ONTAPを使用したSSHログイン用のCisco Duo 2FAの設定
ONTAP 9 14.1以降では、SSHログイン時に2要素認証(2FA)にCisco Duoを使用するようにONTAPを設定できます。Duoはクラスタレベルで設定し、デフォルトですべてのユーザアカウントに適用されます。また、Storage VM(旧称Vserver)のレベルでDuoを設定することもできます。その場合は、そのStorage VMのユーザにのみ適用されます。Duoを有効にして設定すると、追加の認証方式として機能し、すべてのユーザの既存の方式を補完します。
SSHログインでDuo認証を有効にした場合、ユーザは次回SSHを使用してログインするときにデバイスを登録する必要があります。登録情報については、Cisco Duoを参照して "登録に関するドキュメント"ください。
Cisco Duoでは、ONTAPコマンドラインインターフェイスを使用して次のタスクを実行できます。
Cisco Duoの設定
コマンドを使用して、クラスタ全体または特定のStorage VM(ONTAP CLIではVserver)に対してCisco Duo構成を作成できます[security login duo create
。これにより、このクラスタまたはStorage VMのSSHログインでCisco Duoが有効になります。リンクhttps://docsの詳細については、『ONTAPコマンドリファレンス』を参照してください。NetApp .com /us-en/ ONTAP -CLI// security-login-duo-create.html[security login duo create
^]コマンドを参照してください。
-
Cisco Duo管理パネルにログインします。
-
[アプリケーション]>[UNIXアプリケーション]*に移動します。
-
統合キー、シークレットキー、およびAPIホスト名を記録します。
-
SSHを使用してONTAPアカウントにログインします。
-
このStorage VMに対してCisco Duo認証を有効にし、環境からの情報を角かっこ内の値に置き換えます。
security login duo create \ -vserver <STORAGE_VM_NAME> \ -integration-key <INTEGRATION_KEY> \ -secret-key <SECRET_KEY> \ -apihost <API_HOSTNAME>
コマンドの詳細については、を"カンリシヤニンシヨウトRBACセツテイヨウノワアクシイト"参照してください。
Cisco Duo設定の変更
Cisco Duoがユーザーを認証する方法を変更できます(たとえば、指定される認証プロンプトの数、使用されるHTTPプロキシなど)。Storage VM(ONTAP CLIではVserver)のCisco Duo設定を変更する必要がある場合は、コマンドを使用できます[security login duo modify
。リンクhttps://docsの詳細については、『ONTAPコマンドリファレンス』を参照してください。NetApp .com /us-en/ ONTAP -CLI// security-login-duo-modify.html[security login duo modify
^]コマンドを参照してください。
-
Cisco Duo管理パネルにログインします。
-
[アプリケーション]>[UNIXアプリケーション]*に移動します。
-
統合キー、シークレットキー、およびAPIホスト名を記録します。
-
SSHを使用してONTAPアカウントにログインします。
-
このStorage VMのCisco Duo設定を変更し、環境で更新された情報を角かっこ内の値に置き換えます。
security login duo modify \ -vserver <STORAGE_VM_NAME> \ -integration-key <INTEGRATION_KEY> \ -secret-key <SECRET_KEY> \ -apihost <API_HOSTNAME> \ -pushinfo true|false \ -http-proxy <HTTP_PROXY_URL> \ -autopush true|false \ -prompts 1|2|3 \ -max-unenrolled-logins <NUM_LOGINS> \ -is-enabled true|false \ -fail-mode safe|secure
Cisco Duo設定の削除
Cisco Duo設定を削除すると、ログイン時にSSHユーザがDuoを使用して認証する必要がなくなります。Storage VM(ONTAP CLIではVserverと表示されます)のCisco Duo設定を削除するには、コマンドを使用し[security login duo delete`ます。リンクhttps://docsの詳細については、『ONTAPコマンドリファレンス』を参照してください。NetApp .com /us-en/ ONTAP -CLI// security-login-duo-delete.html[`security login duo delete
^]コマンドを参照してください。
-
SSHを使用してONTAPアカウントにログインします。
-
このStorage VMのCisco Duo設定を削除し、Storage VM名をに置き換えて `<STORAGE_VM_NAME>`ください:
security login duo delete -vserver <STORAGE_VM_NAME>
これにより、このStorage VMのCisco Duo設定が完全に削除されます。
Cisco Duo設定の表示
Storage VM(ONTAP CLIではVserverと表示されます)の既存のCisco Duo設定を表示するには、コマンドを使用し[security login duo show`ます。リンクhttps://docsの詳細については、『ONTAPコマンドリファレンス』を参照してください。NetApp .com /us-en/ ONTAP -CLI// security-login-duo-show.html[`security login duo show
^]コマンドを参照してください。
-
SSHを使用してONTAPアカウントにログインします。
-
このStorage VMのCisco Duo設定を表示します。必要に応じて、パラメータを使用してStorage VMを指定できます
vserver
。Storage VM名はに置き換えてください。<STORAGE_VM_NAME>
