ONTAPでの動的許可の有効化または無効化
ONTAP 9 .15.1以降では、管理者は、コンフィギュレーションをテストするモードでダイナミック認可を設定し、イネーブルにすることができます。また、コンフィギュレーションを enforced`アクティブにするモードでは、SSH経由で接続するCLIユーザのコンフィギュレーションをアクティブにすることもできます `visibility
。動的認可が不要になった場合は、ディセーブルにすることができます。ダイナミック許可をディセーブルにしても、コンフィギュレーション設定は使用可能なままであり、後で再度イネーブルにする場合に使用できます。
リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -CLI/ security-dynamic-authorization-modify.html[security dynamic-authorization modify
^]コマンドを参照してください。
テストの動的許可を有効にする
表示モードで動的許可を有効にすると、機能をテストして、ユーザが誤ってロックアウトされないようにすることができます。このモードでは、信頼スコアはすべての制限されたアクティビティでチェックされますが、強制はされません。ただし、拒否された、または追加の認証チャレンジの対象となるアクティビティはすべてログに記録されます。ベストプラクティスとして、強制する前に、このモードで目的の設定をテストすることを推奨します。
この手順を実行すると、他のダイナミック認可設定をまだ設定していない場合でも、初めてダイナミック認可をイネーブルにできます。"動的許可のカスタマイズ"その他の動的認証設定を環境に合わせてカスタマイズする手順については、を参照してください。 |
-
グローバル設定を設定し、機能の状態をに変更することにより、可視モードでダイナミック許可をイネーブルにし `visibility`ます。パラメータを使用しない場合、 `-vserver`コマンドはクラスタレベルで実行されます。括弧<>の値を環境に合わせて更新します。太字のパラメータは必須です。
security dynamic-authorization modify \ -state visibility \ -lower-challenge-boundary <percent> \ -upper-challenge-boundary <percent> \ -suppression-interval <interval> \ -vserver <storage_VM_name>
-
コマンドを使用してグローバル設定を表示し、結果を確認し `show`ます。
security dynamic-authorization show
強制モードでの動的許可の有効化
強制モードでダイナミック許可をイネーブルにできます。通常、このモードは、可視化モードでのテストを完了した後に使用します。このモードでは、すべての制限されたアクティビティで信頼スコアがチェックされ、制限条件が満たされるとアクティビティ制限が適用されます。抑制間隔も適用されるため、指定された間隔内での追加の認証チャレンジを防ぐことができます。
この手順は、事前にモードでダイナミック許可を設定してイネーブルにしていることを前提としてい `visibility`ます。これを強く推奨します。 |
-
ステートをに変更して、モード `enforced`でダイナミック認可をイネーブルにし `enforced`ます。パラメータを使用しない場合、 `-vserver`コマンドはクラスタレベルで実行されます。括弧<>の値を環境に合わせて更新します。太字のパラメータは必須です。
security dynamic-authorization modify \ -state enforced \ -vserver <storage_VM_name>
-
コマンドを使用してグローバル設定を表示し、結果を確認し `show`ます。
security dynamic-authorization show
動的許可の無効化
追加した認証セキュリティが不要になった場合、動的許可を無効化できます。
-
動的認可をディセーブルにするには、そのステートをに変更し `disabled`ます。パラメータを使用しない場合、 `-vserver`コマンドはクラスタレベルで実行されます。括弧<>の値を環境に合わせて更新します。太字のパラメータは必須です。
security dynamic-authorization modify \ -state disabled \ -vserver <storage_VM_name>
-
コマンドを使用してグローバル設定を表示し、結果を確認し `show`ます。
security dynamic-authorization show
次のステップ
(任意)使用する環境に応じて、"動的許可のカスタマイズ"その他のダイナミック認可設定を構成するには、を参照してください。