管理者認証と RBAC 設定用のワークシートです
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ログインアカウントを作成してロールベースアクセス制御( RBAC )を設定する前に、設定ワークシートの各項目について情報を収集しておく必要があります。
ログインアカウントを作成または変更します
次の値はで指定します security login create
コマンドは、ログインアカウントによるStorage VMへのアクセスを有効にする場合に使用します。にも同じ値を指定します security login modify
コマンドは、アカウントによるStorage VMへのアクセス方法を変更するときに使用します。
フィールド |
説明 |
あなたの価値 |
|
アカウントがアクセスするStorage VMの名前。デフォルト値はクラスタの管理Storage VMの名前です。 |
|
|
アカウントのユーザ名またはグループ名。グループ名を指定すると、そのグループ内の各ユーザのアクセスが有効になります。ユーザ名またはグループ名を複数のアプリケーションに関連付けることができます。 |
|
|
Storage VMへのアクセスに使用されるアプリケーション:
|
|
|
アカウントの認証に使用する方法。
|
|
|
リモートスイッチの IP アドレスです。リモートスイッチは、クラスタスイッチヘルスモニタ( CSHM )で監視されるクラスタスイッチ、または MetroCluster ヘルスモニタ( MCC-HM )で監視される Fibre Channel ( FC )スイッチです。このオプションは、アプリケーションがの場合にのみ適用されます |
|
|
アカウントに割り当てられているアクセス制御ロール。
|
|
|
(オプション)アカウントの説明。テキストは二重引用符( " )で囲む必要があります。 |
|
|
アカウントがLDAPグループアカウントかNISグループアカウントか ( |
|
|
多要素認証の場合の2番目の認証方式:
認証の順序は、常に公開鍵が先でパスワードがあとです。 |
|
|
ONTAP 9.11.1以降では、trueに設定すると、nsswitch認証に対してLDAPファストバインドが有効になります。デフォルトはfalseです。LDAP高速バインドを使用するには、を使用します |
Cisco Duoセキュリティ情報の設定
次の値はで指定します security login duo create
コマンドは、Storage VMに対してSSHログインを使用したCisco Duoツーファクタ認証を有効にする場合に使用します。
フィールド |
説明 |
あなたの価値 |
|
Duo認証設定を適用するStorage VM(ONTAP CLIではVserver)。 |
|
|
DuoにSSHアプリケーションを登録するときに取得した統合キー。 |
|
|
DuoにSSHアプリケーションを登録するときに取得した秘密キー。 |
|
|
SSHアプリケーションをDuoに登録するときに取得されるAPIホスト名。例: api-<HOSTNAME>.duosecurity.com |
|
|
Duo認証を妨げるサービスまたは構成エラーの場合は、失敗します。 |
|
|
指定したHTTPプロキシを使用します。HTTPプロキシで認証が必要な場合は、プロキシURLにクレデンシャルを含めます。例: http-proxy=http://username:password@proxy.example.org:8080 |
|
|
または セツテイシタシヨウコウ |
|
|
ユーザーが2番目のファクターで認証に失敗した場合、Duoはユーザーに再度認証を求めるプロンプトを表示します。このオプションは、アクセスを拒否する前にDuoが表示するプロンプトの最大数を設定します。でなければなりません 例えば、 `max-prompts = 1`ユーザは最初のプロンプトで正常に認証される必要がありますが、次の場合は `max-prompts = 2`ユーザが最初のプロンプトで誤った情報を入力すると、再度認証を求めるプロンプトが表示されます。 セツテイシタシヨウコウ 最高のエクスペリエンスを得るために、公開鍵認証のみを使用するユーザには、常に |
|
|
Duo 2要素認証を有効にします。をに設定します |
|
|
このオプションは、アクセスされているアプリケーションまたはサービスの名前など、プッシュ通知に追加情報を提供します。これにより、ユーザは正しいサービスにログインしていることを確認し、セキュリティレイヤを追加できます。 |
カスタムロールを定義する
次の値はで指定します security login role create
コマンドは、カスタムロールを定義するときに使用します。
フィールド |
説明 |
あなたの価値 |
|
