Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

カンリシヤニンシヨウトRBACセツテイヨウノワアクシイト

共同作成者
PDF

ログインアカウントを作成してロールベースアクセス制御(RBAC)を設定する前に、設定ワークシートの各項目の情報を収集する必要があります。

ログインアカウントの作成または変更

次の値は、コマンドでログインアカウントによるStorage VMへのアクセスを有効にするときに指定します security login create。同じ値は、コマンドでアカウントによるStorage VMへのアクセス方法を変更するときに指定し `security login modify`ます。

フィールド

説明

あなたの価値

-vserver

アカウントがアクセスするStorage VMの名前。デフォルト値はクラスタの管理Storage VMの名前です。

-user-or-group-name

アカウントのユーザ名またはグループ名。グループ名を指定した場合、そのグループ内の各ユーザのアクセスが有効になります。1つのユーザ名またはグループ名を複数のアプリケーションに関連付けることができます。

-application

Storage VMへのアクセスに使用するアプリケーション。

  • http

  • ontapi

  • snmp

  • ssh

-authmethod

アカウントの認証に使用する認証方式。

  • `cert`SSL証明書による認証

  • `domain`Active Directory認証

  • `nsswitch`LDAP認証またはNIS認証

  • `password`ユウサハスワアトニンシヨウ

  • `publickey`コウカイニンシヨウ

  • `community`SNMPコミュニティストリング

  • `usm`SNMPユウサセキユリテイモテル

  • `saml`Security Assertion Markup Language(SAML)認証

-remote-switch-ipaddress

リモートスイッチのIPアドレス。リモートスイッチは、クラスタスイッチヘルスモニタ(CSHM)で監視されるクラスタスイッチ、またはMetroClusterヘルスモニタ(MCC-HM)で監視されるファイバチャネル(FC)スイッチです。このオプションは、アプリケーションがで、認証方式が `usm`の場合にのみ適用され `snmp`ます。

-role

アカウントに割り当てられているアクセス制御ロール。

  • クラスタ(管理Storage VM)の場合、デフォルト値はです admin

  • データStorage VMの場合、デフォルト値はです vsadmin

-comment

(任意)アカウントの説明テキスト。テキストは二重引用符(")で囲む必要があります。

-is-ns-switch-group

アカウントがLDAPグループアカウントかNISグループアカウントか(yes、または no)。

-second-authentication-method

多要素認証の場合の2番目の認証方式:

  • `none`多要素認証を使用しない場合のデフォルト値

  • publickey`がpasswordまたはnsswitchの場合の公開鍵認証 `authmethod

  • password`が公開鍵の場合のユーザパスワード認証 `authmethod

  • `nsswitch`authmethodがpublickeyの場合のユーザパスワード認証

認証の順序は、常に公開鍵が先でパスワードがあとです。

-is-ldap-fastbind

ONTAP 9 .11.1以降では、trueに設定すると、nsswitch認証のLDAP高速バインドが有効になります。デフォルトはfalseです。LDAP高速バインドを使用するには、 `-authentication-method`値をに設定する必要があり `nsswitch`ます。"nsswitch認証用のLDAP fastbindについて説明します。"

Cisco Duoセキュリティ情報の設定

次の値は、コマンドでStorage VMに対してSSHログインを使用したCisco Duo二要素認証を有効にするときに指定します security login duo create

フィールド

説明

あなたの価値

-vserver

Duo認証設定を適用するStorage VM(ONTAP CLIではVserver)。

-integration-key

DuoにSSHアプリケーションを登録するときに取得した統合キー。

-secret-key

DuoにSSHアプリケーションを登録するときに取得したシークレット キー。

-api-host

DuoにSSHアプリケーションを登録するときに取得したAPIホスト名。例:

api-<HOSTNAME>.duosecurity.com

-fail-mode

Duo認証を妨げるサービスまたは構成エラーの場合は、失敗 safe(アクセスを許可)または secure(アクセスを拒否)します。デフォルトはです safe。これは、Duo APIサーバーにアクセスできないなどのエラーが原因でDuo認証が失敗した場合、認証がバイパスされることを意味します。

-http-proxy

指定したHTTPプロキシを使用します。HTTPプロキシで認証が必要な場合は、プロキシURLにクレデンシャルを含めます。例:

http-proxy=http://username:password@proxy.example.org:8080

-autopush

またはの false`いずれか `true。デフォルトはです false。の場合 true、Duoはユーザーの電話機にプッシュログイン要求を自動的に送信し、プッシュが使用できない場合は通話に戻ります。これにより、パスコード認証が実質的に無効になります。の場合 false、ユーザは認証方式を選択するように求められます。

