Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPでの動的認可のカスタマイズ

共同作成者 netapp-mwallis netapp-aaron-holt netapp-dbagwell netapp-ahibbard
PDF

管理者は、動的許可のさまざまな設定をカスタマイズして、自身がONTAPクラスタにリモートでSSH接続する際のセキュリティを高められます。

セキュリティのニーズに応じて、以下の動的許可設定をカスタマイズできます。

動的許可グローバル設定の構成

保護対象のStorage VM、認証チャレンジの抑制間隔、信頼スコア設定など、動的許可のグローバル設定を構成できます。

`security login domain-tunnel create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-dynamic-authorization-modify.html["ONTAPコマンド リファレンス"^]をご覧ください。
手順

  1. 動的認証のグローバル設定を構成します。 `-vserver`パラメータを使用しない場合、コマンドはクラスタ レベルで実行されます。括弧内の値<>を環境に合わせて更新してください:

    security dynamic-authorization modify \
-lower-challenge-boundary <percent> \
-upper-challenge-boundary <percent> \
-suppression-interval <interval> \
-vserver <storage_VM_name>

  2. 変更後の設定を確認します。

    security dynamic-authorization show

制限されたコマンドの設定

動的認証を有効にすると、この機能にはデフォルトで制限コマンドのセットが含まれます。このリストはニーズに合わせて変更できます。制限コマンドのデフォルトリストについては、"マルチ管理者検証(MAV)のドキュメント"を参照してください。

制限コマンドの追加

動的許可で制限するコマンドのリストにコマンドを追加できます。

`security dynamic-authorization rule create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-dynamic-authorization-rule-create.html["ONTAPコマンド リファレンス"^]をご覧ください。
手順

  1. コマンドを追加します。括弧内の値<>を環境に合わせて更新してください。 `-vserver`パラメータを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメータは必須です:

    security dynamic-authorization rule create \
-query <query> \
-operation <text> \
-index <integer> \
-vserver <storage_VM_name>

  2. 変更後の制限コマンド リストを確認します。

    security dynamic-authorization rule show

制限コマンドの削除

動的許可で制限するコマンドのリストからコマンドを削除できます。

`security dynamic-authorization rule delete`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-dynamic-authorization-rule-delete.html["ONTAPコマンド リファレンス"^]をご覧ください。
手順

  1. コマンドを削除します。括弧内の値<>を環境に合わせて更新します。 `-vserver`パラメータを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメータは必須です:

    security dynamic-authorization rule delete \
-operation <text> \
-vserver <storage_VM_name>

  2. 変更後の制限コマンド リストを確認します。

    security dynamic-authorization rule show

動的許可グループの設定

デフォルトでは、動的認証は有効にするとすぐにすべてのユーザーとグループに適用されます。ただし、 `security dynamic-authorization group create`コマンドを使用してグループを作成し、特定のユーザーにのみ動的認証を適用することもできます。

動的許可グループの追加

動的許可グループを追加できます。

`security dynamic-authorization group create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-dynamic-authorization-group-create.html["ONTAPコマンド リファレンス"^]をご覧ください。
手順

  1. グループを作成します。括弧内の値<>を環境に合わせて更新してください。 `-vserver`パラメータを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメータは必須です:

    security dynamic-authorization group create \
-name <group-name> \
-vserver <storage_VM_name> \
-excluded-usernames <user1,user2,user3...>

  2. 変更後の動的許可グループを確認します。

    security dynamic-authorization group show

動的許可グループの削除

動的許可グループを削除できます。

`security dynamic-authorization group delete`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-dynamic-authorization-group-delete.html["ONTAPコマンド リファレンス"^]をご覧ください。
手順

  1. グループを削除します。括弧内の値<>を環境に合わせて更新してください。 `-vserver`パラメータを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメータは必須です:

    security dynamic-authorization group delete \
-name <group-name> \
-vserver <storage_VM_name>

  2. 変更後の動的許可グループを確認します。

    security dynamic-authorization group show

動的許可の信頼スコア コンポーネントの構成

スコア重みの上限を設定することで、スコア基準の優先度を変更したり、リスク スコアから特定の基準を削除したりできます。

メモ ベストプラクティスとして、デフォルトのスコア重み値は残しておき、必要に応じて調整だけ行うことが推奨されます。 
`security dynamic-authorization trust-score-component modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-dynamic-authorization-trust-score-component-modify.html["ONTAPコマンド リファレンス"^]を参照してください。

以下に、変更可能なコンポーネントをデフォルトのスコア重みおよび重み(パーセント)とともに示します。

条件 コンポーネント名 デフォルトの未加工スコアの重み デフォルトのパーセンテージの重み

デバイスの信頼度

trusted-device

20

50

ユーザのログイン認証履歴

authentication-history

20

50
手順

  1. 信頼スコアの構成要素を変更します。括弧内の値<>を環境に合わせて更新してください。 `-vserver`パラメータを指定しない場合、コマンドはクラスタレベルで実行されます。太字のパラメータは必須です:

    security dynamic-authorization trust-score-component modify \
-component <component-name> \
-weight <integer> \
-vserver <storage_VM_name>

