セキュリティ
ONTAP Select 環境のセキュリティ保護の一環として実行できる関連タスクがいくつかあります。
Deploy管理者パスワードの変更
Web ユーザインターフェイスを使用して、 Deploy 仮想マシンの管理者アカウントのパスワードを必要に応じて変更できます。
-
管理者アカウントを使用して、 Deploy ユーティリティの Web ユーザインターフェイスにサインインします。
-
ページ右上の数字アイコンをクリックし、 * パスワードの変更 * を選択します。
-
プロンプトが表示されたら、現在のパスワードと新しいパスワードを入力し、 * Submit * をクリックします。
管理サーバアカウントを追加する
Deploy のクレデンシャルストアデータベースに管理サーバアカウントを追加できます。
ここでは、クレデンシャルのタイプと、 ONTAP Select Deploy でのクレデンシャルの使用方法について説明します。
-
管理者アカウントを使用して、 Deploy ユーティリティの Web ユーザインターフェイスにサインインします。
-
ページ上部の * 管理 * タブをクリックします。
-
[* 管理サーバー * ] をクリックし、 [* vCenter の追加 * ] をクリックします。
-
次の情報を入力し、 * 追加 * をクリックします。
フィールド名 次の手順を実行します。 名前 / IP アドレス
vCenter Server のドメイン名または IP アドレスを指定してください。
ユーザ名
vCenter にアクセスするためのアカウントのユーザ名を入力します。
パスワード
関連付けられているユーザ名のパスワードを入力します。
-
必要に応じて、 Deploy vCenter プラグインを登録(インストール)できます。
-
新しい管理サーバを追加したら、必要に応じてをクリックできます 次のいずれかを選択します。
-
クレデンシャルを更新
-
プラグインとして登録
-
クレデンシャルを検証する
-
管理サーバを削除します
-
MFAの設定
ONTAP Select 9.13.1以降では、ONTAP Select Deploy管理者アカウントで多要素認証(MFA)がサポートされます。
ONTAP Select YubiKey PIVまたはFIDO2認証を使用したCLI MFAログインの導入
ユビキーPIV
の手順に従って、YubiKey PINを設定し、Remote Support Agent(RSA)またはElliptic Curve Digital Signature Algorithm(ECDSA)の秘密鍵と証明書を生成またはインポートします。 "TR-4647:『Multifactor authentication in ONTAP』"。
-
Windowsの場合:テクニカル・レポートの「* YubiKey PIV Client configuration for Windows *」セクション
-
MacOSの場合:テクニカルレポートの「* YubiKey PIVクライアントのMAC OSおよびLinux *用設定」セクション。
FIDO2
YubiKey FIDO2認証を選択する場合は、YubiKey Managerを使用してYubiKey FIDO2 PINを設定し、PuTTY-CAC(Common Access Card)(Windows)またはssh-keygen(MacOS)を使用してFIDO2キーを生成します。この手順については、テクニカルレポートを参照してください。 "TR-4647:『Multifactor authentication in ONTAP』"。
-
Windowsの場合:テクニカル・レポートの「* YubiKey FIDO2クライアント構成(Windows *用)」セクション。
-
MacOSの場合:テクニカルレポートの「* YubiKey FIDO2クライアントのMac OSおよびLinux *向け設定」セクション。
YubiKey PIVまたはFIDO2公開鍵の取得
公開鍵の取得は、WindowsクライアントとMacOSクライアントのどちらであるか、およびPIVとFIDO2のどちらを使用しているかによって異なります。
-
TR-4647の16ページの「Windows PuTTY-CAC SSHクライアントでYubiKey PIV認証を設定する」セクションの説明に従って、SSH→証明書の*クリップボードにコピー*機能を使用してPIV公開鍵をエクスポートします。
-
TR-4647の30ページの「Windows PuTTY-CAC SSHクライアントをYubiKey FIDO2認証用に設定する」セクションの説明に従って、SSH→証明書の*クリップボードにコピー*機能を使用してFIDO2公開鍵をエクスポートします。
-
PIV公開鍵は、
ssh-keygen -e
コマンドについては、TR-4647の24ページの*「Mac OSまたはLinux SSHクライアントでYubiKey PIV認証を設定する」を参照してください。 -
FIDO2公開鍵は、
id_ecdsa_sk.pub
ファイルまたはid_edd519_sk.pub
ECDSAとEDD519のどちらを使用しているかによって異なります。詳細については、TR-4647の39ページの「MAC OSまたはLinux SSHクライアントでYubiKey FIDO2認証を設定する」を参照してください。
ONTAP Select Deployでの公開鍵の設定
SSHは、管理者アカウントが公開鍵認証方式に使用します。認証方式が標準のSSH公開鍵認証であるか、YubiKey PIVまたはFIDO2認証であるかに関係なく、使用されるコマンドは同じです。
ハードウェアベースのSSH MFAの場合、ONTAP Select Deployで設定される公開鍵に加えて、次の認証要素があります。
-
PIVまたはFIDO2ピン
-
YubiKeyハードウェアデバイスの所有。FIDO2の場合、認証プロセス中にYubiKeyに物理的に触れることで確認されます。
