Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP管理者認証とRBAC設定のためのワークシート

共同作成者 netapp-mwallis netapp-aaron-holt netapp-thomi netapp-aoife netapp-dbagwell netapp-barbe netapp-forry netapp-aherbin netapp-bhouser netapp-ahibbard
PDF

ログイン アカウントを作成してロールベース アクセス制御(RBAC)を設定する前に、設定ワークシートの各項目について情報を収集しておく必要があります。

この手順で説明されているコマンドの詳細については、"ONTAPコマンド リファレンス"を参照してください。

ログイン アカウントの作成または変更

ストレージVMにアクセスするログインアカウントを有効にする際に、 `security login create`コマンドでこれらの値を指定します。"ONTAPコマンド リファレンス"の `security login create`の詳細を確認してください。

`security login modify`コマンドでアカウントのストレージVMへのアクセス方法を変更する場合も、同じ値を指定します。link:https://docs.netapp.com/us-en/ontap-cli/security-login-modify.html["ONTAPコマンド リファレンス"^]の `security login modify`の詳細をご覧ください。

フィールド

概要

あなたの価値

-vserver

アカウントがアクセスするStorage VMの名前。デフォルト値はクラスタの管理Storage VMの名前です。

-user-or-group-name

アカウントのユーザ名またはグループ名。グループ名を指定した場合、そのグループ内の各ユーザのアクセスが有効になります。1つのユーザ名またはグループ名を複数のアプリケーションに関連付けることができます。

-application

Storage VMへのアクセスに使用するアプリケーション。

  • http

  • ontapi

  • snmp

  • ssh

-authmethod

アカウントの認証に使用する認証方式。

  • `cert`SSL証明書認証用

  • domain Active Directory認証用

  • nsswitch LDAP または NIS 認証用

  • `password`ユーザーパスワード認証用

  • `publickey`公開鍵認証用

  • community SNMP コミュニティ文字列用

  • usm SNMP ユーザーセキュリティモデル用

  • saml for Security Assertion Markup Language(SAML)認証

-remote-switch-ipaddress

リモートスイッチのIPアドレス。リモートスイッチは、クラスタスイッチヘルスモニタ(CSHM)によって監視されるクラスタスイッチ、またはMetroClusterヘルスモニタ(MCC-HM)によって監視されるファイバチャネル(FC)スイッチです。このオプションは、アプリケーションが `snmp`で、認証方法が `usm`の場合にのみ適用されます。

-role

アカウントに割り当てられているアクセス制御ロール。

  • クラスター(管理ストレージ VM)の場合、デフォルト値は `admin`です。

  • データ ストレージ VM の場合、デフォルト値は `vsadmin`です。

-comment

(オプション)アカウントについての説明。テキストを二重引用符(")で囲む必要があります。

-is-ns-switch-group

アカウントが LDAP グループアカウントであるか、NIS グループアカウントであるか(yes`または `no)。

-second-authentication-method

多要素認証を使用する場合の、第2の認証方式。

  • `none`多要素認証を使用しない場合はデフォルト値

  • `publickey`公開鍵認証の場合、 `authmethod`がpasswordまたはnsswitchのとき

  • password `authmethod`が公開鍵の場合のユーザーパスワード認証用

  • nsswitch authmethod が publickey の場合のユーザーパスワード認証用

認証の順序は、常に公開鍵が先でパスワードがあとです。

-is-ldap-fastbind

ONTAP 9.11.1 以降、true に設定すると nsswitch 認証のための LDAP ファストバインドが有効になります。デフォルトは false です。LDAP ファストバインドを使用するには、 `-authentication-method`値を `nsswitch`に設定する必要があります。"ONTAP NFS SVMのnsswitch認証にLDAP高速バインドを使用する"

Cisco Duoセキュリティ情報の設定

ストレージVMのSSHログインでCisco Duoの2要素認証を有効にする際に、 `security login duo create`コマンドでこれらの値を指定します。"ONTAPコマンド リファレンス"の `security login duo create`の詳細をご覧ください。

