Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SSHログイン用のCisco Duo 2FAの設定

共同作成者
PDF

ONTAP 9 14.1以降では、SSHログイン時に2要素認証(2FA)にCisco Duoを使用するようにONTAPを設定できます。Duoはクラスタレベルで設定し、デフォルトですべてのユーザアカウントに適用されます。また、Storage VM(旧称Vserver)のレベルでDuoを設定することもできます。その場合は、そのStorage VMのユーザにのみ適用されます。Duoを有効にして設定すると、追加の認証方式として機能し、すべてのユーザの既存の方式を補完します。

SSHログインでDuo認証を有効にした場合、ユーザは次回SSHを使用してログインするときにデバイスを登録する必要があります。登録情報については、Cisco Duoを参照して "登録に関するドキュメント"ください。

Cisco Duoでは、ONTAPコマンドラインインターフェイスを使用して次のタスクを実行できます。

Cisco Duoの設定

コマンドを使用して、クラスタ全体または特定のStorage VM(ONTAP CLIではVserver)に対してCisco Duo構成を作成できます security login duo create。これにより、このクラスタまたはStorage VMのSSHログインでCisco Duoが有効になります。

手順

  1. Cisco Duo管理パネルにログインします。

  2. [アプリケーション]>[UNIXアプリケーション]*に移動します。

  3. 統合キー、シークレットキー、およびAPIホスト名を記録します。

  4. SSHを使用してONTAPアカウントにログインします。

  5. このStorage VMに対してCisco Duo認証を有効にし、環境からの情報を角かっこ内の値に置き換えます。

    security login duo create \
-vserver <STORAGE_VM_NAME> \
-integration-key <INTEGRATION_KEY> \
-secret-key <SECRET_KEY> \
-apihost <API_HOSTNAME>

    このコマンドの必須パラメータおよびオプションパラメータの詳細については、を参照してください"カンリシヤニンシヨウトRBACセツテイヨウノワアクシイト"

Cisco Duo設定の変更

Cisco Duoがユーザーを認証する方法を変更できます(たとえば、指定される認証プロンプトの数、使用されるHTTPプロキシなど)。Storage VM(ONTAP CLIではVserver)のCisco Duo設定を変更する必要がある場合は、コマンドを使用できます security login duo modify

手順

  1. Cisco Duo管理パネルにログインします。

  2. [アプリケーション]>[UNIXアプリケーション]*に移動します。

  3. 統合キー、シークレットキー、およびAPIホスト名を記録します。

  4. SSHを使用してONTAPアカウントにログインします。

  5. このStorage VMのCisco Duo設定を変更し、環境で更新された情報を角かっこ内の値に置き換えます。

    security login duo modify \
-vserver <STORAGE_VM_NAME> \
-integration-key <INTEGRATION_KEY> \
-secret-key <SECRET_KEY> \
-apihost <API_HOSTNAME> \
-pushinfo true|false \
-http-proxy <HTTP_PROXY_URL> \
-autopush true|false \
-prompts 1|2|3 \
-max-unenrolled-logins <NUM_LOGINS> \
-is-enabled true|false \
-fail-mode safe|secure

Cisco Duo設定の削除

Cisco Duo設定を削除すると、ログイン時にSSHユーザがDuoを使用して認証する必要がなくなります。Storage VM(ONTAP CLIではVserverと表示されます)のCisco Duo設定を削除するには、コマンドを使用し `security login duo delete`ます。

手順

  1. SSHを使用してONTAPアカウントにログインします。

  2. このStorage VMのCisco Duo設定を削除し、Storage VM名をに置き換えて `<STORAGE_VM_NAME>`ください:

    security login duo delete  -vserver <STORAGE_VM_NAME>

    これにより、このStorage VMのCisco Duo設定が完全に削除されます。

Cisco Duo設定の表示

Storage VM(ONTAP CLIではVserverと表示されます)の既存のCisco Duo設定を表示するには、コマンドを使用し `security login duo show`ます。

