日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

管理者認証と RBAC 設定用のワークシートです

寄稿者 netapp-thomi

ログインアカウントを作成してロールベースアクセス制御( RBAC )を設定する前に、設定ワークシートの各項目について情報を収集しておく必要があります。

ログインアカウントを作成または変更します

これらの値は、ログイン・アカウントが Storage Virtual Machine ( SVM )にアクセスできるようにするときに、「 securitylogin create 」コマンドで指定します。アカウントによる SVM へのアクセス方法を変更する場合は、「 securitylogin modify 」コマンドでも同じ値を指定します。

フィールド

説明

あなたの価値

「 -vserver 」

アカウントがアクセスする SVM の名前。デフォルト値はクラスタの管理 SVM の名前です。

-user-or -group-name

アカウントのユーザ名またはグループ名。グループ名を指定すると、そのグループ内の各ユーザのアクセスが有効になります。ユーザ名またはグループ名を複数のアプリケーションに関連付けることができます。

「 -application 」のように指定します

SVM へのアクセスに使用するアプリケーション。

  • 「 http 」

  • 「 ONTAPI 」

  • 「 NMP 」

  • 「 Ssh` 」

「 - authmethod 」

アカウントの認証に使用する方法。

  • SSL 証明書認証用の「 cert 」

  • 「ドメイン」は Active Directory 認証用です

  • LDAP 認証または NIS 認証用の「 nsswitch 」

  • ユーザーパスワード認証用の「 password 」

  • 「 publickey 」は公開鍵認証です

  • SNMP コミュニティ文字列の「 community 」

  • SNMP ユーザ・セキュリティ・モデルの場合は 'usm

  • Security Assertion Markup Language ( SAML )認証用の 'AML

「 -remote-switch-ipaddress 」のように入力します

リモートスイッチの IP アドレスです。リモートスイッチは、クラスタスイッチヘルスモニタ( CSHM )で監視されるクラスタスイッチ、または MetroCluster ヘルスモニタ( MCC-HM )で監視される Fibre Channel ( FC )スイッチです。このオプションは、アプリケーションが「 snmp 」で、認証方式が「 usm 」の場合にのみ適用されます。

「 -role 」を選択します

アカウントに割り当てられているアクセス制御ロール。

  • クラスタ(管理 SVM )の場合、デフォルト値は「 admin 」です。

  • データ SVM の場合、デフォルト値は「 vsadmin 」です。

「 -comment` 」

(オプション)アカウントの説明。テキストは二重引用符( " )で囲む必要があります。

「 -is-ns-switch group 」を参照してください

アカウントが LDAP グループ・アカウントであるか 'NIS グループ・アカウントであるか( 'yes' または 'no' )

「 --second-authentication-method 」を指定します

ONTAP 9.3 * で多要素認証を使用する場合の第 2 の認証方法:

  • 「 none 」多要素認証を使用していない場合は、デフォルト値です

  • 「 authmethod 」が password または nsswitch の場合、公開鍵認証を使用する「 publickey 」

  • 「 password 」は、「 authmethod 」が公開鍵の場合のユーザパスワード認証用です

  • authmethod が publickey の場合のユーザパスワード認証用の「 nsswitch 」

    注記

    nsswitch は、 * ONTAP 9.4 * からサポートされます

認証の順序は、常に公開鍵が先でパスワードがあとです。

カスタムロールを定義する

カスタムロールを定義するときに 'securitylogin role create コマンドを使用して ' これらの値を指定します

フィールド

説明

あなたの価値

「 -vserver 」

(オプション)ロールに関連付けられている SVM の名前。

「 -role 」を選択します

ロールの名前。

「 -cmddirname 」と入力します

ロールでアクセスできるコマンドまたはコマンドディレクトリ。コマンドサブディレクトリの名前は二重引用符( " )で囲む必要があります。たとえば ' volume snapshot と入力しますすべてのコマンドディレクトリを指定するには、「デフォルト」と入力する必要があります。

「 -access 」

(任意)ロールのアクセスレベル。コマンドディレクトリの場合:

  • 「 none 」 ( カスタムロールのデフォルト値 ) は、コマンドディレクトリ内のコマンドへのアクセスを拒否します

  • 「 readonly 」を指定すると、コマンドディレクトリとそのサブディレクトリにある「 how 」コマンドへのアクセスが許可されます

  • 「 all 」を指定すると、コマンド・ディレクトリとそのサブディレクトリ内のすべてのコマンドへのアクセスが許可されます

_nonin組込み コマンド _ ( 末尾に 'create'`modify'’`edete'`) の場合 :