で設定した場合は autopush = true、を設定することをお勧めします max-prompts = 1

-max-prompts

ユーザーが2番目のファクターで認証に失敗した場合、Duoはユーザーに再度認証を求めるプロンプトを表示します。このオプションは、アクセスを拒否する前にDuoが表示するプロンプトの最大数を設定します。には、 2、または 3`を指定する必要があります `1。デフォルト値はです 1

たとえば、ユーザが最初のプロンプトで正常に認証する必要がある場合 max-prompts = 1、ユーザが最初のプロンプトで誤った情報を入力した場合、 `max-prompts = 2`再度認証を求めるプロンプトが表示されます。

で設定した場合は autopush = true、を設定することをお勧めします max-prompts = 1

最高のエクスペリエンスを得るために、publickey認証のみを使用するユーザは常に `max-prompts`に設定され `1`ます。

-enabled

Duo 2要素認証を有効にします。デフォルトではに設定され `true`ます。有効にすると、設定されているパラメータに従って、SSHログイン時にDuo 2要素認証が実行されます。Duoが無効(に設定)の場合、 `false`Duo認証は無視されます。

-pushinfo

このオプションは、アクセスされているアプリケーションまたはサービスの名前など、プッシュ通知の追加情報を提供します。これにより、ユーザは正しいサービスにログインしていることを確認し、セキュリティレイヤを追加できます。

カスタムロールの定義

次の値は、コマンドでカスタムロールを定義するときに指定し `security login role create`ます。

フィールド

説明

あなたの価値

-vserver

(オプション)ロールに関連付けられているStorage VM(ONTAP CLIではVserverと表示されます)の名前。

-role

ロールの名前。

-cmddirname

ロールでアクセスできるコマンドまたはコマンド ディレクトリ。コマンド サブディレクトリの名前は二重引用符(")で囲む必要があります。たとえば、 "volume snapshot"`です。すべてのコマンドディレクトリを指定するには、と入力する必要があります `DEFAULT

-access

(任意)ロールのアクセスレベル。コマンドディレクトリの場合:

  • none(カスタムロールのデフォルト値)コマンドディレクトリ内のコマンドへのアクセスを拒否します。

  • readonly`コマンドディレクトリとそのサブディレクトリ内のコマンドへのアクセスを許可 `show

  • `all`コマンドディレクトリとそのサブディレクトリ内のすべてのコマンドへのアクセスを許可します。

for nonintrinsic commands(末尾が、、 modify、、 delete`または `show`でないコマンド `create):

  • none(カスタムロールのデフォルト値)コマンドへのアクセスを拒否します。

  • `readonly`該当なし

  • `all`コマンドへのアクセスを許可します。

組み込みコマンドへのアクセスを許可または拒否するには、コマンドディレクトリを指定する必要があります。

-query

(任意)アクセスレベルのフィルタリングに使用されるクエリーオブジェクト。コマンドまたはコマンドディレクトリ内のコマンドの有効なオプションの形式で指定します。クエリオブジェクトは二重引用符(")で囲む必要があります。たとえば、コマンドディレクトリがの場合、 volume`クエリオブジェクトは `"-aggr aggr0"`アグリゲートに対してのみアクセスを有効にします `aggr0

ユーザアカウントに公開鍵を関連付ける

次の値は、コマンドでユーザアカウントにSSH公開鍵を関連付けるときに指定します security login publickey create

フィールド

説明

あなたの価値

-vserver

(オプション)アカウントがアクセスするStorage VMの名前。

-username

アカウントのユーザ名。デフォルト値。 `admin`クラスタ管理者のデフォルト名です。

-index

公開鍵のインデックス番号。デフォルト値は、アカウントに対して最初に作成された鍵では0、それ以外の場合は既存の一番大きいインデックス番号に1を加えた値です。

-publickey

OpenSSH公開鍵。鍵は二重引用符(")で囲む必要があります。

-role

アカウントに割り当てられているアクセス制御ロール。

-comment

(オプション)公開鍵についての説明。テキストを二重引用符(")で囲む必要があります。

-x509-certificate

(オプション)ONTAP 9.13.1以降では、X.509証明書とSSH公開鍵の関連付けを管理できます。

X.509証明書をSSH公開鍵に関連付けると、証明書が有効かどうかをSSHログイン時にONTAPがチェックします。証明書の有効期限が切れている、または証明書が失効している場合、ログインは許可されず、関連付けられているSSH公開鍵は無効になります。有効な値は次のとおりです。

