Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

管理者認証と RBAC 設定用のワークシートです

共同作成者
PDF

ログインアカウントを作成してロールベースアクセス制御( RBAC )を設定する前に、設定ワークシートの各項目について情報を収集しておく必要があります。

ログインアカウントを作成または変更します

次の値はで指定します security login create コマンドは、ログインアカウントによるStorage VMへのアクセスを有効にする場合に使用します。にも同じ値を指定します security login modify コマンドは、アカウントによるStorage VMへのアクセス方法を変更するときに使用します。

フィールド

説明

あなたの価値

-vserver

アカウントがアクセスするStorage VMの名前。デフォルト値はクラスタの管理Storage VMの名前です。

-user-or-group-name

アカウントのユーザ名またはグループ名。グループ名を指定すると、そのグループ内の各ユーザのアクセスが有効になります。ユーザ名またはグループ名を複数のアプリケーションに関連付けることができます。

-application

Storage VMへのアクセスに使用されるアプリケーション:

  • http

  • ontapi

  • snmp

  • ssh

-authmethod

アカウントの認証に使用する方法。

  • cert SSL証明書認証用

  • domain Active Directory認証用

  • nsswitch LDAPまたはNIS認証に使用します

  • password ユーザパスワード認証用

  • publickey 公開鍵認証用

  • community (SNMPコミュニティストリング)

  • usm SNMPユーザセキュリティモデルの場合

  • saml Security Assertion Markup Language(SAML)認証に使用します

-remote-switch-ipaddress

リモートスイッチの IP アドレスです。リモートスイッチは、クラスタスイッチヘルスモニタ( CSHM )で監視されるクラスタスイッチ、または MetroCluster ヘルスモニタ( MCC-HM )で監視される Fibre Channel ( FC )スイッチです。このオプションは、アプリケーションがの場合にのみ適用されます snmp 認証方法はです usm

-role

アカウントに割り当てられているアクセス制御ロール。

  • クラスタ(管理Storage VM)のデフォルト値はです。 admin

  • データStorage VMの場合、デフォルト値はです。 vsadmin

-comment

(オプション)アカウントの説明。テキストは二重引用符( " )で囲む必要があります。

-is-ns-switch-group

アカウントがLDAPグループアカウントかNISグループアカウントか (yes または no)。

-second-authentication-method

多要素認証の場合の2番目の認証方式:

  • none 多要素認証を使用しない場合は、デフォルト値

  • publickey 公開鍵認証の場合 authmethod は、passwordまたはnsswitchです

  • password でのユーザパスワード認証に使用します authmethod は公開鍵です

  • nsswitch authmethodがpublickeyの場合のユーザパスワード認証用

認証の順序は、常に公開鍵が先でパスワードがあとです。

-is-ldap-fastbind

ONTAP 9.11.1以降では、trueに設定すると、nsswitch認証に対してLDAPファストバインドが有効になります。デフォルトはfalseです。LDAP高速バインドを使用するには、を使用します -authentication-method 値はに設定する必要があります nsswitch"nsswitch認証のLDAP fastbindについて説明します。"

Cisco Duoセキュリティ情報の設定

次の値はで指定します security login duo create コマンドは、Storage VMに対してSSHログインを使用したCisco Duoツーファクタ認証を有効にする場合に使用します。

フィールド

説明

あなたの価値

-vserver

Duo認証設定を適用するStorage VM(ONTAP CLIではVserver)。

-integration-key

DuoにSSHアプリケーションを登録するときに取得した統合キー。

-secret-key

DuoにSSHアプリケーションを登録するときに取得した秘密キー。

-api-host

SSHアプリケーションをDuoに登録するときに取得されるAPIホスト名。例:

api-<HOSTNAME>.duosecurity.com

-fail-mode

Duo認証を妨げるサービスまたは構成エラーの場合は、失敗します。 safe (アクセスを許可)または secure (アクセスを拒否)。デフォルトはです `safe`これは、Duo APIサーバーにアクセスできないなどのエラーが原因で失敗した場合、Duo認証がバイパスされることを意味します。

