Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP SSH ログイン用に Cisco Duo 2FA を設定する

共同作成者 netapp-mwallis netapp-aaron-holt netapp-dbagwell netapp-bhouser
PDF

ONTAP 9.14.1以降では、SSHログイン時の2要素認証(2FA)にCisco Duoを使用するようにONTAPを設定できます。Duoはクラスタ レベルで設定し、設定はデフォルトですべてのユーザ アカウントに適用されます。代わりに、DuoをStorage VM(旧称Vserver)レベルで設定することもできます。その場合は、そのStorage VMのユーザのみに適用されます。Duoを有効にして設定すると、すべてのユーザの既存の方式を補完する追加の認証方式として機能します。

SSHログインにDuo認証を有効にすると、ユーザーは次回SSHログイン時にデバイスを登録する必要があります。登録方法については、Cisco Duo "登録ドキュメント"をご覧ください。

ONTAPのコマンドライン インターフェイスで実行できるCisco Duo関連のタスクは次のとおりです。

Cisco Duoの設定

`security login duo create`コマンドを使用して、クラスタ全体または特定のストレージVM(ONTAP CLIではvserverと呼ばれます)に対してCisco Duo設定を作成できます。これを行うと、このクラスタまたはストレージVMへのSSHログインでCisco Duoが有効になります。link:https://docs.netapp.com/us-en/ontap-cli/security-login-duo-create.html["ONTAPコマンド リファレンス"^]の `security login duo create`の詳細をご覧ください。
手順

  1. Cisco Duo管理パネルにログインします。

  2. Applications > UNIX Application に移動します。

  3. 統合キー、シークレット キー、APIホスト名を記録します。

  4. SSHを使用して、ONTAPアカウントにログインします。

  5. このStorage VMのCisco Duo認証を有効にします。山括弧内の値は、使用する環境の情報に置き換えてください。

    security login duo create \
-vserver <STORAGE_VM_NAME> \
-integration-key <INTEGRATION_KEY> \
-secret-key <SECRET_KEY> \
-apihost <API_HOSTNAME>

Cisco Duoの設定の変更

Cisco Duo によるユーザー認証方法(例えば、認証プロンプトの表示回数や使用する HTTP プロキシなど)を変更できます。ストレージ VM(ONTAP CLI では vserver と呼ばれます)の Cisco Duo 設定を変更する必要がある場合は、 `security login duo modify`コマンドを使用できます。"ONTAPコマンド リファレンス"の `security login duo modify`の詳細をご覧ください。

手順

  1. Cisco Duo管理パネルにログインします。

  2. Applications > UNIX Application に移動します。

  3. 統合キー、シークレット キー、APIホスト名を記録します。

  4. SSHを使用して、ONTAPアカウントにログインします。

  5. このStorage VMのCisco Duo設定を変更します。山括弧内の値は、使用する環境の新しい情報に置き換えてください。

    security login duo modify \
-vserver <STORAGE_VM_NAME> \
-integration-key <INTEGRATION_KEY> \
-secret-key <SECRET_KEY> \
-apihost <API_HOSTNAME> \
-pushinfo true|false \
-http-proxy <HTTP_PROXY_URL> \
-autopush true|false \
-max-prompts 1|2|3 \
-is-enabled true|false \
-fail-mode safe|secure

Cisco Duoの設定の削除

Cisco Duoの設定を削除すると、SSHユーザがログイン時にDuoを使用して認証する必要がなくなります。ストレージVM(ONTAP CLIではvserverと呼ばれます)のCisco Duo設定を削除するには、 `security login duo delete`コマンドを使用します。 `security login duo delete`の詳細については、"ONTAPコマンド リファレンス"を参照してください。

手順

  1. SSHを使用して、ONTAPアカウントにログインします。

  2. このストレージ VM の Cisco Duo 構成を削除し、次の部分をストレージ VM 名に置き換えます。 <STORAGE_VM_NAME>

    security login duo delete  -vserver <STORAGE_VM_NAME>

    これにより、このStorage VMのCisco Duo設定が完全に削除されます。

Cisco Duoの設定の表示

ストレージVM(ONTAP CLIでは vserver と呼ばれます)の既存のCisco Duo構成は、 `security login duo show`コマンドを使用して表示できます。"ONTAPコマンド リファレンス"の `security login duo show`の詳細をご覧ください。