YubiKey用に設定されたPIVまたはFIDO2公開鍵を設定します。ONTAP Select Deploy CLIコマンド security publickey add -key
はPIVまたはFIDO2で同じで、公開鍵文字列が異なります。
公開鍵は次の場所から取得します。
-
PuTTY-CAC for PIVおよびFIDO2(Windows)の*クリップボードにコピー*機能
-
を使用したSSH互換形式での公開鍵のエクスポート
ssh-keygen -e
PIVのコマンド -
次の場所にある公開鍵ファイル:
~/.ssh/id_***_sk.pub
FIDO2用ファイル(MacOS)
-
生成されたキーを
.ssh/id_***.pub
ファイル。 -
を使用して、生成されたキーをONTAP Select Deployに追加します。
security publickey add -key <key>
コマンドを実行します(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
を使用してMFA認証を有効にする
security multifactor authentication enable
コマンドを実行します(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
SSH経由のYubiKey PIV認証を使用したONTAP Select Deployへのログイン
SSH経由のYubiKey PIV認証を使用してONTAP Select Deployにログインできます。
-
YubiKeyトークン、SSHクライアント、およびONTAP Select Deployを設定したら、SSH経由でMFA YubiKey PIV認証を使用できます。
-
ONTAP Select Deployにログインします。Windows PuTTY-CAC SSHクライアントを使用している場合は、YubiKey PINの入力を求めるダイアログが表示されます。
-
YubiKeyを接続してデバイスからログインします。
login as: admin Authenticating with public key "<public_key>" Further authentication required <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
ONTAP Select ssh-keygenを使用したCLI MFAログインの導入
。 ssh-keygen
コマンドは、SSHの新しい認証キーペアを作成するためのツールです。キーペアは、ログインの自動化、シングルサインオン、およびホストの認証に使用されます。
。 ssh-keygen
コマンドは、認証キーに対して複数の公開鍵アルゴリズムをサポートしています。
-
アルゴリズムは、
-t
オプション -
キーサイズは、
-b
オプション
ssh-keygen -t ecdsa -b 521 ssh-keygen -t ed25519 ssh-keygen -t ecdsa
-
生成されたキーを
.ssh/id_***.pub
ファイル。 -
を使用して、生成されたキーをONTAP Select Deployに追加します。
security publickey add -key <key>
コマンドを実行します(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
を使用してMFA認証を有効にする
security multifactor authentication enable
コマンドを実行します(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
-
MFAを有効にしたら、ONTAP Select Deployシステムにログインします。次の例のような出力が表示されます。
[<user ID> ~]$ ssh <admin> Authenticated with partial success. <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
MFAから単一要素認証への移行
Deploy管理者アカウントのMFAは、次の方法で無効にできます。
-
Secure Shell(SSH)を使用して管理者としてDeploy CLIにログインできる場合は、次のコマンドを実行してMFAを無効にします。
security multifactor authentication disable
Deploy CLIからコマンドを入力します。(ONTAPdeploy) security multifactor authentication disable MFA disabled Successfully
-
SSHを使用してDeploy CLIに管理者としてログインできない場合は、次の手順を実行します。
-
vCenterまたはvSphereからDeploy仮想マシン(VM)のビデオコンソールに接続します。
-
管理者アカウントを使用してDeploy CLIにログインします。
-
を実行します
security multifactor authentication disable
コマンドを実行しますDebian GNU/Linux 11 <user ID> tty1 <hostname> login: admin Password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy) security multifactor authentication disable MFA disabled successfully (ONTAPdeploy)
-
-
管理者は、次のコマンドを使用して公開鍵を削除できます。
security publickey delete -key