手順

  1. SSHを使用してONTAPアカウントにログインします。

  2. このStorage VMのCisco Duo設定を表示します。必要に応じて、パラメータを使用してStorage VMを指定できます vserver。Storage VM名はに置き換えてください。 <STORAGE_VM_NAME>

    security login duo show -vserver <STORAGE_VM_NAME>

    次のような出力が表示されます。

    Vserver: testcluster
Enabled: true

Status: ok
INTEGRATION-KEY: DI89811J9JWMJCCO7IOH
SKEY SHA Fingerprint:
b79ffa4b1c50b1c747fbacdb34g671d4814
API Host: api-host.duosecurity.com
Autopush: true
Push info: true
Failmode: safe
Http-proxy: 192.168.0.1:3128
Prompts: 1
Comments: -

Duoグループの作成

Cisco Duoでは、特定のActive Directory、LDAP、またはローカルユーザーグループのユーザーのみをDuo認証プロセスに含めるように設定できます。Duoグループを作成すると、そのグループ内のユーザーのみがDuo認証を求められます。Duoグループは、コマンドを使用して作成できます security login duo group create。グループを作成するときに、必要に応じて、そのグループ内の特定のユーザーをDuo認証プロセスから除外することができます。

手順

  1. SSHを使用してONTAPアカウントにログインします。

  2. Duoグループを作成し、環境の情報を括弧内の値に置き換えます。パラメータを省略する `-vserver`と、グループはクラスタレベルで作成されます。

    security login duo group create -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -exclude-users <USER1, USER2>

    Duoグループの名前は、Active Directory、LDAP、またはローカルグループと一致している必要があります。オプションのパラメータで指定したユーザは -exclude-users、Duo認証プロセスに含まれません。

Duoグループの表示

既存のCisco Duoグループエントリを表示するには、コマンドを使用し `security login duo group show`ます。

手順

  1. SSHを使用してONTAPアカウントにログインします。

  2. Duoグループのエントリを表示します。括弧内の値は、環境の情報に置き換えてください。パラメータを省略すると、 `-vserver`グループはクラスタレベルで表示されます。

    security login duo group show -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -exclude-users <USER1, USER2>

    Duoグループの名前は、Active Directory、LDAP、またはローカルグループと一致している必要があります。オプションのパラメータで指定したユーザ `-exclude-users`は表示されません。

Duoグループの削除

Duoグループエントリを削除するには、コマンドを使用し `security login duo group delete`ます。グループを削除すると、そのグループのユーザはDuo認証プロセスに含まれなくなります。

手順

  1. SSHを使用してONTAPアカウントにログインします。

  2. Duoグループエントリを削除し、環境内の情報を括弧内の値に置き換えます。パラメータを省略すると、 `-vserver`グループはクラスタレベルで削除されます。

    security login duo group delete -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME>

    Duoグループの名前は、Active Directory、LDAP、またはローカルグループと一致している必要があります。

ユーザーのDuo認証をバイパスする

すべてのユーザーまたは特定のユーザーをDuo SSH認証プロセスから除外できます。

すべてのDuoユーザーを除外

すべてのユーザに対してCisco Duo SSH認証を無効にすることができます。

手順

  1. SSHを使用してONTAPアカウントにログインします。

  2. SSHユーザのCisco Duo認証を無効にし、SVM名をに置き換え `<STORAGE_VM_NAME>`ます。

    security login duo -vserver <STORAGE_VM_NAME> -is-duo-enabled-false

Duoグループユーザーを除外

Duoグループの一部である特定のユーザーを、Duo SSH認証プロセスから除外できます。

手順

  1. SSHを使用してONTAPアカウントにログインします。

  2. グループ内の特定のユーザーに対してCisco Duo認証を無効にします。括弧内の値は、除外するグループ名とユーザのリストに置き換えてください。

    security login group modify -group-name <GROUP_NAME> -exclude-users <USER1, USER2>

    Duoグループの名前は、Active Directory、LDAP、またはローカルグループと一致している必要があります。パラメータで指定したユーザは -exclude-users、Duo認証プロセスに含まれません。

ローカルDuoユーザを除外

Cisco Duo管理パネルを使用すると、特定のローカルユーザーをDuo認証の使用から除外できます。手順については、を参照して "Cisco Duoマニュアル"ください。