security login duo show -vserver <STORAGE_VM_NAME>
次のような出力が表示されます。
Vserver: testcluster Enabled: true Status: ok INTEGRATION-KEY: DI89811J9JWMJCCO7IOH SKEY SHA Fingerprint: b79ffa4b1c50b1c747fbacdb34g671d4814 API Host: api-host.duosecurity.com Autopush: true Push info: true Failmode: safe Http-proxy: 192.168.0.1:3128 Prompts: 1 Comments: -
Duoグループの作成
Cisco Duoでは、特定のActive Directory、LDAP、またはローカルユーザーグループのユーザーのみをDuo認証プロセスに含めるように設定できます。Duoグループを作成すると、そのグループ内のユーザーのみがDuo認証を求められます。Duoグループは、コマンドを使用して作成できます[security login duo group create
。グループを作成するときに、必要に応じて、そのグループ内の特定のユーザーをDuo認証プロセスから除外することができます。リンクhttps://docsの詳細については、『ONTAPコマンドリファレンス』を参照してください。NetApp .com /us-en/ ONTAP -CLI// security-login-duo-group-create.html[security login duo group create
^]コマンドを参照してください。
-
SSHを使用してONTAPアカウントにログインします。
-
Duoグループを作成し、環境の情報を括弧内の値に置き換えます。パラメータを省略する `-vserver`と、グループはクラスタレベルで作成されます。
security login duo group create -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -exclude-users <USER1, USER2>
Duoグループの名前は、Active Directory、LDAP、またはローカルグループと一致している必要があります。オプションのパラメータで指定したユーザは
-exclude-users
、Duo認証プロセスに含まれません。
Duoグループの表示
既存のCisco Duoグループエントリを表示するには、コマンドを使用し[security login duo group show`ます。リンクhttps://docsの詳細については、『ONTAPコマンドリファレンス』を参照してください。NetApp .com /us-en/ ONTAP -CLI// security-login-duo-group-show.html[`security login duo group show
^]コマンドを参照してください。
-
SSHを使用してONTAPアカウントにログインします。
-
Duoグループのエントリを表示します。括弧内の値は、環境の情報に置き換えてください。パラメータを省略すると、 `-vserver`グループはクラスタレベルで表示されます。
security login duo group show -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -exclude-users <USER1, USER2>
Duoグループの名前は、Active Directory、LDAP、またはローカルグループと一致している必要があります。オプションのパラメータで指定したユーザ `-exclude-users`は表示されません。
Duoグループの削除
Duoグループエントリを削除するには、コマンドを使用し[security login duo group delete`ます。グループを削除すると、そのグループのユーザはDuo認証プロセスに含まれなくなります。リンクhttps://docsの詳細については、『ONTAPコマンドリファレンス』を参照してください。NetApp .com /us-en/ ONTAP -CLI// security-login-duo-group-delete.html[`security login duo group delete
^]コマンドを参照してください。
-
SSHを使用してONTAPアカウントにログインします。
-
Duoグループエントリを削除し、環境内の情報を括弧内の値に置き換えます。パラメータを省略すると、 `-vserver`グループはクラスタレベルで削除されます。
security login duo group delete -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME>
Duoグループの名前は、Active Directory、LDAP、またはローカルグループと一致している必要があります。
ユーザーのDuo認証をバイパスする
すべてのユーザーまたは特定のユーザーをDuo SSH認証プロセスから除外できます。
すべてのDuoユーザーを除外
すべてのユーザに対してCisco Duo SSH認証を無効にすることができます。
-
SSHを使用してONTAPアカウントにログインします。
-
SSHユーザのCisco Duo認証を無効にし、SVM名をに置き換え `<STORAGE_VM_NAME>`ます。
security login duo -vserver <STORAGE_VM_NAME> -is-duo-enabled-false
Duoグループユーザーを除外
Duoグループの一部である特定のユーザーを、Duo SSH認証プロセスから除外できます。
-
SSHを使用してONTAPアカウントにログインします。
-
グループ内の特定のユーザーに対してCisco Duo認証を無効にします。括弧内の値は、除外するグループ名とユーザのリストに置き換えてください。
security login group modify -group-name <GROUP_NAME> -exclude-users <USER1, USER2>
Duoグループの名前は、Active Directory、LDAP、またはローカルグループと一致している必要があります。パラメータで指定したユーザは
-exclude-users
、Duo認証プロセスに含まれません。
ローカルDuoユーザを除外
Cisco Duo管理パネルを使用すると、特定のローカルユーザーをDuo認証の使用から除外できます。手順については、を参照して "Cisco Duoマニュアル"ください。