  2. 変更後の信頼スコア コンポーネント設定を確認します。

    security dynamic-authorization trust-score-component show

ユーザの信頼スコアのリセット

ユーザがシステム ポリシーによりアクセスを拒否されたものの、その身元を証明可能な場合、管理者はそのユーザの信頼スコアをリセットできます。

`security dynamic-authorization user-trust-score reset`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-dynamic-authorization-user-trust-score-reset.html["ONTAPコマンド リファレンス"^]をご覧ください。
手順

  1. コマンドを追加します。リセット可能な信頼スコア コンポーネントのリストについては、動的許可の信頼スコア コンポーネントの構成を参照してください。括弧<>内の値を環境に合わせて更新してください。 `-vserver`パラメータを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメータは必須です(:)

    security dynamic-authorization user-trust-score reset \
-username <username> \
-component <component-name> \
-vserver <storage_VM_name>

信頼スコアの閲覧

ユーザは、ログイン セッションにおける自分の信頼スコアを閲覧できます。

手順

  1. 信頼スコアを表示します。

    security login whoami

    次のような出力が表示されます。

    User: admin
Role: admin
Trust Score: 50
    `security login whoami`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-whoami.html["ONTAPコマンド リファレンス"^]をご覧ください。

カスタム信頼スコア プロバイダの設定

すでに外部の信頼スコア プロバイダからスコア設定方法を受信している場合、動的許可設定にカスタム プロバイダを追加できます。

開始する前に

  • カスタム信頼スコア プロバイダはJSON応答を返せなくてはなりません。次の構文要件を満たす必要があります。

    • 信頼スコアを返すフィールドは、配列要素ではなくスカラーである必要があります。

    • 信頼スコアを返すフィールドは、 `trust_score.value`などのネストされたフィールドにすることができます。

    • JSON応答に、信頼スコアの数値を返すフィールドが含まれている必要があります。ネイティブでこのフィールドが存在しない場合は、この値を返すラッパー スクリプトを作成できます。

  • 提供する値は信頼スコアとリスク スコアのいずれかを指定できます。信頼スコアとリスク スコアの違いは、前者は信頼度が高いほどスコアが高くなるのに対し、後者はその反対であることです。たとえば、スコア範囲が0~100で信頼スコアが90の場合、スコアの信頼度が非常に高いとみなされ、通常は追加チャレンジなしで「許可」されます。反対に、スコア範囲が0~100でリスク スコアが90の場合、リスクが高いとみなされ、通常は追加チャレンジなしで「拒否」されます。

  • カスタム信頼スコア プロバイダはONTAP REST API経由でアクセス可能である必要があります。

  • カスタム信頼スコア プロバイダは、いずれかのサポート対象パラメータで設定可能である必要があります。サポート対象パラメータ一覧にない設定が必要なカスタム信頼スコア プロバイダは使用できません。

    `security dynamic-authorization trust-score-component create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-dynamic-authorization-trust-score-component-create.html["ONTAPコマンド リファレンス"^]を参照してください。
手順

  1. カスタム信頼スコアプロバイダーを追加します。括弧内の値<>を環境に合わせて更新してください。 `-vserver`パラメータを使用しない場合、コマンドはクラスタレベルで実行されます。太字のパラメータは必須です:

    security dynamic-authorization trust-score-component create \
-component <text> \
-provider-uri <text> \
-score-field <text> \
-min-score <integer> \
-max-score <integer> \
-weight <integer> \
-secret-access-key "<key_text>" \
-provider-http-headers <list<header,header,header>> \
-vserver <storage_VM_name>

  2. 変更後の信頼スコア プロバイダ設定を確認します。

    security dynamic-authorization trust-score-component show

カスタム信頼スコア プロバイダ タグの設定

外部の信頼スコア プロバイダとの通信にタグを使用できます。こうすることで、機密情報を漏えいさせることなく、URLで信頼スコア プロバイダに情報を送信できます。

`security dynamic-authorization trust-score-component create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-dynamic-authorization-trust-score-component-create.html["ONTAPコマンド リファレンス"^]を参照してください。
手順

  1. トラスト スコア プロバイダ タグを有効にします。括弧内の値<>を環境に合わせて更新してください。 `-vserver`パラメータを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメータは必須です:

    security dynamic-authorization trust-score-component create \
-component <component_name> \
-weight <initial_score_weight> \
-max-score <max_score_for_provider> \
-provider-uri <provider_URI> \
-score-field <REST_API_score_field> \
-secret-access-key "<key_text>"

    例:

    security dynamic-authorization trust-score-component create -component comp1 -weight 20 -max-score 100 -provider-uri https://<url>/trust-scores/users/<user>/<ip>/component1.html?api-key=<access-key> -score-field score -access-key "MIIBBjCBrAIBArqyTHFvYdWiOpLkLKHGjUYUNSwfzX"