Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP Select環境のセキュリティを確保

共同作成者

ONTAP Select 環境のセキュリティ保護の一環として実行できる関連タスクがいくつかあります。

Deploy管理者パスワードの変更

Web ユーザインターフェイスを使用して、 Deploy 仮想マシンの管理者アカウントのパスワードを必要に応じて変更できます。

手順
  1. 管理者アカウントを使用して、 Deploy ユーティリティの Web ユーザインターフェイスにサインインします。

  2. ページ右上の数字アイコンをクリックし、 * パスワードの変更 * を選択します。

  3. プロンプトが表示されたら、現在のパスワードと新しいパスワードを入力し、 * Submit * をクリックします。

管理サーバアカウントを追加する

Deploy のクレデンシャルストアデータベースに管理サーバアカウントを追加できます。

作業を開始する前に

ここでは、クレデンシャルのタイプと、 ONTAP Select Deploy でのクレデンシャルの使用方法について説明します。

手順
  1. 管理者アカウントを使用して、 Deploy ユーティリティの Web ユーザインターフェイスにサインインします。

  2. ページ上部の * 管理 * タブをクリックします。

  3. [* 管理サーバー * ] をクリックし、 [* vCenter の追加 * ] をクリックします。

  4. 次の情報を入力し、 * 追加 * をクリックします。

    フィールド名 次の手順を実行します。

    名前 / IP アドレス

    vCenter Server のドメイン名または IP アドレスを指定してください。

    ユーザ名

    vCenter にアクセスするためのアカウントのユーザ名を入力します。

    パスワード

    関連付けられているユーザ名のパスワードを入力します。

  5. 新しい管理サーバを追加したら、必要に応じてをクリックできます オプション( Options ) 次のいずれかを選択します。

    • クレデンシャルを更新

    • クレデンシャルを検証する

    • 管理サーバを削除します

MFAの設定

ONTAP Select YubiKey PIVまたはFIDO2認証を使用したCLI MFAログインの導入

ユビキーPIV

の手順に従って、YubiKey PINを設定し、Remote Support Agent(RSA)またはElliptic Curve Digital Signature Algorithm(ECDSA)の秘密鍵と証明書を生成またはインポートします。 "TR-4647:『Multifactor authentication in ONTAP』"

  • Windowsの場合:テクニカル・レポートの「* YubiKey PIV Client configuration for Windows *」セクション

  • MacOSの場合:テクニカルレポートの「* YubiKey PIVクライアントのMAC OSおよびLinux *用設定」セクション。

FIDO2

YubiKey FIDO2認証を選択する場合は、YubiKey Managerを使用してYubiKey FIDO2 PINを設定し、PuTTY-CAC(Common Access Card)(Windows)またはssh-keygen(MacOS)を使用してFIDO2キーを生成します。この手順については、テクニカルレポートを参照してください。 "TR-4647:『Multifactor authentication in ONTAP』"

  • Windowsの場合:テクニカル・レポートの「* YubiKey FIDO2クライアント構成(Windows *用)」セクション。

  • MacOSの場合:テクニカルレポートの「* YubiKey FIDO2クライアントのMac OSおよびLinux *向け設定」セクション。

YubiKey PIVまたはFIDO2公開鍵の取得

公開鍵の取得は、WindowsクライアントとMacOSクライアントのどちらであるか、およびPIVとFIDO2のどちらを使用しているかによって異なります。

Windows の場合:
  • TR-4647の16ページの「Windows PuTTY-CAC SSHクライアントでYubiKey PIV認証を設定する」セクションの説明に従って、SSH→証明書の*クリップボードにコピー*機能を使用してPIV公開鍵をエクスポートします。

  • TR-4647の30ページの「Windows PuTTY-CAC SSHクライアントをYubiKey FIDO2認証用に設定する」セクションの説明に従って、SSH→証明書の*クリップボードにコピー*機能を使用してFIDO2公開鍵をエクスポートします。

MacOSの場合:
  • PIV公開鍵は、 ssh-keygen -e コマンドについては、TR-4647の24ページの*「Mac OSまたはLinux SSHクライアントでYubiKey PIV認証を設定する」を参照してください。

  • FIDO2公開鍵は、 id_ecdsa_sk.pub ファイルまたは id_edd519_sk.pub ECDSAとEDD519のどちらを使用しているかによって異なります。詳細については、TR-4647の39ページの「MAC OSまたはLinux SSHクライアントでYubiKey FIDO2認証を設定する」を参照してください。

