ONTAP Selectの導入をセキュリティで保護する
ONTAP Select の導入を保護する一環として実行できる関連タスクがいくつかあります。
デプロイ管理者のパスワードを変更する
必要に応じて、Web ユーザー インターフェイスを使用して、Deploy 仮想マシン管理者アカウントのパスワードを変更できます。
-
管理者アカウントを使用して、デプロイ ユーティリティの Web ユーザー インターフェイスにSign in。
-
ページの右上にある図のアイコンをクリックし、「パスワードの変更」を選択します。
-
指示に従って現在のパスワードと新しいパスワードを入力し、「送信」をクリックします。
管理サーバーアカウントを追加する
管理サーバー アカウントを、デプロイ資格情報ストア データベースに追加できます。
認証情報の種類と、それがONTAP Select Deploy でどのように使用されるかを理解しておく必要があります。
-
管理者アカウントを使用して、デプロイ ユーティリティの Web ユーザー インターフェイスにSign in。
-
ページ上部の*管理*タブをクリックします。
-
*管理サーバー*をクリックし、*vCenter の追加*をクリックします。
-
以下の情報を入力し、「追加」をクリックします。
この分野では… 次の操作を行ってください… 名前/IPアドレス
vCenter サーバーのドメイン名または IP アドレスを指定します。
ユーザー名
vCenter にアクセスするためのアカウント ユーザー名を入力します。
パスワード
関連付けられたユーザー名のパスワードを入力します。
-
新しい管理サーバーを追加した後、オプションで
次のいずれかを選択します。
-
資格情報を更新する
-
資格情報を確認する
-
管理サーバーを削除する
-
MFAの設定
ONTAP Select 9.13.1 以降では、 ONTAP Select Deploy 管理者アカウントで多要素認証 (MFA) がサポートされます。
YubiKey PIVまたはFIDO2認証を使用したONTAP Select Deploy CLI MFAログイン
ユビキーPIV
YubiKey PINを設定し、リモートサポートエージェント(RSA)または楕円曲線デジタル署名アルゴリズム(ECDSA)の秘密鍵と証明書を以下の手順で生成またはインポートします。 "TR-4647: ONTAPにおける多要素認証" 。
-
Windows の場合: 技術レポートの Windows 用 YubiKey PIV クライアント構成 セクション。
-
MacOS の場合: 技術レポートの MAC OS および Linux 用の YubiKey PIV クライアント構成 セクション。
FIDO2
YubiKey FIDO2認証を選択する場合は、YubiKey Managerを使用してYubiKey FIDO2 PINを設定し、Windowsの場合はPuTTY-CAC(Common Access Card)で、MacOSの場合はssh-keygenを使用してFIDO2キーを生成します。手順はテクニカルレポートに記載されています。 "TR-4647: ONTAPにおける多要素認証" 。
-
Windows の場合: 技術レポートの Windows 用 YubiKey FIDO2 クライアント構成 セクション。
-
MacOS の場合: 技術レポートの Mac OS および Linux 向け YubiKey FIDO2 クライアント構成 セクション。
YubiKey PIVまたはFIDO2公開鍵を取得する
公開キーの取得方法は、Windows クライアントか MacOS クライアントか、また PIV を使用しているか FIDO2 を使用しているかによって異なります。
-
TR-4647 の 16 ページのセクション YubiKey PIV 認証用の Windows PuTTY-CAC SSH クライアントの構成 の説明に従って、SSH → 証明書の下にある クリップボードにコピー 機能を使用して PIV 公開キーをエクスポートします。
-
TR-4647 の 30 ページのセクション YubiKey FIDO2 認証用の Windows PuTTY-CAC SSH クライアントの構成 の説明に従って、SSH → 証明書の下にある クリップボードにコピー 機能を使用して FIDO2 公開キーをエクスポートします。
-
PIV公開鍵は、
ssh-keygen -e
TR-4647 の 24 ページのセクション Mac OS または Linux SSH クライアントを YubiKey PIV 認証用に構成する で説明されているコマンドを実行します。 -
FIDO2公開鍵は
id_ecdsa_sk.pub`ファイルまたは `id_edd519_sk.pub
TR-4647 の 39 ページの「YubiKey FIDO2 認証用に MAC OS または Linux SSH クライアントを構成する」セクションで説明されているように、ECDSA を使用するか EDD519 を使用するかに応じて、ファイルを作成します。
ONTAP Select Deployで公開鍵を設定する
管理者アカウントは、公開鍵認証方式としてSSHを使用します。認証方式が標準のSSH公開鍵認証、YubiKey PIV、またはFIDO2認証のいずれであっても、使用するコマンドは同じです。
ハードウェアベースの SSH MFA の場合、 ONTAP Select Deploy で設定された公開キーに加えて認証要素は次のとおりです。
-
PIVまたはFIDO2 PIN
-
YubiKeyハードウェアデバイスの所持。FIDO2では、認証プロセス中にYubiKeyに物理的に触れることで確認されます。