  • 「 none 」 ( カスタムロールのデフォルト値 ) は、コマンドへのアクセスを拒否します

  • 「修正のみ」は適用されません

  • 「 all 」を指定すると、コマンドへのアクセスが許可されます

組み込みコマンドへのアクセスを許可または拒否するには、コマンドディレクトリを指定する必要があります。

「 -query 」を実行します

(任意)アクセスレベルのフィルタリングに使用されるクエリーオブジェクト。コマンドの有効なオプションまたはコマンドディレクトリ内のコマンドの形式で指定します。クエリオブジェクトは二重引用符( " )で囲む必要があります。たとえば、コマンドディレクトリが「 volume 」の場合、クエリーオブジェクト「 -aggr aggr0 」は「 aggr0 」アグリゲートのアクセスだけを有効にします。

ユーザアカウントに公開鍵を関連付けます

SSH 公開鍵をユーザアカウントに関連付けるときは、「 securitylogin publickey create 」コマンドで次の値を指定します。

フィールド

説明

あなたの価値

「 -vserver 」

(オプション)アカウントがアクセスする SVM の名前。

「 -userName` 」

アカウントのユーザ名。デフォルト値は 'admin' で ' これはクラスタ管理者のデフォルト名です

「 -index 」と入力します

公開鍵のインデックス番号。デフォルト値は、アカウントに対して最初に作成されたキーの場合は 0 です。それ以外の場合、デフォルト値は、そのアカウントに対して既存の最も大きいインデックス番号の 1 つ以上になります。

「 -publickey 」と入力します

OpenSSH 公開鍵。キーは二重引用符( " )で囲む必要があります。

「 -role 」を選択します

アカウントに割り当てられているアクセス制御ロール。

「 -comment` 」

(オプション)公開鍵についての説明。テキストは二重引用符( " )で囲む必要があります。

CA 署名済みサーバデジタル証明書をインストールする。

次の値は、 SVM を SSL サーバとして認証する際に使用するデジタル証明書署名要求( CSR )を生成するときに、「 securitycertificate generate-csr 」コマンドで指定します。

フィールド

説明

あなたの価値

「 -common-name 」と入力します

証明書の名前。完全修飾ドメイン名( FQDN )またはカスタム共通名を指定できます。

「 -size. 」のようになります

秘密鍵のビット数。値が大きいほど、キーのセキュリティは向上します。デフォルト値は「 2048 」です。有効な値は '512'1024''1536 '2048 です

` - country 」

SVM が設置されている国の 2 文字のコード。デフォルト値は「 US 」です。コードの一覧については、マニュアルページを参照してください。

「 -state` 」

SVM が設置されている都道府県。

「 - Locality 」のようになります

SVM が設置されている市区町村。

「 -organization 」

SVM を管理している組織。

「 -unit` 」

SVM を管理している組織内の部門。

「 -email-addr 」

SVM の管理担当者の E メールアドレス。

「 -hash-function 」のように指定します

証明書の署名に使用する暗号化ハッシュ関数。デフォルト値は「 HA256 」です。指定できる値は、「 S HA1 」、「 S HA256 」、「 M D5 」です。

これらの値は、クラスタまたは SVM を SSL サーバとして認証するために CA 署名デジタル証明書をインストールするときに、「 securitycertificate install 」コマンドで指定します。次の表には、このガイドに関連するオプションのみを記載します。

フィールド

説明

あなたの価値

「 -vserver 」

証明書をインストールする SVM の名前。

`-type `

証明書のタイプ。

  • サーバ証明書および中間証明書の場合は 'server

  • SSL クライアントのルート CA の公開鍵証明書の「 client-ca

  • ONTAP がクライアントである SSL サーバのルート CA の公開鍵証明書の「 server-ca 」

  • SSL クライアントとしての ONTAP の自己署名または CA 署名のデジタル証明書および秘密鍵の「 client

Active Directory ドメインコントローラアクセスを設定する

これらの値は、データ SVM 用の CIFS サーバを設定済みで、クラスタへの Active Directory ドメインコントローラアクセス用に SVM をゲートウェイまたは tunnel として設定する場合に、「 securitylogin domain-tunnel create 」コマンドで指定します。

フィールド

説明

あなたの価値

「 -vserver 」

CIFS サーバが設定されている SVM の名前。

CIFS サーバを設定しておらず、 Active Directory ドメイン上に SVM コンピュータアカウントを作成する場合は、「 vserver active-directory create 」コマンドでこれらの値を指定します。

フィールド

説明

あなたの価値

「 -vserver 」

Active Directory コンピュータアカウントを作成する SVM の名前。

-account-name

コンピュータアカウントの NetBIOS 名。

「 -domain 」を指定します

完全修飾ドメイン名( FQDN )。

「 -ou` 」

ドメイン内の組織単位。デフォルト値は「 CN=Computers 」です。ONTAP はこの値をドメイン名に付加して、 Active Directory 識別名を生成します。

