Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPでの動的認可の有効化または無効化

共同作成者 netapp-mwallis netapp-aaron-holt netapp-dbagwell netapp-ahibbard
PDF

ONTAP 9.15.1以降、管理者は動的認証の設定と有効化を、 `visibility`設定をテストするモード、または `enforced`SSH経由で接続するCLIユーザ向けに設定をアクティブ化するモードのいずれかで実行できます。動的認証が不要になった場合は、無効にすることができます。動的認証を無効にしても設定はそのまま残り、後で再度有効にする場合に使用できます。

`security dynamic-authorization modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-dynamic-authorization-modify.html["ONTAPコマンド リファレンス"^]を参照してください。

テスト目的での動的許可の有効化

visibilityモードで動的許可を有効化すると、ユーザを誤ってロック アウトする事態を防ぎつつ、機能のテストを行えます。このモードでは、すべての制限対象操作で信頼スコアがチェックされますが、適用はされません。ただし、動的許可の有効時に拒否または追加認証チャレンジの対象となるすべての操作が記録されます。ベストプラクティスとして、目的の設定を適用する前に、このモードでテストすることが推奨されます。

メモ 他の動的認証設定をまだ設定していない場合でも、この手順で初めて動的認証を有効化できます。環境に合わせてカスタマイズするためのその他の動的認証設定を設定する手順については、"動的許可のカスタマイズ"を参照してください。
手順

  1. グローバル設定を構成し、機能の状態を `visibility`に変更することで、可視性モードで動的認証を有効にします。 `-vserver`パラメータを使用しない場合、コマンドはクラスタ レベルで実行されます。括弧内の値<>を環境に合わせて更新してください。太字のパラメータは必須です:

    security dynamic-authorization modify \
-state visibility \
-lower-challenge-boundary <percent> \
-upper-challenge-boundary <percent> \
-suppression-interval <interval> \
-vserver <storage_VM_name>

  2. `show`コマンドを使用してグローバル構成を表示し、結果を確認します:

    security dynamic-authorization show

enforcedモードでの動的許可の有効化

enforcedモードで動的許可を有効化できます。通常、このモードはvisibilityモードでのテスト実施後に使用します。このモードでは、すべての制限対象操作で信頼スコアがチェックされ、制限条件に該当する場合に操作制限が適用されます。抑制間隔も適用されるため、指定した間隔中は追加の認証チャレンジが行われません。

メモ この手順では、以前に `visibility`モードで動的許可を設定して有効にしていることを前提としています。これを強くお勧めします。
手順

  1. `enforced`モードで動的認証を有効にするには、状態を `enforced`に変更します。 `-vserver`パラメータを使用しない場合、コマンドはクラスタ レベルで実行されます。括弧内の値<>を環境に合わせて更新してください。太字のパラメータは必須です:

    security dynamic-authorization modify \
-state enforced \
-vserver <storage_VM_name>

  2. `show`コマンドを使用してグローバル構成を表示し、結果を確認します:

    security dynamic-authorization show

動的許可の無効化

追加した認証セキュリティが不要になった場合、動的許可を無効化できます。

手順

  1. 動的認証を無効化するには、状態を `disabled`に変更してください。 `-vserver`パラメータを使用しない場合、コマンドはクラスタ レベルで実行されます。括弧内の値<>は環境に合わせて更新してください。太字のパラメータは必須です:

    security dynamic-authorization modify \
-state disabled \
-vserver <storage_VM_name>

  2. `show`コマンドを使用してグローバル構成を表示し、結果を確認します:

    security dynamic-authorization show
    `security dynamic-authorization show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-dynamic-authorization-show.html["ONTAPコマンド リファレンス"^]を参照してください。

次の手順

(オプション)環境に応じて、"動的許可のカスタマイズ"を参照して他の動的認証設定を構成してください。