フィールド

概要

あなたの価値

-vserver

Duo認証設定を適用するStorage VM(ONTAP CLIではvserver)。

-integration-key

DuoにSSHアプリケーションを登録するときに取得した統合キー。

-secret-key

DuoにSSHアプリケーションを登録するときに取得したシークレット キー。

-api-host

SSHアプリケーションをDuoに登録する際に取得したAPIホスト名。例:

api-<HOSTNAME>.duosecurity.com

-fail-mode

Duo認証を妨げるサービス エラーまたは設定エラーが発生した場合、fail safe(アクセスを許可)または secure(アクセスを拒否)します。デフォルトは `safe`で、Duo APIサーバにアクセスできないなどのエラーによりDuo認証が失敗した場合、Duo認証はバイパスされます。

-http-proxy

指定されたHTTPプロキシを使用します。HTTPプロキシで認証が必要な場合は、プロキシURLに認証情報を含めます。例:

http-proxy=http://username:password@proxy.example.org:8080

-autopush

 
`true`または `false`。デフォルトは `false`です。 `true`の場合、Duoは自動的にユーザーの携帯電話にプッシュログインリクエストを送信し、プッシュが利用できない場合は通話に戻ります。これにより、パスコード認証が実質的に無効になることに注意してください。 `false`の場合、ユーザーは認証方法を選択するよう求められます。
`autopush = true`で設定する場合は、 `max-prompts = 1`を設定することをお勧めします。

-max-prompts

ユーザーが2要素認証に失敗した場合、Duoはユーザーに再度認証を求めます。このオプションは、アクセスを拒否する前にDuoが表示するプロンプトの最大数を設定します。 12、または `3`である必要があります。デフォルト値は `1`です。

たとえば、 `max-prompts = 1`の場合、ユーザーは最初のプロンプトで正常に認証される必要がありますが、 `max-prompts = 2`の場合、ユーザーが最初のプロンプトで誤った情報を入力すると、再度認証するように求められます。

`autopush = true`で設定する場合は、 `max-prompts = 1`を設定することをお勧めします。

最適なエクスペリエンスを得るには、公開鍵認証のみを使用するユーザーは常に `max-prompts`を `1`に設定します。

-enabled

Duo 2要素認証を有効にします。デフォルトでは `true`に設定されています。有効にすると、SSHログイン時に設定されたパラメータに従ってDuo 2要素認証が強制されます。Duoが無効( `false`に設定)の場合、Duo認証は無視されます。

-pushinfo

アクセスしているアプリケーションやサービスの名前など、プッシュ通知に追加情報を提供するためのオプションです。これにより、ユーザは正しいサービスにログインしていることを確認でき、セキュリティを強化できます。

カスタム ロールの定義

カスタム ロールを定義する際に、 `security login role create`コマンドでこれらの値を指定します。"ONTAPコマンド リファレンス"の `security login role create`の詳細を確認してください。

フィールド

概要

あなたの価値

-vserver

(オプション)ロールに関連付けられているStorage VM(ONTAP CLIではvserver)の名前。

-role

ロールの名前。

-cmddirname

ロールがアクセスを許可するコマンドまたはコマンド ディレクトリ。コマンド サブディレクトリ名は二重引用符(")で囲む必要があります。例: `"volume snapshot"`すべてのコマンド ディレクトリを指定するには、 `DEFAULT`と入力する必要があります。

-access

(オプション)ロールのアクセス レベル。コマンド ディレクトリの場合:

  • none(カスタム ロールのデフォルト値)は、コマンド ディレクトリ内のコマンドへのアクセスを拒否します

  • `readonly`は、 `show`コマンド ディレクトリとそのサブディレクトリ内のコマンドへのアクセスを許可します

  • `all`コマンド ディレクトリとそのサブディレクトリ内のすべてのコマンドへのアクセスを許可します

非固有コマンドcreatemodifydelete、または `show`で終わらないコマンド)の場合:

