セキュリティ
ONTAP Select 環境のセキュリティ保護の一環として実行できる関連タスクがいくつかあります。
Deploy管理者パスワードの変更
Web ユーザインターフェイスを使用して、 Deploy 仮想マシンの管理者アカウントのパスワードを必要に応じて変更できます。
-
管理者アカウントを使用して、 Deploy ユーティリティの Web ユーザインターフェイスにサインインします。
-
ページ右上の数字アイコンをクリックし、 * パスワードの変更 * を選択します。
-
プロンプトが表示されたら、現在のパスワードと新しいパスワードを入力し、 * Submit * をクリックします。
管理サーバアカウントを追加する
Deploy のクレデンシャルストアデータベースに管理サーバアカウントを追加できます。
ここでは、クレデンシャルのタイプと、 ONTAP Select Deploy でのクレデンシャルの使用方法について説明します。
-
管理者アカウントを使用して、 Deploy ユーティリティの Web ユーザインターフェイスにサインインします。
-
ページ上部の * 管理 * タブをクリックします。
-
[* 管理サーバー * ] をクリックし、 [* vCenter の追加 * ] をクリックします。
-
次の情報を入力し、 * 追加 * をクリックします。
フィールド名 次の手順を実行します。 名前 / IP アドレス
vCenter Server のドメイン名または IP アドレスを指定してください。
ユーザ名
vCenter にアクセスするためのアカウントのユーザ名を入力します。
パスワード
関連付けられているユーザ名のパスワードを入力します。
-
新しい管理サーバを追加したら、必要に応じてをクリックし、次のいずれかを選択できます。
-
クレデンシャルを更新
-
クレデンシャルを検証する
-
管理サーバを削除します
-
MFAの設定
ONTAP Select 9.13.1以降では、ONTAP Select Deploy管理者アカウントで多要素認証(MFA)がサポートされます。
ONTAP Select YubiKey PIVまたはFIDO2認証を使用したCLI MFAログインの導入
ユビキーPIV
YubiKey PINを設定し、の手順に従ってRemote Support Agent(RSA)またはElliptic Curve Digital Signature Algorithm(ECDSA)の秘密鍵と証明書を生成またはインポートし"TR-4647:『Multifactor authentication in ONTAP』"ます。
-
Windowsの場合:テクニカル・レポートの「* YubiKey PIV Client configuration for Windows *」セクション
-
MacOSの場合:テクニカルレポートの「* YubiKey PIVクライアントのMAC OSおよびLinux *用設定」セクション。
FIDO2
YubiKey FIDO2認証を選択する場合は、YubiKey Managerを使用してYubiKey FIDO2 PINを設定し、PuTTY-CAC(Common Access Card)(Windows)またはssh-keygen(MacOS)を使用してFIDO2キーを生成します。その手順については、テクニカルレポートを参照して"TR-4647:『Multifactor authentication in ONTAP』"ください。
-
Windowsの場合:テクニカル・レポートの「* YubiKey FIDO2クライアント構成(Windows *用)」セクション。
-
MacOSの場合:テクニカルレポートの「* YubiKey FIDO2クライアントのMac OSおよびLinux *向け設定」セクション。
YubiKey PIVまたはFIDO2公開鍵の取得
公開鍵の取得は、WindowsクライアントとMacOSクライアントのどちらであるか、およびPIVとFIDO2のどちらを使用しているかによって異なります。
-
TR-4647の16ページの「Windows PuTTY-CAC SSHクライアントでYubiKey PIV認証を設定する」セクションの説明に従って、SSH→証明書の*クリップボードにコピー*機能を使用してPIV公開鍵をエクスポートします。
-
TR-4647の30ページの「Windows PuTTY-CAC SSHクライアントをYubiKey FIDO2認証用に設定する」セクションの説明に従って、SSH→証明書の*クリップボードにコピー*機能を使用してFIDO2公開鍵をエクスポートします。
-
PIV公開鍵は、TR-4647の24ページの* Mac OSまたはLinux SSHクライアントでYubiKey PIV認証を設定する*の説明に従って、コマンドを使用してエクスポートする必要があります
ssh-keygen -e
。 -
FIDO2公開鍵は、ECDSAとEDD519のどちらを使用するかに応じて、ファイルまたは
id_edd519_sk.pub`ファイルに保存されます `id_ecdsa_sk.pub
。詳細については、TR-4647の39ページの「MAC OSまたはLinux SSHクライアントでYubiKey FIDO2認証を設定する」を参照してください。
ONTAP Select Deployでの公開鍵の設定
SSHは、管理者アカウントが公開鍵認証方式に使用します。認証方式が標準のSSH公開鍵認証であるか、YubiKey PIVまたはFIDO2認証であるかに関係なく、使用されるコマンドは同じです。
ハードウェアベースのSSH MFAの場合、ONTAP Select Deployで設定される公開鍵に加えて、次の認証要素があります。
-
PIVまたはFIDO2ピン
-
YubiKeyハードウェアデバイスの所有。FIDO2の場合、認証プロセス中にYubiKeyに物理的に触れることで確認されます。
