株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > DELL > 【Dell Blog】 PowerStoreOS 4.3 Multiparty Authorization(MPA)について!!

【Dell Blog】 PowerStoreOS 4.3 Multiparty Authorization(MPA)について!!

DELL PowerStore

こんにちは、ネットワールドのストレージ担当の細川です。2月も終盤を迎え、少しずつ春の兆しが見え始めていますが皆様いかがお過ごしでしょうか。

 

今回はPowerStoreOS 4.3における注目の新機能であるMultiparty Authorization(マルチパーティー認証、以下MPA)を紹介したいと思います。この機能は重要な操作を行う際に “別ユーザーの承認” を必要とするセキュリティ機能となります。これにより、誤操作や人的ミスを防げるだけでなく、万が一アカウントが侵害された場合でも、悪意ある変更や破壊行為を防止できます。セキュリティを強化したいお客様にとってとても有効な仕組みとなります。※本ブログの内容はPowerStoreOS Ver.4.3.0.0(build2611831)での動作確認に基づいており、バージョンアップで仕様変更される可能性がある点ご理解ください。

 

まず、MPA がどのような流れで動作するのか簡単に紹介します。承認が必要な操作の実行からリクエスト生成、承認、そして処理完了までのフローは以下の通りです。

 

承認が必要となる操作はシステムで事前定義されたものが用意されており、ユーザーが個別に設定する必要はありません。以下が承認対象となる操作一覧となります。また、承認依頼のタイムアウト期限に関しても7日間とシステムであらかじめ定義されています。

MPAは、システムが自動で行う操作(内部的に開始されるレプリケーション処理や、スナップショットのスケジュールに基づく自動削除・有効期限処理)には影響しません。ただし、サードパーティ製ソフトウェアがストレージに対して操作を行う場合は、MPAの影響を受ける可能性があるため注意が必要です。

 

■MPA機能有効化の流れ

それではMPAの有効化手順を見ていきましょう。設定は非常に簡単で、「1.承認ユーザーの作成」「2.MPAの有効化」「3.MPAの動作確認」の3つのステップで完了します。

 

■1.承認ユーザーの作成

承認ユーザーを作成していきます。PowerStore Managerの設定から[セキュリティ]-[ユーザー]メニューを選択して[+追加]をクリックします。

ユーザーの追加メニューが表示されるので[ユーザー名]、[ユーザーの役割]、[パスワード]を入力して[追加]をクリックします。

[ユーザーは追加されました。]メッセージが表示されたことを確認します。

※ユーザー追加が完了したら、追加ユーザーでPowerStore Managerにログオンできることを忘れずに確認して下さい。

 

■2.MPAの有効化

次にMPAを有効化していきます。PowerStore Managerの設定から[セキュリティ]-[マルチパーティー認証]メニューを選択して、トグルボタンをクリックします。

マルチパーティー認証の有効化画面が表示されるので[有効化]をクリックします。ここでは注意事項が記載されているので必ず内容確認を行って下さい。

[マルチパーティー認証が有効になりました。]メッセージが出力されたことを確認します。

細かいカスタマイズは不要となり、設定はこれで完了です。

 

■3.MPAの動作確認

それでは動作確認を実施していきます。今回はNTP設定の削除操作を実行していきます。承認が必要となる操作を実行すると、リクエストの承認が必要である旨のメッセージが表示されます。

続いて承認操作を実行してみましょう。操作を実行したユーザーとは異なるユーザーでPowerStore Managerへ接続します。MPAの承認リクエストはPowerStore Managerの[モニタリング]-[MPAリクエスト]タブから参照することが出来ます。操作を実行したいリクエストの説明部分をクリックします。

リクエストの詳細画面が表示されるので内容を確認して[拒否]または[承認]を選択して[送信]ボタンをクリックします。

[選択したリクエストが承認されました。]と表示され、ステータスが[承認待ち]から[承認済み]になったことを確認します。※このタイミングでリクエスト依頼のあった操作(NTP設定の削除)が実行されます。

以上で一連の流れが完了となります。

 

承認リクエストですが右上のジョブアイコンから参照する方法も用意されています。

また承認タイムアウト期限の7日間が経過すると、そのリクエストのステータスは[期限切れ]となり無効となります。申請者側で自分の承認リクエストをキャンセルすることも可能です。

CLIからの操作もバッチリMPAの対象となっています。※承認操作は今のところPowerStore Managerのみから実施可能なようです。

 

皆さま、いかがでしたでしょうか。
PowerStoreOS をアップデートするだけで手軽にセキュリティを強化できるMPA機能は、大きな魅力のひとつです。また、有効化手順もシンプルで、数クリックで設定できることをご理解いただけたかと思います。ぜひこの機会にお試しいただければと思います。今後もPowerStoreの最新アップデート情報を積極的に紹介していきますので、次回もどうぞお楽しみに。

 

Networld Techのブログ一覧はこちら!

https://www.networld.co.jp/product/emc/tech-blog/