  • none(カスタム ロールのデフォルト値)は、コマンドへのアクセスを拒否します

  • `readonly`は該当なし

  • `all`コマンドへのアクセスを許可します

組み込みコマンドへのアクセスを許可または拒否するには、コマンド ディレクトリを指定する必要があります。

-query

(オプション)アクセス レベルをフィルタリングするために使用されるクエリ オブジェクト。コマンドまたはコマンド ディレクトリ内のコマンドの有効なオプションの形式で指定されます。クエリ オブジェクトは二重引用符(")で囲む必要があります。たとえば、コマンド ディレクトリが `volume`の場合、クエリ オブジェクト `"-aggr aggr0"`は `aggr0`アグリゲートへのアクセスのみを有効にします。

ユーザ アカウントへの公開鍵の関連付け

`security login publickey create`コマンドでSSH公開鍵をユーザ アカウントに関連付ける際に、これらの値を指定します。link:https://docs.netapp.com/us-en/ontap-cli/security-login-publickey-create.html["ONTAPコマンド リファレンス"^]の `security login publickey create`の詳細を確認してください。

フィールド

概要

あなたの価値

-vserver

(オプション)アカウントがアクセスするStorage VMの名前。

-username

アカウントのユーザー名。デフォルト値( admin)は、クラスタ管理者のデフォルト名です。

-index

公開鍵のインデックス番号。デフォルト値は、アカウントに対して最初に作成された鍵では0、それ以外の場合は既存の一番大きいインデックス番号に1を加えた値です。

-publickey

OpenSSH公開鍵。鍵は二重引用符(")で囲む必要があります。

-role

アカウントに割り当てられているアクセス制御ロール。

-comment

(オプション)公開鍵についての説明。テキストを二重引用符(")で囲む必要があります。

-x509-certificate

(オプション)ONTAP 9.13.1以降では、X.509証明書とSSH公開鍵の関連付けを管理できます。

X.509証明書をSSH公開鍵に関連付けると、証明書が有効かどうかをSSHログイン時にONTAPがチェックします。証明書の有効期限が切れている、または証明書が失効している場合、ログインは許可されず、関連付けられているSSH公開鍵は無効になります。有効な値は次のとおりです。

  • install:指定されたPEMエンコードされたX.509証明書をインストールし、SSH公開鍵に関連付けます。インストールする証明書の全文を含めてください。

  • modify:既存のPEMエンコードされたX.509証明書を指定された証明書に更新し、SSH公開鍵に関連付けます。新しい証明書の全文を含めてください。

  • delete:SSH公開キーと関連付けられた既存のX.509証明書を削除します。

動的許可グローバル設定の構成

ONTAP 9.15.1以降では、 `security dynamic-authorization modify`コマンドでこれらの値を指定します。"ONTAPコマンド リファレンス"の `security dynamic-authorization modify`の詳細を確認してください。

フィールド

概要

あなたの価値

-vserver

信頼スコア設定を変更するストレージVMの名前。このパラメータを省略すると、クラスタ レベルの設定が使用されます。

-state

動的認証モード。可能な値:

  • disabled:(デフォルト)動的認証は無効です。

  • visibility:このモードは、動的な認可のテストに役立ちます。このモードでは、制限されたアクティビティごとに信頼スコアがチェックされますが、強制はされません。ただし、拒否されるか追加の認証チャレンジの対象となるアクティビティはすべてログに記録されます。

  • enforced: `visibility`モードでのテストを完了した後に使用してください。このモードでは、制限されたアクティビティごとに信頼スコアがチェックされ、制限条件が満たされた場合にアクティビティ制限が適用されます。また、抑制間隔も適用され、指定された間隔内で追加の認証チャレンジが防止されます。

-suppression-interval

指定された間隔内で追加の認証チャレンジを防止します。間隔はISO-8601形式で、1分から1時間までの値を指定できます。0に設定すると、抑制間隔は無効になり、必要な場合は常にユーザーに認証チャレンジが求められます。