YubiKey用に設定されたPIVまたはFIDO2公開鍵を設定します。ONTAP Select Deploy CLIコマンドは `security publickey add -key`PIVまたはFIDO2で同じであり、公開鍵文字列が異なります。
公開鍵は次の場所から取得します。
-
PuTTY-CAC for PIVおよびFIDO2(Windows)の*クリップボードにコピー*機能
-
PIVのコマンドを使用したSSH互換形式での公開鍵のエクスポート
ssh-keygen -e
-
FIDO2(MacOS)のファイルにある公開鍵ファイル
~/.ssh/id_***_sk.pub
-
生成されたキーをファイルで探し `.ssh/id_***.pub`ます。
-
コマンドを使用して、生成されたキーをONTAP Select Deployに追加し `security publickey add -key <key>`ます。
(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
コマンドを使用してMFA認証を有効にし `security multifactor authentication enable`ます。
(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
SSH経由のYubiKey PIV認証を使用したONTAP Select Deployへのログイン
SSH経由のYubiKey PIV認証を使用してONTAP Select Deployにログインできます。
-
YubiKeyトークン、SSHクライアント、およびONTAP Select Deployを設定したら、SSH経由でMFA YubiKey PIV認証を使用できます。
-
ONTAP Select Deployにログインします。Windows PuTTY-CAC SSHクライアントを使用している場合は、YubiKey PINの入力を求めるダイアログが表示されます。
-
YubiKeyを接続してデバイスからログインします。
login as: admin Authenticating with public key "<public_key>" Further authentication required <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
ONTAP Select ssh-keygenを使用したCLI MFAログインの導入
`ssh-keygen`コマンドは、SSHの新しい認証キーペアを作成するためのツールです。キーペアは、ログインの自動化、シングルサインオン、およびホストの認証に使用されます。
`ssh-keygen`コマンドは、認証キーに対して複数の公開鍵アルゴリズムをサポートします。
-
アルゴリズムはオプションで選択されます。
-t
-
キーサイズはオプションで選択します。
-b
ssh-keygen -t ecdsa -b 521 ssh-keygen -t ed25519 ssh-keygen -t ecdsa
-
生成されたキーをファイルで探し `.ssh/id_***.pub`ます。
-
コマンドを使用して、生成されたキーをONTAP Select Deployに追加し `security publickey add -key <key>`ます。
(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
コマンドを使用してMFA認証を有効にし `security multifactor authentication enable`ます。
(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
-
MFAを有効にしたら、ONTAP Select Deployシステムにログインします。次の例のような出力が表示されます。
[<user ID> ~]$ ssh <admin> Authenticated with partial success. <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
MFAから単一要素認証への移行
Deploy管理者アカウントのMFAは、次の方法で無効にできます。
-
Secure Shell(SSH)を使用して管理者としてDeploy CLIにログインできる場合は、Deploy CLIからコマンドを実行してMFAを無効にします
security multifactor authentication disable
。(ONTAPdeploy) security multifactor authentication disable MFA disabled Successfully
-
SSHを使用してDeploy CLIに管理者としてログインできない場合は、次の手順を実行します。
-
vCenterまたはvSphereからDeploy仮想マシン(VM)のビデオコンソールに接続します。
-
管理者アカウントを使用してDeploy CLIにログインします。
-
コマンドを実行します
security multifactor authentication disable
。Debian GNU/Linux 11 <user ID> tty1 <hostname> login: admin Password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy) security multifactor authentication disable MFA disabled successfully (ONTAPdeploy)
-
-
管理者は、次のコマンドを使用して公開鍵を削除できます。
security publickey delete -key