールとの関連付けを行っていきます。

前編でご紹介した内容の復習となりますが、Commvaultのマルチテナントはロールベース セキュリティにより実現しており、ユーザー (ユーザーグループ) ・ロール・エンティティの3つを関連付けることで誰にどのような権限を何に対して与えるかを定義しています。

ここではA社のテナント管理者役のユーザーであるCompanyAadminとオペレーター役のユーザーCompanyAopeを作成します。そしてエンティティとしては(1)の項で作成したクライアントコンピュータ グループのCompanyAを指定し、ロールとしてはユーザーCompanyAadminに対してはデフォルトで作成されるロールのTenant Adminを、ユーザーCompanyAopeに対してはデフォルトで作成されるロールのClient Adminsを割り当てていきます。

システム管理者であるadminでCommCell Consoleにログインし CommCell Console左側のCommCellブラウザで [セキュリティ] > [CommCellユーザー]と進み、[CommCellユーザー] の上で右クリックして [新しいユーザー] をクリックします。

そうすると「新しいユーザーのプロパティ」のウィンドウが表示されます。
最初にユーザーCompanyAadminを作成します。
[全般]タブでユーザー名・パスワード・パスワードの再入力・フルネーム・電子メールIDの箇所に必要事項を入力します。入力が終わりましたら [関連付けられたエンティティ] タブをクリックします。

この[関連付けられたエンティティ]タブで作成するユーザーとエンティティ・ロールの関連付けを設定していきます。
ウィンドウの下方にある[追加]をクリックします。

そうすると以下のような「関連付けの追加」ウィンドウが表示されます。
ウィンドウの左側でエンティティ、右側でロールを指定していくことができます。

この例ではエンティティは(1)の項で作成したクライアント コンピュータ グループのCompanyAになりますので、ウィンドウ左側のエンティティの枠内の [クライアント コンピュータ グループ] を展開しその配下にある「CompanyA」のチェックボックスにチェックを入れます。

これでエンティティの指定ができましたのでロールの指定に進みます。
この例ではデフォルトで作成されるTenant Adminのロールを割り当てますので、ウィンドウ右側のロールの枠内の「ロールを選択してください」のボックスの中からTenant Adminを選択します。その後、ウィンドウ下部の[OK]をクリックします。

そうすると「新しいユーザーのプロパティ」のウィンドウに戻りますのでウィンドウ下部の[OK]をクリックしてください。

これでA社のテナント管理者役のユーザーであるCompanyAadminが作成できました。

次にA社のオペレーター役のユーザーCompanyAopeを作成します。
CommCell Console左側のCommCellブラウザで、[セキュリティ] > [CommCellユーザー]と進み、[CommCellユーザー] の上で右クリックして、[新しいユーザー] をクリックします。

「新しいユーザーのプロパティ」のウィンドウが表示されますので CompanyAopeを作成します。
[全般]タブで、ユーザー名・パスワード・パスワードの再入力・フルネーム・電子メールIDの箇所に必要事項を入力します。入力が終わったら [ユーザー グループ] タブをクリックします。

この [ユーザーグループ] タブで (2)の項で作成した CV_Restricted_Visibility グループを指定することで、作成するユーザーCompanyAopeをCV_Restricted_Visibility グループに所属させ、バックアップやリストア操作を行えればよいユーザーには不要な管理用のオプションを非表示にし、CommCell Console上の表示をシンプルにすることができます。

ウィンドウ左側の「使用可能なグループ」以下に表示されている「CV_Restricted_Visibility」を選択しウィンドウ中央の[>]をクリックします。そうすると、「メンバ グループ」以下に
「CV_Restricted_Visibility」が表示されます。
これでこのユーザー CompanyAope を CV_Restricted_Visibility ユーザーグループに含めることができます。

その後、[関連付けられたエンティティ]タブを選択しウィンドウ下部の[追加]をクリックします。

ウィンドウ「関連付けの追加」が表示されますので先程と同様の手順でエンティティとロールの関連付けを行います。

ウィンドウ左側のエンティティの枠内の [クライアント コンピュータ グループ] を展開しその配下にある「CompanyA」のチェックボックスにチェックを入れます。

次にロールの指定に進みます。
この例ではデフォルトで作成される Client Admins のロールを割り当てますので、ウィンドウ右側のロールの枠内の「ロールを選択してください」のボックスの中からClient Adminsを選択します。その後、ウィンドウ下部の[OK]をクリックします。

そうすると「新しいユーザーのプロパティ」のウィンドウに戻りますのでウィンドウ下部の[OK]をクリックしてください。

これでA社のオペレーター役のユーザーである CompanyAope も作成できました。

CommCell Consoleで表示の違いを確認

これでロールベース セキュリティの設定が一通り完了しました。
最後にシステム管理者であるadmin・テナント管理者役のCompanyAadmin・テナント内オペレーター役のCompanyAope
の3ユーザーでCommCell Consoleの表示がどのように異なるかを CommCellブラウザでの表示を例にご紹介します。

以下の3つの画面ショットは左から順番に、admin・CompanyAadmin・CompanyAopeの各ユーザーでそれぞれCommCell Consoleにログオンした時のCommCellブラウザの表示です。

admin

CompanyAadmin

CompanyAope

これらの画面ショットをご覧いただくと以下の状態になっていることが確認できます。

  • admin
    デフォルトで作成されるクライアントコンピュータグループや、作成したCompanyAクライアントコンピュータグループに含めていないServerB等のクライアントコンピュータも表示されています。
  • CompanyAadmin
    CompanyAクライアントコンピュータグループおよびその中のクライアントコンピュータしか表示されていないことが確認できます。
  • CompanyAope
    CV_Restricted_Visibilityユーザーグループの効果により「セキュリティ」や「ストレージ リソース」等の管理用の項目が非表示になっていることが確認できます。

今回はCommvaultのロールベース セキュリティをCommCell Consoleで設定していく方法について簡単な例を通して紹介しました。説明を簡略化するためデフォルトで作成されているロールを使用して操作を進めましたが、ロールをカスタマイズしてより細かく権限の設定を行っていくことも可能ですのでバックアップ システムのマルチテナント化をお考えの方はCommvaultを一度ご検討いただければ幸いです。

※手順および画面ショットは、Commvault v11 Service Pack 11の環境で確認したものです。

【参考資料】
・用語集
・Client Computer Groups
・CommCell Console – AdvancedのHiding CommCell Elements
・Creating a User

Posted on 2018.08