-lower-challenge-boundary

多要素認証(MFA)チャレンジの下限パーセンテージです。有効範囲は0~99です。値100は、すべてのリクエストが拒否されるため無効です。デフォルト値は0です。

-upper-challenge-boundary

MFAチャレンジの上限パーセンテージです。有効範囲は0~100です。下限値以上である必要があります。100を指定すると、すべてのリクエストが拒否されるか、追加の認証チャレンジが課されます。チャレンジなしで許可されるリクエストはありません。デフォルト値は90です。

CA署名済みサーバ デジタル証明書のインストール

`security certificate generate-csr`コマンドでストレージVMをSSLサーバとして認証する際に使用するデジタル証明書署名要求(CSR)を生成する際に、これらの値を指定します。link:https://docs.netapp.com/us-en/ontap-cli/security-certificate-generate-csr.html["ONTAPコマンド リファレンス"^]の `security certificate generate-csr`の詳細を確認してください。

フィールド

概要

あなたの価値

-common-name

証明書の名前。完全修飾ドメイン名(FQDN)またはカスタム共通名を指定できます。

-size

秘密鍵のビット数。値が大きいほど、鍵のセキュリティは高くなります。デフォルト値は 2048`です。指定できる値は `51210241536、 `2048`です。

-country

ストレージVMの国名(2文字コード)。デフォルト値は `US`です。コードの一覧については、"ONTAPコマンド リファレンス"を参照してください。

-state

Storage VMが設置されている都道府県。

-locality

Storage VMが設置されている市区町村。

-organization

Storage VMを管理している組織。

-unit

Storage VMを管理している組織内の部門。

-email-addr

Storage VMの管理担当者のEメール アドレス。

-hash-function

証明書に署名するための暗号ハッシュ関数。デフォルト値は SHA256`です。指定できる値は `SHA1SHA256、 `MD5`です。

 
`security certificate install`コマンドでこれらの値を指定します。このコマンドは、クラスタまたはストレージVMをSSLサーバとして認証するために使用するCA署名デジタル証明書をインストールする際に使用します。次の表には、アカウント設定に関連するオプションのみが表示されています。link:https://docs.netapp.com/us-en/ontap-cli/security-certificate-install.html["ONTAPコマンド リファレンス"^]の `security certificate install`の詳細を確認してください。

フィールド

概要

あなたの価値

-vserver

証明書をインストールするStorage VMの名前。

-type

証明書のタイプ。

  • `server`サーバ証明書および中間証明書用

  • `client-ca`SSLクライアントのルートCAの公開鍵証明書用

  • `server-ca`ONTAPがクライアントとなっているSSLサーバのルートCAの公開鍵証明書

  • `client`ONTAPをSSLクライアントとして使用するための自己署名またはCA署名のデジタル証明書と秘密鍵

Active Directoryドメイン コントローラ アクセスの設定

データ ストレージVM用のSMBサーバをすでに設定しており、Active Directoryドメイン コントローラからクラスタへのアクセスのゲートウェイまたは_トンネル_としてストレージVMを設定する場合は、 `security login domain-tunnel create`コマンドでこれらの値を指定します。"ONTAPコマンド リファレンス"の `security login domain-tunnel create`の詳細を確認してください。

フィールド

概要

あなたの価値

-vserver

SMBサーバが設定されているStorage VMの名前。

SMBサーバを設定しておらず、Active Directoryドメインにストレージ VMコンピュータ アカウントを作成する場合は、 `vserver active-directory create`コマンドでこれらの値を指定します。"ONTAPコマンド リファレンス"の `vserver active-directory create`の詳細を確認してください。

フィールド

概要

あなたの価値

-vserver

Active Directoryコンピュータ アカウントを作成するStorage VMの名前。

-account-name

コンピュータ アカウントのNetBIOS名。

-domain

完全修飾ドメイン名(FQDN)。

-ou

ドメイン内の組織単位。デフォルト値は `CN=Computers`です。ONTAPはこの値をドメイン名に追加して、Active Directory識別名を生成します。