  • install:指定したPEMでエンコードされたX.509証明書をインストールし、SSH公開鍵に関連付けます。インストールする証明書の全文を含めます。

  • modify:PEMでエンコードされた既存のX.509証明書を指定された証明書に更新し、SSH公開鍵に関連付けます。新しい証明書の全文を含めます。

  • delete:既存のX.509証明書とSSH公開鍵の関連付けを削除します。

動的認証グローバル設定の構成

ONTAP 9 .15.1以降では、コマンドで次の値を指定します security dynamic-authorization modify。ダイナミック認可設定の詳細については、を参照してください"動的許可の概要"

フィールド

説明

あなたの価値

-vserver

信頼スコア設定を変更する必要があるStorage VMの名前。このパラメータを省略すると、クラスタレベルの設定が使用されます。

-state

ダイナミック許可モード。有効な値:

  • disabled:(デフォルト)動的認可はディセーブルです。

  • visibility:このモードは、ダイナミック認可のテストに役立ちます。このモードでは、信頼スコアはすべての制限されたアクティビティでチェックされますが、強制はされません。ただし、拒否された、または追加の認証チャレンジの対象となるアクティビティはすべてログに記録されます。

  • enforced:モードでのテストを完了した後の使用を想定して `visibility`います。このモードでは、すべての制限されたアクティビティで信頼スコアがチェックされ、制限条件が満たされるとアクティビティ制限が適用されます。抑制間隔も適用されるため、指定された間隔内での追加の認証チャレンジを防ぐことができます。

-suppression-interval

指定された間隔内で追加の認証チャレンジを防止します。間隔はISO-8601形式で、1分~1時間の値を指定できます。0に設定すると、抑制間隔はディセーブルになり、認証チャレンジが必要な場合は常にユーザにプロンプトが表示されます。

-lower-challenge-boundary

多要素認証(MFA)チャレンジの割合の下限。有効な範囲は0~99です。値100は無効です。これにより、すべての要求が拒否されます。デフォルト値は0です。

-upper-challenge-boundary

上限MFAチャレンジパーセンテージの境界。有効な範囲は0~100です。これは下部境界の値以上である必要があります。100の値は、すべての要求が拒否されるか、追加の認証チャレンジの対象となることを意味します。チャレンジなしで許可される要求はありません。デフォルト値は90です。

CA署名済みサーバ デジタル証明書のインストール

次の値は、コマンドでStorage VMをSSLサーバとして認証する際に使用するデジタル証明書署名要求(CSR)を生成するときに指定します security certificate generate-csr

フィールド

説明

あなたの価値

-common-name

証明書の名前。Fully Qualified Domain Name(FQDN;完全修飾ドメイン名)またはカスタム共通名です。

-size

秘密鍵のビット数。この値が高いほど、鍵のセキュリティは向上します。デフォルト値はです 2048。指定できる値は 512、、 1024 1536、および `2048`です。

-country

Storage VMの国(2文字のコード)。デフォルト値はです US。コードの一覧については、マニュアルページを参照してください。

-state

Storage VMの都道府県。

-locality

Storage VMの局所性。

-organization

Storage VMの組織。

-unit

Storage VMの組織内の単位。

-email-addr

Storage VMの管理者連絡先のEメールアドレス。

-hash-function

証明書の署名に使用する暗号化ハッシュ関数。デフォルト値はです SHA256。指定できる値は SHA1SHA256、および `MD5`です。

次の値は、コマンドで、クラスタまたはStorage VMをSSLサーバとして認証する際に使用するCA署名デジタル証明書をインストールするときに指定します security certificate install。次の表には、アカウント設定に関連するオプションのみを示します。

フィールド

説明

あなたの価値

-vserver

証明書をインストールするStorage VMの名前。

-type

証明書のタイプ。

  • `server`サーバ証明書および中間証明書

  • `client-ca`SSLクライアントのルートCAの公開鍵証明書

  • `server-ca`ONTAPがクライアントであるSSLサーバのルートCAの公開鍵証明書

  • `client`ONTAPをSSLクライアントとして使用するための自己署名またはCA署名のデジタル証明書および秘密鍵

Active Directoryドメインコントローラアクセスの設定

次の値は、データStorage VM用のSMBサーバを設定済みで、Storage VMをゲートウェイまたは_tunnel_(Active Directoryドメインコントローラによるクラスタへのアクセスの場合)として設定する場合は、コマンドで指定します security login domain-tunnel create