(オプション)ロールに関連付けられているStorage VM(ONTAP CLIではVserverと表示されます)の名前。 |
|
|
ロールの名前。 |
|
|
ロールでアクセスできるコマンドまたはコマンドディレクトリ。コマンドサブディレクトリの名前は二重引用符( " )で囲む必要があります。例: |
|
|
(任意)ロールのアクセスレベル。コマンドディレクトリの場合:
for_nonintrinsic commands_(末尾がでないコマンド
組み込みコマンドへのアクセスを許可または拒否するには、コマンドディレクトリを指定する必要があります。 |
|
|
(任意)アクセスレベルのフィルタリングに使用されるクエリーオブジェクト。コマンドの有効なオプションまたはコマンドディレクトリ内のコマンドの形式で指定します。クエリオブジェクトは二重引用符( " )で囲む必要があります。たとえば、コマンドディレクトリがの場合などです |
ユーザアカウントに公開鍵を関連付けます
次の値はで指定します security login publickey create
コマンドは、SSH公開鍵をユーザアカウントに関連付けるときに使用します。
フィールド |
説明 |
あなたの価値 |
|
(オプション)アカウントがアクセスするStorage VMの名前。 |
|
|
アカウントのユーザ名。デフォルト値 `admin`に変更します。これは、クラスタ管理者のデフォルト名です。 |
|
|
公開鍵のインデックス番号。デフォルト値は、アカウントに対して最初に作成されたキーの場合は 0 です。それ以外の場合、デフォルト値は、そのアカウントに対して既存の最も大きいインデックス番号の 1 つ以上になります。 |
|
|
OpenSSH 公開鍵。キーは二重引用符( " )で囲む必要があります。 |
|
|
アカウントに割り当てられているアクセス制御ロール。 |
|
|
(オプション)公開鍵についての説明。テキストは二重引用符( " )で囲む必要があります。 |
|
|
(任意)ONTAP 9.13.1以降では、SSH公開鍵とのX.509証明書の関連付けを管理できます。 X.509証明書をSSH公開鍵に関連付けると、ONTAPはSSHログイン時にこの証明書が有効かどうかを確認します。有効期限が切れているか失効している場合、ログインは許可されず、関連するSSH公開鍵は無効になります。有効な値は次のとおり
|
動的認証グローバル設定の構成
ONTAP 9.15.1以降では、 security dynamic-authorization modify
コマンドを実行しますダイナミック許可設定の詳細については、を参照してください。 "動的許可の概要"。
フィールド |
説明 |
あなたの価値 |
|
信頼スコア設定を変更する必要があるStorage VMの名前。このパラメータを省略すると、クラスタレベルの設定が使用されます。 |
|
|
ダイナミック許可モード。有効な値は次のとおり
|
|
|
指定された間隔内で追加の認証チャレンジを防止します。間隔はISO-8601形式で、1分~1時間の値を指定できます。0に設定すると、抑制間隔はディセーブルになり、認証チャレンジが必要な場合は常にユーザにプロンプトが表示されます。 |
|
|
多要素認証(MFA)チャレンジの割合の下限。有効な範囲は0~99です。値100は無効です。これにより、すべての要求が拒否されます。デフォルト値は0です。 |
|
|
上限MFAチャレンジパーセンテージの境界。有効な範囲は0~100です。これは下部境界の値以上である必要があります。100の値は、すべての要求が拒否されるか、追加の認証チャレンジの対象となることを意味します。チャレンジなしで許可される要求はありません。デフォルト値は90です。 |
CA 署名済みサーバデジタル証明書をインストールする。
次の値はで指定します security certificate generate-csr
Storage VMをSSLサーバとして認証するために使用するデジタル証明書署名要求(CSR)を生成するときにコマンドを実行します。
フィールド |
説明 |
あなたの価値 |
|
証明書の名前。完全修飾ドメイン名( FQDN )またはカスタム共通名を指定できます。 |
|
|
秘密鍵のビット数。値が大きいほど、キーのセキュリティは向上します。デフォルト値はです |
|
|
Storage VMの国(2文字のコード)。デフォルト値はです |
|
|
Storage VMの都道府県。 |
|
|
Storage VMの局所性。 |
|
|
Storage VMの組織。 |
|
|
Storage VMの組織内の単位。 |
|
|
Storage VMの管理者連絡先のEメールアドレス。 |
|
|
証明書の署名に使用する暗号化ハッシュ関数。デフォルト値はです |
次の値はで指定します security certificate install