LDAPサーバまたはNISサーバのアクセスの設定

ストレージVMのLDAPクライアント構成を作成する際に、 `vserver services name-service ldap client create`コマンドでこれらの値を指定します。"ONTAPコマンド リファレンス"の `vserver services name-service ldap client create`の詳細を確認してください。

次の表には、アカウント設定に関連するオプションのみを記載します。

フィールド

概要

あなたの価値

-vserver

クライアント設定のStorage VMの名前。

-client-config

クライアント設定の名前。

-ldap-servers

クライアントが接続するLDAPサーバのIPアドレスおよびホスト名をカンマで区切ったリスト。

-schema

クライアントがLDAPクエリの作成に使用するスキーマ。

-use-start-tls

クライアントが Start TLS を使用して LDAP サーバとの通信を暗号化するかどうか((true または false)。

メモ

Start TLSは、データStorage VMへのアクセスでのみサポートされます。管理Storage VMへのアクセスではサポートされません。

これらの値は、LDAPクライアント構成をストレージVMに関連付ける際に、 `vserver services name-service ldap create`コマンドで指定します。"ONTAPコマンド リファレンス"の `vserver services name-service ldap create`の詳細を参照してください。

フィールド

概要

あなたの価値

-vserver

クライアント設定を関連付けるStorage VMの名前。

-client-config

クライアント設定の名前。

-client-enabled

ストレージVMがLDAPクライアント構成を使用できるかどうか((true`または `false)。

ストレージVM上にNISドメイン構成を作成する際に、 `vserver services name-service nis-domain create`コマンドでこれらの値を指定します。"ONTAPコマンド リファレンス"の `vserver services name-service nis-domain create`の詳細を確認してください。

フィールド

概要

あなたの価値

-vserver

ドメイン設定を作成するStorage VMの名前。

-domain

ドメインの名前。

-nis-servers

ドメイン設定で使用するNISサーバのIPアドレスおよびホスト名をカンマで区切ったリスト。

ネーム サービス ソースの検索順序を指定する際に、 `vserver services name-service ns-switch create`コマンドでこれらの値を指定します。 `vserver services name-service ns-switch create`の詳細については、"ONTAPコマンド リファレンス"を参照してください。

フィールド

概要

あなたの価値

-vserver

ネーム サービスの参照順序を設定するStorage VMの名前。

-database

ネーム サービス データベース。

  • `hosts`ファイルおよびDNSネーム サービス用

  • `group`ファイル、LDAP、NISネーム サービス用

  • `passwd`ファイル、LDAP、NISネーム サービス用

  • `netgroup`ファイル、LDAP、NISネーム サービス用

  • `namemap`ファイルおよびLDAPネーム サービス用

-sources

ネーム サービス ソースを参照する順序(カンマで区切ったリスト)。

  • files

  • dns

  • ldap

  • nis

SAMLアクセスの設定

ONTAP 9.3以降では、 `security saml-sp create`コマンドでこれらの値を指定してSAML認証を設定します。 `security saml-sp create`の詳細については、"ONTAPコマンド リファレンス"を参照してください。

フィールド

概要

あなたの価値

-idp-uri

アイデンティティ プロバイダ(IdP)メタデータをダウンロード可能な、IdPホストのFTPまたはHTTPアドレス。

-sp-host

SAMLサービス プロバイダ ホスト(ONTAPシステム)のホスト名またはIPアドレス。デフォルトでは、クラスタ管理LIFのIPアドレスが使用されます。

-cert-ca`および `-cert-serial、または -cert-common-name

サービス プロバイダ ホスト(ONTAPシステム)のサーバ証明書の詳細。サービス プロバイダの証明書の発行元認証局(CA)と証明書のシリアル番号、またはサーバ証明書を入力できます。

-verify-metadata-server

IdP メタデータ サーバーの ID を検証する必要があるかどうか( true`または `false)。ベスト プラクティスとしては、この値を常に `true`に設定します。