フィールド

説明

あなたの価値

-vserver

SMBサーバが設定されているStorage VMの名前。

次の値は、SMBサーバを設定していない場合に、コマンドでActive DirectoryドメインにStorage VMコンピュータアカウントを作成するときに指定します vserver active-directory create

フィールド

説明

あなたの価値

-vserver

Active Directoryコンピュータアカウントを作成するStorage VMの名前。

-account-name

コンピュータアカウントのNetBIOS名。

-domain

Fully Qualified Domain Name(FQDN;完全修飾ドメイン名)。

-ou

ドメイン内の組織単位。デフォルト値はです CN=Computers。ONTAPは、この値をドメイン名に追加して、Active Directory識別名を生成します。

LDAPまたはNISサーバアクセスの設定

次の値は、コマンドでStorage VMのLDAPクライアント設定を作成するときに指定します vserver services name-service ldap client create

次の表には、アカウント設定に関連するオプションのみを示します。

フィールド

説明

あなたの価値

-vserver

クライアント設定のStorage VMの名前。

-client-config

クライアント設定の名前。

-ldap-servers

クライアントが接続するLDAPサーバのIPアドレスおよびホスト名をカンマで区切ったリスト。

-schema

クライアントがLDAPクエリの作成に使用するスキーマ。

-use-start-tls

クライアントがStart TLSを使用してLDAPサーバとの通信を暗号化するか、または false`を使用するか(`true)。

メモ

Start TLSは、データStorage VMへのアクセスでのみサポートされます。管理Storage VMへのアクセスではサポートされません。

次の値は、コマンドでLDAPクライアント設定をStorage VMに関連付けるときに指定します vserver services name-service ldap create

フィールド

説明

あなたの価値

-vserver

クライアント設定を関連付けるStorage VMの名前。

-client-config

クライアント設定の名前。

-client-enabled

Storage VMがLDAPクライアント設定を使用できるか、または false`を使用できるか(`true)。

次の値は、コマンドでStorage VMにNISドメイン設定を作成するときに指定します vserver services name-service nis-domain create

フィールド

説明

あなたの価値

-vserver

ドメイン設定を作成するStorage VMの名前。

-domain

ドメインの名前。

-servers

  • ONTAP 9.0 、 9.1 * :ドメイン設定で使用される NIS サーバの IP アドレスをカンマで区切って指定します。

-nis-servers

ドメイン設定で使用されるNISサーバのIPアドレスとホスト名をカンマで区切ったリスト。

次の値は、コマンドでネームサービスソースの参照順序を指定するときに指定します vserver services name-service ns-switch create

フィールド

説明

あなたの価値

-vserver

ネームサービスの参照順序を設定するStorage VMの名前。

-database

ネームサービスデータベース:

  • `hosts`フアイルトDNSネエムサアヒス

  • `group`フアイル、LDAP、オヨヒNISノネエムサアヒス

  • `passwd`フアイル、LDAP、オヨヒNISノネエムサアヒス

  • `netgroup`フアイル、LDAP、オヨヒNISノネエムサアヒス

  • `namemap`フアイルトLDAPネエムサアヒス

-sources

ネームサービスソースの検索順序(カンマで区切ったリスト):

  • files

  • dns

  • ldap

  • nis

SAMLアクセスの設定

SAML認証を設定するには、コマンドでSAML .3以降のONTAP 9値を指定します security saml-sp create

フィールド

説明

あなたの価値

-idp-uri

アイデンティティプロバイダ(IdP)メタデータのダウンロード元のIdPホストのFTPアドレスまたはHTTPアドレス。

-sp-host

SAMLサービスプロバイダホスト(ONTAPシステム)のホスト名またはIPアドレス。デフォルトでは、クラスタ管理LIFのIPアドレスが使用されます。

-cert-ca`および `-cert-serial、または -cert-common-name

サービスプロバイダホスト(ONTAPシステム)のサーバ証明書の詳細。サービスプロバイダの証明書発行認証局(CA)と証明書のシリアル番号、またはサーバー証明書の共通名のいずれかを入力できます。

-verify-metadata-server

IdPメタデータサーバのIDの検証が必要か true、または false`を参照)。この値は常にに設定することを推奨します `true