LDAP サーバまたは NIS サーバのアクセスを設定

これらの値は、 SVM の LDAP クライアント設定を作成するときに、「 vserver services name-service ldap client create 」コマンドで指定します。

注記

ONTAP 9.2 以降では、「 -servers 」フィールドが「 -servers 」フィールドに置き換えられています。この新しいフィールドには、 LDAP サーバの値としてホスト名または IP アドレスを指定できます。

次の表には、このガイドに関連するオプションのみを記載します。

フィールド

説明

あなたの価値

「 -vserver 」

クライアント設定の SVM の名前。

「 -client-config 」を参照してください

クライアント設定の名前。

「 -servers 」

  • ONTAP 9.0 、 9.1 * :クライアントの接続先 LDAP サーバの IP アドレスをカンマで区切って指定します。

「 -ldap-servers 」

  • ONTAP 9.2 * :クライアントの接続先 LDAP サーバの IP アドレスとホスト名をカンマで区切って指定します。

「 -schema' 」と入力します

クライアントが LDAP クエリの作成に使用するスキーマ。

-use-start-tls`

クライアントが LDAP サーバとの通信を Start TLS を使用して暗号化するかどうか (true または 'false')

注記

Start TLS は、データ SVM へのアクセスでのみサポートされます。管理 SVM へのアクセスではサポートされません。

これらの値は、 LDAP クライアント設定を SVM に関連付けるときに、「 vserver services name-service ldap create 」コマンドで指定します。

フィールド

説明

あなたの価値

「 -vserver 」

クライアント設定を関連付ける SVM の名前。

「 -client-config 」を参照してください

クライアント設定の名前。

「 -client-enabled 」を選択します

SVM が LDAP クライアント設定を使用できるかどうか(「 true 」または「 false 」)。

これらの値は、 SVM で NIS ドメイン設定を作成するときに、「 vserver services name-service nis-domain create 」コマンドで指定します。

注記

ONTAP 9.2 以降では '-servers' フィールドが -nis-servers フィールドに置き換えられていますこの新しいフィールドには、 NIS サーバの値としてホスト名または IP アドレスを指定できます。

フィールド

説明

あなたの価値

「 -vserver 」

ドメイン設定を作成する SVM の名前。

「 -domain 」を指定します

ドメインの名前。

「 - active 」

ドメインがアクティブかどうか(「 true 」または「 false 」)。

「 -servers 」

  • ONTAP 9.0 、 9.1 * :ドメイン設定で使用される NIS サーバの IP アドレスをカンマで区切って指定します。

「 -nis-servers 」

  • ONTAP 9.2 * :ドメイン設定で使用する NIS サーバの IP アドレスおよびホスト名をカンマで区切って指定します。

これらの値は、ネームサービスソースの参照順序を指定するときに、「 vserver services name-service ns-switch create 」コマンドで指定します。

フィールド

説明

あなたの価値

「 -vserver 」

ネームサービスの参照順序を設定する SVM の名前。

「 -database 」と入力します

ネームサービスデータベース。

  • ファイルおよび DNS ネーム・サービスの場合 'hosts

  • 'group' は ' ファイル 'LDAP’NIS ネーム・サービスを表します

  • passwd は ' ファイル 'LDAP’NIS ネーム・サービスを表します

  • ファイル 'LDAP’NIS ネーム・サービスのための 'netgroup

  • namemap - ファイルおよび LDAP ネームサービス

「 -sources 」のように指定します

ネームサービスソースを検索する順序(カンマで区切ったリスト)。

  • 「 files 」のようになります

  • 「 D 」

  • 「 ldap 」

  • 「 NIS 」

SAML アクセスを設定する

ONTAP 9.3 以降では、これらの値を「 securitysaml -sp create 」コマンドで指定して SAML 認証を設定します。

フィールド

説明

あなたの価値

-pider-uri

アイデンティティプロバイダ( IdP )メタデータのダウンロード元である IdP ホストの FTP アドレスまたは HTTP アドレス。

「 -sp-host` 」と入力します

SAML サービスプロバイダホスト( ONTAP システム)のホスト名または IP アドレス。デフォルトでは、クラスタ管理 LIF の IP アドレスが使用されます。

{[-cert-ca] と [-cert-serial] または [`-cert-common-name]]

サービスプロバイダホスト( ONTAP システム)のサーバ証明書の詳細。

「 -verify-metadata-server 」と入力します

IdP メタデータサーバの ID を検証する必要があるかどうか(「 true 」または「 false 」)。この値は常に「 true 」に設定することをお勧めします。