手順

  1. SSHを使用して、ONTAPアカウントにログインします。

  2. このストレージVMのCisco Duo設定を表示します。オプションで、 `vserver`パラメータを使用してストレージVMを指定することもできます。その場合は、 `<STORAGE_VM_NAME>`をストレージVM名に置き換えます。

    security login duo show -vserver <STORAGE_VM_NAME>

    次のような出力が表示されます。

    Vserver: testcluster
Enabled: true

Status: ok
INTEGRATION-KEY: DI89811J9JWMJCCO7IOH
SKEY SHA Fingerprint:
b79ffa4b1c50b1c747fbacdb34g671d4814
API Host: api-host.duosecurity.com
Autopush: true
Push info: true
Failmode: safe
Http-proxy: 192.168.0.1:3128
Prompts: 1
Comments: -

Duoグループの作成

Cisco Duo では、特定の Active Directory、LDAP、またはローカル ユーザ グループのユーザのみを Duo 認証プロセスに含めるように設定できます。Duo グループを作成すると、そのグループに属するユーザのみが Duo 認証を求められます。Duo グループは `security login duo group create`コマンドを使用して作成できます。グループを作成する際に、オプションでそのグループ内の特定のユーザを Duo 認証プロセスから除外することもできます。"ONTAPコマンド リファレンス"の `security login duo group create`の詳細をご覧ください。

手順

  1. SSHを使用して、ONTAPアカウントにログインします。

  2. Duoグループを作成します。括弧内の値は、環境の情報を置き換えてください。 `-vserver`パラメータを省略すると、グループはクラスタ レベルで作成されます。

    security login duo group create -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -excluded-users <USER1, USER2>

    Duo グループの名前は、Active Directory、LDAP、またはローカル グループと一致する必要があります。オプションの `-excluded-users`パラメータで指定したユーザは、Duo 認証プロセスに含まれません。

Duoグループの表示

既存の Cisco Duo グループ エントリは `security login duo group show`コマンドを使用して表示できます。 `security login duo group show`の詳細については、"ONTAPコマンド リファレンス"を参照してください。

手順

  1. SSHを使用して、ONTAPアカウントにログインします。

  2. Duo グループのエントリを表示します。括弧内の値は、環境から取得した情報に置き換えてください。 `-vserver`パラメータを省略すると、グループはクラスタ レベルで表示されます。

    security login duo group show -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -excluded-users <USER1, USER2>

    Duo グループの名前は、Active Directory、LDAP、またはローカル グループと一致する必要があります。オプションの `-excluded-users`パラメータで指定したユーザは表示されません。

Duoグループの削除

`security login duo group delete`コマンドを使用して、Duo グループのエントリを削除できます。グループを削除すると、そのグループに所属するユーザーは Duo 認証プロセスに含まれなくなります。link:https://docs.netapp.com/us-en/ontap-cli/security-login-duo-group-delete.html["ONTAPコマンド リファレンス"^]の `security login duo group delete`の詳細をご覧ください。
手順

  1. SSHを使用して、ONTAPアカウントにログインします。

  2. Duoグループのエントリを削除します。括弧内の値は、環境から取得した情報に置き換えてください。 `-vserver`パラメータを省略すると、グループはクラスタレベルで削除されます:

    security login duo group delete -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME>

    Duoグループの名前は、Active Directory / LDAP / ローカル グループと一致している必要があります。

ユーザのDuo認証のバイパス

すべてのユーザか特定のユーザを、Duo SSH認証プロセスから除外できます。

すべてのDuoユーザの除外

すべてのユーザについて、Cisco Duo SSH認証を無効にできます。

手順

  1. SSHを使用して、ONTAPアカウントにログインします。

  2. SSH ユーザの Cisco Duo 認証を無効にし、Vserver 名を `<STORAGE_VM_NAME>`に置き換えます:

    security login duo modify -vserver <STORAGE_VM_NAME> -is-enabled false

Duoグループ ユーザの除外

Duoグループに含まれる特定のユーザを、Duo SSH認証プロセスから除外できます。

手順

  1. SSHを使用して、ONTAPアカウントにログインします。

  2. グループ内の特定のユーザのCisco Duo認証を無効にします。山括弧内の値は、それぞれ除外するグループ名やユーザ リストに置き換えてください。

    security login duo group modify -group-name <GROUP_NAME> -excluded-users <USER1, USER2>

    Duo グループの名前は、Active Directory、LDAP、またはローカル グループと一致する必要があります。 `-excluded-users`パラメータで指定したユーザは、Duo 認証プロセスに含まれません。

    `security login duo group modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-duo-group-modify.html["ONTAPコマンド リファレンス"^]をご覧ください。

ローカルDuoユーザの除外

Cisco Duo 管理パネルを使用して、特定のローカル ユーザを Duo 認証から除外できます。手順については、 "Cisco Duo ドキュメント"を参照してください。