コマンドは、クラスタまたはStorage VMをSSLサーバとして認証するためにCA署名デジタル証明書をインストールするときに使用します。次の表には、アカウント設定に関連するオプションのみを示します。
フィールド |
説明 |
あなたの価値 |
|
証明書をインストールするStorage VMの名前。 |
|
|
証明書のタイプ。
|
Active Directory ドメインコントローラアクセスを設定する
次の値はで指定します security login domain-tunnel create
コマンドは、データStorage VM用のSMBサーバがすでに設定されていて、Storage VMをゲートウェイまたは_tunnel_(Active Directoryドメインコントローラによるクラスタへのアクセスの場合)として設定する場合に使用します。
フィールド |
説明 |
あなたの価値 |
|
SMBサーバが設定されているStorage VMの名前。 |
次の値はで指定します vserver active-directory create
コマンドは、SMBサーバを設定しておらず、Active DirectoryドメインにStorage VMコンピュータアカウントを作成する場合に使用します。
フィールド |
説明 |
あなたの価値 |
|
Active Directoryコンピュータアカウントを作成するStorage VMの名前。 |
|
|
コンピュータアカウントの NetBIOS 名。 |
|
|
完全修飾ドメイン名( FQDN )。 |
|
|
ドメイン内の組織単位。デフォルト値はです |
LDAP サーバまたは NIS サーバのアクセスを設定
次の値はで指定します vserver services name-service ldap client create
コマンドは、Storage VMのLDAPクライアント設定を作成するときに使用します。
次の表には、アカウント設定に関連するオプションのみを示します。
フィールド |
説明 |
あなたの価値 |
||
|
クライアント設定のStorage VMの名前。 |
|||
|
クライアント設定の名前。 |
|||
|
クライアントの接続先LDAPサーバのIPアドレスとホスト名をカンマで区切ったリスト。 |
|||
|
クライアントが LDAP クエリの作成に使用するスキーマ。 |
|||
|
クライアントがStart TLSを使用してLDAPサーバとの通信を暗号化するかどうか (
|
次の値はで指定します vserver services name-service ldap create
コマンドは、LDAPクライアント設定をStorage VMに関連付けるときに使用します。
フィールド |
説明 |
あなたの価値 |
|
クライアント設定を関連付けるStorage VMの名前。 |
|
|
クライアント設定の名前。 |
|
|
Storage VMでLDAPクライアント設定を使用できるかどうか ( |
次の値はで指定します vserver services name-service nis-domain create
コマンドは、Storage VMにNISドメイン設定を作成するときに使用します。
フィールド |
説明 |
あなたの価値 |
|
ドメイン設定を作成するStorage VMの名前。 |
|
|
ドメインの名前。 |
|
|
ドメインがアクティブかどうか ( |
|
|
|
|
|
ドメイン設定で使用されるNISサーバのIPアドレスとホスト名をカンマで区切ったリスト。 |
次の値はで指定します vserver services name-service ns-switch create
コマンドは、ネームサービスソースの参照順序を指定するときに使用します。
フィールド |
説明 |
あなたの価値 |
|
ネームサービスの参照順序を設定するStorage VMの名前。 |
|
|
ネームサービスデータベース。
|
|
|
ネームサービスソースを検索する順序(カンマで区切ったリスト)。
|
SAML アクセスを設定する
ONTAP 9.3以降では、で次の値を指定します security saml-sp create
SAML認証を設定するコマンド。
フィールド |
説明 |
あなたの価値 |
|
アイデンティティプロバイダ( IdP )メタデータのダウンロード元である IdP ホストの FTP アドレスまたは HTTP アドレス。 |
|
|
SAML サービスプロバイダホスト( ONTAP システム)のホスト名または IP アドレス。デフォルトでは、クラスタ管理 LIF の IP アドレスが使用されます。 |
|
|
サービスプロバイダホスト( ONTAP システム)のサーバ証明書の詳細。サービスプロバイダの証明書発行認証局(CA)と証明書のシリアル番号、またはサーバ証明書の共通名を入力できます。 |
|
|
IdPメタデータサーバのIDを検証するかどうか |