NetScaler コンソールは、きめ細かなロールベースのアクセス制御 (RBAC) を提供し、企業内の個々のユーザーの役割に基づいてアクセス権限を付与できます。 この文脈では、アクセスとは、ファイルの表示、作成、変更、削除などの特定のタスクを実行する能力のことです。 ロールは、企業内のユーザーの権限と責任に応じて定義されます。 たとえば、あるユーザーにはすべてのネットワーク操作の実行を許可し、別のユーザーにはアプリケーションのトラフィック フローを監視し、構成テンプレートの作成を支援させることができます。
役割はポリシーによって決定されます。 ポリシーを作成したら、ロールを作成し、各ロールを 1 つ以上のポリシーにバインドして、ユーザーにロールを割り当てます。 ユーザーのグループに役割を割り当てることもできます。
グループとは、共通の権限を持つユーザーの集まりです。 たとえば、特定のデータセンターを管理しているユーザーをグループに割り当てることができます。 ロールとは、特定の条件に基づいてユーザーまたはグループに付与される ID です。 NetScaler コンソールでは、ロールとポリシーの作成は NetScaler の RBAC 機能に固有です。 企業のニーズの変化に応じて、ロールとポリシーを簡単に作成、変更、または廃止することができ、各ユーザーの権限を個別に更新する必要はありません。
ロールは機能ベースまたはリソース ベースにすることができます。 たとえば、SSL/セキュリティ管理者とアプリケーション管理者を考えてみましょう。 SSL/セキュリティ管理者は、SSL 証明書の管理および監視機能への完全なアクセス権を持っている必要がありますが、システム管理操作に対しては読み取り専用アクセス権を持っている必要があります。 アプリケーション管理者は、スコープ内のリソースにのみアクセスできる必要があります。
例:
NetScaler グループの責任者である Chris は、組織内の NetScaler コンソールのスーパー管理者です。 クリスは、セキュリティ管理者、アプリケーション管理者、ネットワーク管理者の 3 つの管理者ロールを作成します。
セキュリティ管理者の David は、SSL 証明書の管理と監視のための完全なアクセス権を持っている必要がありますが、システム管理操作のための読み取り専用アクセス権も持っている必要があります。
アプリケーション管理者の Steve は、特定のアプリケーションと特定の構成テンプレートにのみアクセスする必要があります。
ネットワーク管理者の Greg は、システムとネットワーク管理にアクセスする必要があります。
Chris は、ユーザーがローカルか外部かに関係なく、すべてのユーザーに対して RBAC を提供する必要もあります。
NetScaler コンソール ユーザーは、ローカルで認証することも、外部サーバー (RADIUS/LDAP/TACACS) を介して認証することもできます。 RBAC 設定は、採用された認証方法に関係なく、すべてのユーザーに適用できる必要があります。
次の画像は、管理者と他のユーザーが持つ権限と、組織内での役割を示しています。
RBAC は、次の NetScaler コンソール機能では完全にサポートされていません。
例 1: インスタンスベースの RBAC (サポート)
いくつかのインスタンスを割り当てられた管理者は、RBAC がインスタンス レベルでサポートされているため、 Web Insight > Instancesの下のインスタンスと、 Web Insight > Applicationsの下の対応する仮想サーバーのみを表示できます。
例 2: アプリケーションベースの RBAC (サポートされていません)
いくつかのアプリケーションが割り当てられている管理者は、 Web Insight > Applications の下にあるすべての仮想サーバーを表示できますが、RBAC はアプリケーション レベルではサポートされていないため、アクセスできません。