-http-proxy

指定したHTTPプロキシを使用します。HTTPプロキシで認証が必要な場合は、プロキシURLにクレデンシャルを含めます。例:

http-proxy=http://username:password@proxy.example.org:8080

-autopush

または true または false。デフォルトはです false。状況 `true`Duoは、プッシュログイン要求をユーザーの電話に自動的に送信し、プッシュが利用できない場合は通話に戻ります。これにより、パスコード認証が実質的に無効になります。状況 `false`を選択すると、認証方法を選択するように求められます。

セツテイシタシヨウコウ autopush = true`を設定することをお勧めします `max-prompts = 1

-max-prompts

ユーザーが2番目のファクターで認証に失敗した場合、Duoはユーザーに再度認証を求めるプロンプトを表示します。このオプションは、アクセスを拒否する前にDuoが表示するプロンプトの最大数を設定します。でなければなりません 12`または `3。デフォルト値はです 1

例えば、 `max-prompts = 1`ユーザは最初のプロンプトで正常に認証される必要がありますが、次の場合は `max-prompts = 2`ユーザが最初のプロンプトで誤った情報を入力すると、再度認証を求めるプロンプトが表示されます。

セツテイシタシヨウコウ autopush = true`を設定することをお勧めします `max-prompts = 1

最高のエクスペリエンスを得るために、公開鍵認証のみを使用するユーザには、常に max-prompts をに設定します 1

-enabled

Duo 2要素認証を有効にします。をに設定します true デフォルトでは有効にすると、設定されているパラメータに従って、SSHログイン時にDuo 2要素認証が実行されます。Duoが無効になっている場合( false)、Duo認証は無視されます。

カスタムロールを定義する

次の値はで指定します security login role create コマンドは、カスタムロールを定義するときに使用します。

フィールド

説明

あなたの価値

-vserver

(オプション)ロールに関連付けられているStorage VM(ONTAP CLIではVserverと表示されます)の名前。

-role

ロールの名前。

-cmddirname

ロールでアクセスできるコマンドまたはコマンドディレクトリ。コマンドサブディレクトリの名前は二重引用符( " )で囲む必要があります。例: "volume snapshot"。入る必要があります DEFAULT すべてのコマンドディレクトリを指定します。

-access

(任意)ロールのアクセスレベル。コマンドディレクトリの場合:

  • none (カスタムロールのデフォルト値)は、コマンドディレクトリ内のコマンドへのアクセスを拒否します

  • readonly へのアクセスを許可します show コマンドディレクトリとそのサブディレクトリ内のコマンド

  • all コマンドディレクトリとそのサブディレクトリ内のすべてのコマンドへのアクセスを許可します

for_nonintrinsic commands_(末尾がでないコマンド createmodifydelete`または `show):

  • none (カスタムロールのデフォルト値)は、コマンドへのアクセスを拒否します

  • readonly は適用されません

  • all コマンドへのアクセスを許可します

組み込みコマンドへのアクセスを許可または拒否するには、コマンドディレクトリを指定する必要があります。

-query

(任意)アクセスレベルのフィルタリングに使用されるクエリーオブジェクト。コマンドの有効なオプションまたはコマンドディレクトリ内のコマンドの形式で指定します。クエリオブジェクトは二重引用符( " )で囲む必要があります。たとえば、コマンドディレクトリがの場合などです volume、クエリーオブジェクト "-aggr aggr0" のアクセスを有効にします aggr0 アグリゲートのみ:

ユーザアカウントに公開鍵を関連付けます

次の値はで指定します security login publickey create コマンドは、SSH公開鍵をユーザアカウントに関連付けるときに使用します。

フィールド

説明

あなたの価値

-vserver

(オプション)アカウントがアクセスするStorage VMの名前。

-username

アカウントのユーザ名。デフォルト値 `admin`に変更します。これは、クラスタ管理者のデフォルト名です。

-index

公開鍵のインデックス番号。デフォルト値は、アカウントに対して最初に作成されたキーの場合は 0 です。それ以外の場合、デフォルト値は、そのアカウントに対して既存の最も大きいインデックス番号の 1 つ以上になります。

-publickey

OpenSSH 公開鍵。キーは二重引用符( " )で囲む必要があります。

-role

アカウントに割り当てられているアクセス制御ロール。

-comment

(オプション)公開鍵についての説明。テキストは二重引用符( " )で囲む必要があります。

-x509-certificate

(任意)ONTAP 9.13.1以降では、SSH公開鍵とのX.509証明書の関連付けを管理できます。

X.509証明書をSSH公開鍵に関連付けると、ONTAPはSSHログイン時にこの証明書が有効かどうかを確認します。有効期限が切れているか失効している場合、ログインは許可されず、関連するSSH公開鍵は無効になります。有効な値は次のとおり

  • install:指定したPEMでエンコードされたX.509証明書をインストールし、SSH公開鍵に関連付けます。インストールする証明書の全文を含めます。

  • modify:PEMでエンコードされた既存のX.509証明書を指定された証明書に更新し、SSH公開鍵に関連付けます。新しい証明書の全文を含めます。

  • delete:既存のX.509証明書とSSH公開鍵の関連付けを削除します。

CA 署名済みサーバデジタル証明書をインストールする。

次の値はで指定します security certificate generate-csr Storage VMをSSLサーバとして認証するために使用するデジタル証明書署名要求(CSR)を生成するときにコマンドを実行します。

フィールド

説明

あなたの価値

-common-name

証明書の名前。完全修飾ドメイン名( FQDN )またはカスタム共通名を指定できます。

-size

秘密鍵のビット数。値が大きいほど、キーのセキュリティは向上します。デフォルト値はです 2048。指定できる値はです 51210241536`および `2048

-country

Storage VMの国(2文字のコード)。デフォルト値はです US。コードの一覧については、マニュアルページを参照してください。

-state

Storage VMの都道府県。

-locality

Storage VMの局所性。

-organization

Storage VMの組織。

-unit

Storage VMの組織内の単位。

-email-addr

Storage VMの管理者連絡先のEメールアドレス。

-hash-function

証明書の署名に使用する暗号化ハッシュ関数。デフォルト値はです SHA256。指定できる値はです SHA1SHA256`および `MD5

次の値はで指定します security certificate install コマンドは、クラスタまたはStorage VMをSSLサーバとして認証するためにCA署名デジタル証明書をインストールするときに使用します。次の表には、アカウント設定に関連するオプションのみを示します。

フィールド

説明

あなたの価値

-vserver

証明書をインストールするStorage VMの名前。

-type

証明書のタイプ。

  • server (サーバ証明書と中間証明書)

  • client-ca SSLクライアントのルートCAの公開鍵証明書用

  • server-ca ONTAP がクライアントであるSSLサーバのルートCAの公開鍵証明書用

  • client ONTAP をSSLクライアントとして使用するための自己署名またはCA署名のデジタル証明書および秘密鍵

Active Directory ドメインコントローラアクセスを設定する

次の値はで指定します security login domain-tunnel create コマンドは、データStorage VM用のSMBサーバがすでに設定されていて、Storage VMをゲートウェイまたは_tunnel_(Active Directoryドメインコントローラによるクラスタへのアクセスの場合)として設定する場合に使用します。

フィールド

説明

あなたの価値

-vserver

SMBサーバが設定されているStorage VMの名前。

次の値はで指定します vserver active-directory create コマンドは、SMBサーバを設定しておらず、Active DirectoryドメインにStorage VMコンピュータアカウントを作成する場合に使用します。

