PaloaltoVM(10.0.4) 管理者ロール設定

前回はESXiにPaloaltVMをインストールしてみました。今回は管理者ロールや管理者について見ていきます。意外と後回しにしがちですが、adminアカウントはなんでも操作可能なのでPaloaltoを利用するユーザ毎に権限を絞るべきだと思います。

1. 管理者ロール作成

adminアカウントでログイン後、画面上でのDEVICEタブから管理者ロールをクリックし、画面左下にある「追加」をクリックします。

名前に"admin-policy"とし、WebUIから下記項目を無効化します。

パラメータ	値
モニター
ネットワーク
デバイス

次にXML APIタブをクリックし、すべて無効化されている事を確認します。

コマンドラインタブも「None」になっている事を確認して、「OK」をクリックします。

admin-policyロールが作成されました。

2. 管理者作成

次に管理者をクリックし、画面下の「追加」をクリックします。

名前を「p-admin」パスワードを入れ、管理タイプをロールベースにして先ほど作成したadmin-policyを選択し「OK」をクリックします。

3. コミット

p-adminが作成されました。では、反映したいと思います。画面左上にある「Commit」をクリックします。

画面右したの「コミット」をクリックします。

成功したら「閉じる」をクリックします。

4. 動作確認

ブラウザを新規に立ち上げて先ほど作成したp-adminユーザでPaloaltoへログインします。

画面に上に表示されている内容が減っています。これは管理者ロールを作成する際にモニター、ネットワーク、デバイスを無効化しているからですね。このように利用したいユーザ毎で権限をカスタマイズする事が出来ます。

また、単に閲覧だけであればユーザ作成時に管理者タイプを「ダイナミック」にして「スーパーユーザ（read-only）」を選ぶことが可能です。

5. その他

次回はZone/インタフェース作成をやってみたいと思います。