YubiKeyに設定されているPIVまたはFIDO2公開鍵を設定します。ONTAPONTAP Select Deploy CLIコマンド security publickey add -key
PIV または FIDO2 の場合は同じですが、公開鍵文字列が異なります。
公開鍵は次の場所から取得されます。
-
PIV および FIDO2 用 PuTTY-CAC の クリップボードにコピー 機能 (Windows)
-
SSH互換形式で公開鍵をエクスポートするには、
ssh-keygen -e
PIVのコマンド -
公開鍵ファイルは、
~/.ssh/id_***_sk.pub
FIDO2用ファイル(MacOS)
-
生成されたキーを `.ssh/id_***.pub`ファイル。
-
生成されたキーをONTAP Select Deployに追加します。 `security publickey add -key <key>`指示。
(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
MFA認証を有効にするには `security multifactor authentication enable`指示。
(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
SSH経由のYubiKey PIV認証を使用してONTAP Select Deployにログインします。
SSH 経由の YubiKey PIV 認証を使用してONTAP Select Deploy にログインできます。
-
YubiKey トークン、SSH クライアント、およびONTAP Select Deploy が設定されると、SSH 経由で MFA YubiKey PIV 認証を使用できるようになります。
-
ONTAP Select Deployにログインします。WindowsPuTTY-CAC SSHクライアントを使用している場合は、YubiKey PINの入力を求めるダイアログがポップアップ表示されます。
-
YubiKey が接続されたデバイスからログインします。
login as: admin Authenticating with public key "<public_key>" Further authentication required <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
ssh-keygenを使用したONTAP Select Deploy CLI MFAログイン
その `ssh-keygen`コマンドは、SSH用の新しい認証キーペアを作成するためのツールです。これらのキーペアは、ログインの自動化、シングルサインオン、ホストの認証に使用されます。
その `ssh-keygen`コマンドは、認証キー用のいくつかの公開キーアルゴリズムをサポートしています。
-
アルゴリズムは、 `-t`オプション
-
キーサイズは、 `-b`オプション
ssh-keygen -t ecdsa -b 521 ssh-keygen -t ed25519 ssh-keygen -t ecdsa
-
生成されたキーを `.ssh/id_***.pub`ファイル。
-
生成されたキーをONTAP Select Deployに追加します。 `security publickey add -key <key>`指示。
(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
MFA認証を有効にするには `security multifactor authentication enable`指示。
(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
-
MFAを有効にした後、 ONTAP Select Deployシステムにログインします。次の例のような出力が表示されます。
[<user ID> ~]$ ssh <admin> Authenticated with partial success. <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
MFAから単一要素認証への移行
次の方法を使用して、Deploy 管理者アカウントの MFA を無効にすることができます。
-
セキュアシェル(SSH)を使用して管理者としてデプロイCLIにログインできる場合は、次のコマンドを実行してMFAを無効にします。 `security multifactor authentication disable`デプロイ CLI からのコマンド。
(ONTAPdeploy) security multifactor authentication disable MFA disabled Successfully
-
SSH を使用して管理者として Deploy CLI にログインできない場合:
-
vCenter または vSphere を介して、Deploy 仮想マシン (VM) ビデオ コンソールに接続します。
-
管理者アカウントを使用して Deploy CLI にログインします。
-
実行 `security multifactor authentication disable`指示。
Debian GNU/Linux 11 <user ID> tty1 <hostname> login: admin Password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy) security multifactor authentication disable MFA disabled successfully (ONTAPdeploy)
-
-
管理者は、次の方法で公開鍵を削除できます。
security publickey delete -key