ONTAP Select Deployでの公開鍵の設定

SSHは、管理者アカウントが公開鍵認証方式に使用します。認証方式が標準のSSH公開鍵認証であるか、YubiKey PIVまたはFIDO2認証であるかに関係なく、使用されるコマンドは同じです。

ハードウェアベースのSSH MFAの場合、ONTAP Select Deployで設定される公開鍵に加えて、次の認証要素があります。

  • PIVまたはFIDO2ピン

  • YubiKeyハードウェアデバイスの所有。FIDO2の場合、認証プロセス中にYubiKeyに物理的に触れることで確認されます。

作業を開始する前に

YubiKey用に設定されたPIVまたはFIDO2公開鍵を設定します。ONTAP Select Deploy CLIコマンド security publickey add -key はPIVまたはFIDO2で同じで、公開鍵文字列が異なります。

公開鍵は次の場所から取得します。

  • PuTTY-CAC for PIVおよびFIDO2(Windows)の*クリップボードにコピー*機能

  • を使用したSSH互換形式での公開鍵のエクスポート ssh-keygen -e PIVのコマンド

  • 次の場所にある公開鍵ファイル: ~/.ssh/id_***_sk.pub FIDO2用ファイル(MacOS)

手順
  1. 生成されたキーを .ssh/id_***.pub ファイル。

  2. を使用して、生成されたキーをONTAP Select Deployに追加します。 security publickey add -key <key> コマンドを実行します

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
  3. を使用してMFA認証を有効にする security multifactor authentication enable コマンドを実行します

    (ONTAPdeploy) security multifactor authentication enable
    MFA enabled Successfully

SSH経由のYubiKey PIV認証を使用したONTAP Select Deployへのログイン

SSH経由のYubiKey PIV認証を使用してONTAP Select Deployにログインできます。

手順
  1. YubiKeyトークン、SSHクライアント、およびONTAP Select Deployを設定したら、SSH経由でMFA YubiKey PIV認証を使用できます。

  2. ONTAP Select Deployにログインします。Windows PuTTY-CAC SSHクライアントを使用している場合は、YubiKey PINの入力を求めるダイアログが表示されます。

  3. YubiKeyを接続してデバイスからログインします。

出力例
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

ONTAP Select ssh-keygenを使用したCLI MFAログインの導入

ssh-keygen コマンドは、SSHの新しい認証キーペアを作成するためのツールです。キーペアは、ログインの自動化、シングルサインオン、およびホストの認証に使用されます。

ssh-keygen コマンドは、認証キーに対して複数の公開鍵アルゴリズムをサポートしています。

  • アルゴリズムは、 -t オプション

  • キーサイズは、 -b オプション

出力例
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
手順
  1. 生成されたキーを .ssh/id_***.pub ファイル。

  2. を使用して、生成されたキーをONTAP Select Deployに追加します。 security publickey add -key <key> コマンドを実行します

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
  3. を使用してMFA認証を有効にする security multifactor authentication enable コマンドを実行します

    (ONTAPdeploy) security multifactor authentication enable
    MFA enabled Successfully
  4. MFAを有効にしたら、ONTAP Select Deployシステムにログインします。次の例のような出力が表示されます。

    [<user ID> ~]$ ssh <admin>
    Authenticated with partial success.
    <admin>'s password:
    
    NetApp ONTAP Select Deploy Utility.
    Copyright (C) NetApp Inc.
    All rights reserved.
    
    Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09
    
    (ONTAPdeploy)

MFAから単一要素認証への移行

Deploy管理者アカウントのMFAは、次の方法で無効にできます。

  • Secure Shell(SSH)を使用して管理者としてDeploy CLIにログインできる場合は、次のコマンドを実行してMFAを無効にします。 security multifactor authentication disable Deploy CLIからコマンドを入力します。

    (ONTAPdeploy) security multifactor authentication disable
    MFA disabled Successfully
  • SSHを使用してDeploy CLIに管理者としてログインできない場合は、次の手順を実行します。

    1. vCenterまたはvSphereからDeploy仮想マシン(VM)のビデオコンソールに接続します。

    2. 管理者アカウントを使用してDeploy CLIにログインします。

    3. を実行します security multifactor authentication disable コマンドを実行します

      Debian GNU/Linux 11 <user ID> tty1
      
      <hostname> login: admin
      Password:
      
      NetApp ONTAP Select Deploy Utility.
      Copyright (C) NetApp Inc.
      All rights reserved.
      
      Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09
      
      (ONTAPdeploy) security multifactor authentication disable
      MFA disabled successfully
      
      (ONTAPdeploy)
  • 管理者は、次のコマンドを使用して公開鍵を削除できます。
    security publickey delete -key