フィールド

説明

あなたの価値

-vserver

Active Directoryコンピュータアカウントを作成するStorage VMの名前。

-account-name

コンピュータアカウントの NetBIOS 名。

-domain

完全修飾ドメイン名( FQDN )。

-ou

ドメイン内の組織単位。デフォルト値はです CN=Computers。ONTAP はこの値をドメイン名に付加して、 Active Directory 識別名を生成します。

LDAP サーバまたは NIS サーバのアクセスを設定

次の値はで指定します vserver services name-service ldap client create コマンドは、Storage VMのLDAPクライアント設定を作成するときに使用します。

次の表には、アカウント設定に関連するオプションのみを示します。

フィールド

説明

あなたの価値

-vserver

クライアント設定のStorage VMの名前。

-client-config

クライアント設定の名前。

-ldap-servers

クライアントの接続先LDAPサーバのIPアドレスとホスト名をカンマで区切ったリスト。

-schema

クライアントが LDAP クエリの作成に使用するスキーマ。

-use-start-tls

クライアントがStart TLSを使用してLDAPサーバとの通信を暗号化するかどうか (true または false)。

メモ

Start TLSは、データStorage VMへのアクセスでのみサポートされます。管理Storage VMへのアクセスではサポートされていません。

次の値はで指定します vserver services name-service ldap create コマンドは、LDAPクライアント設定をStorage VMに関連付けるときに使用します。

フィールド

説明

あなたの価値

-vserver

クライアント設定を関連付けるStorage VMの名前。

-client-config

クライアント設定の名前。

-client-enabled

Storage VMでLDAPクライアント設定を使用できるかどうか (true または false)。

次の値はで指定します vserver services name-service nis-domain create コマンドは、Storage VMにNISドメイン設定を作成するときに使用します。

フィールド

説明

あなたの価値

-vserver

ドメイン設定を作成するStorage VMの名前。

-domain

ドメインの名前。

-active

ドメインがアクティブかどうか (true または false)。

-servers

  • ONTAP 9.0 、 9.1 * :ドメイン設定で使用される NIS サーバの IP アドレスをカンマで区切って指定します。

-nis-servers

ドメイン設定で使用されるNISサーバのIPアドレスとホスト名をカンマで区切ったリスト。

次の値はで指定します vserver services name-service ns-switch create コマンドは、ネームサービスソースの参照順序を指定するときに使用します。

フィールド

説明

あなたの価値

-vserver

ネームサービスの参照順序を設定するStorage VMの名前。

-database

ネームサービスデータベース。

  • hosts (ファイルおよびDNSネームサービス)

  • group (ファイル、LDAP、およびNISの各ネームサービス)

  • passwd (ファイル、LDAP、およびNISの各ネームサービス)

  • netgroup (ファイル、LDAP、およびNISの各ネームサービス)

  • namemap フアイルトLDAPネエムサアヒス

-sources

ネームサービスソースを検索する順序(カンマで区切ったリスト)。

  • files

  • dns

  • ldap

  • nis

SAML アクセスを設定する

ONTAP 9.3以降では、で次の値を指定します security saml-sp create SAML認証を設定するコマンド。

フィールド

説明

あなたの価値

-idp-uri

アイデンティティプロバイダ( IdP )メタデータのダウンロード元である IdP ホストの FTP アドレスまたは HTTP アドレス。

-sp-host

SAML サービスプロバイダホスト( ONTAP システム)のホスト名または IP アドレス。デフォルトでは、クラスタ管理 LIF の IP アドレスが使用されます。

-cert-ca および -cert-serial`または `-cert-common-name

サービスプロバイダホスト( ONTAP システム)のサーバ証明書の詳細。サービスプロバイダの証明書発行認証局(CA)と証明書のシリアル番号、またはサーバ証明書の共通名を入力できます。

-verify-metadata-server

IdPメタデータサーバのIDを検証するかどうか true または false)。この値は常にに設定することを推奨します true