Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

動的許可の有効化または無効化

共同作成者
PDF

ONTAP 9.15.1以降では、管理者は動的許可を次のいずれかで設定および有効化できます。 visibility 設定をテストするモード、または enforced SSH経由で接続するCLIユーザの設定をアクティブにするモード。動的認可が不要になった場合は、ディセーブルにすることができます。ダイナミック許可をディセーブルにしても、コンフィギュレーション設定は使用可能なままであり、後で再度イネーブルにする場合に使用できます。

のパラメータの詳細については、を参照してください。 security dynamic-authorization modify コマンドについては、ONTAPのマニュアルページを参照してください。

テストの動的許可を有効にする

表示モードで動的許可を有効にすると、機能をテストして、ユーザが誤ってロックアウトされないようにすることができます。このモードでは、信頼スコアはすべての制限されたアクティビティでチェックされますが、強制はされません。ただし、拒否された、または追加の認証チャレンジの対象となるアクティビティはすべてログに記録されます。ベストプラクティスとして、強制する前に、このモードで目的の設定をテストすることを推奨します。

メモ この手順を実行すると、他のダイナミック認可設定をまだ設定していない場合でも、初めてダイナミック認可をイネーブルにできます。を参照してください "動的許可のカスタマイズ" その他の動的認証設定を構成して環境に合わせてカスタマイズする手順については、を参照してください。
手順

  1. グローバル設定を設定し、機能の状態をに変更することで、可視モードでの動的許可を有効にします。 visibility。使用しない場合は、 -vserver パラメータを指定すると、コマンドはクラスタレベルで実行されます。括弧<>の値を環境に合わせて更新します。太字のパラメータは必須です。

    security dynamic-authorization modify \
-state visibility \
-lower-challenge-boundary <percent> \
-upper-challenge-boundary <percent> \
-suppression-interval <interval> \
-vserver <storage_VM_name>

  2. を使用して結果を確認します。 show グローバル設定を表示するコマンドは次のとおりです。

    security dynamic-authorization show

強制モードでの動的許可の有効化

強制モードでダイナミック許可をイネーブルにできます。通常、このモードは、可視化モードでのテストを完了した後に使用します。このモードでは、すべての制限されたアクティビティで信頼スコアがチェックされ、制限条件が満たされるとアクティビティ制限が適用されます。抑制間隔も適用されるため、指定された間隔内での追加の認証チャレンジを防ぐことができます。

メモ この手順では、でダイナミック認可を設定し、イネーブルにしていることを前提としています。 visibility モード。これを強く推奨します。
手順

  1. で動的許可を有効にする enforced モード(状態をに変更) enforced。使用しない場合は、 -vserver パラメータを指定すると、コマンドはクラスタレベルで実行されます。括弧<>の値を環境に合わせて更新します。太字のパラメータは必須です。

    security dynamic-authorization modify \
-state enforced \
-vserver <storage_VM_name>

  2. を使用して結果を確認します。 show グローバル設定を表示するコマンドは次のとおりです。

    security dynamic-authorization show

動的許可の無効化

追加された認証セキュリティが不要になった場合は、動的許可をディセーブルにできます。

手順

  1. 動的許可を無効にするには、状態をに変更します。 disabled。使用しない場合は、 -vserver パラメータを指定すると、コマンドはクラスタレベルで実行されます。括弧<>の値を環境に合わせて更新します。太字のパラメータは必須です。

    security dynamic-authorization modify \
-state disabled \
-vserver <storage_VM_name>

  2. を使用して結果を確認します。 show グローバル設定を表示するコマンドは次のとおりです。

    security dynamic-authorization show

次のステップ

(オプション)環境に応じて、を参照してください。 "動的許可のカスタマイズ" 他の動的認可設定を構成します。