ONTAPアカウントのSSH公開鍵アクセスを有効にする
変更を提案
PDF
`security login create`コマンドを使用すると、管理者アカウントがSSH公開キーを使用して管理SVMまたはデータSVMにアクセスできるようになります。
-
アカウントがSVMにアクセスするためには、アカウントに公開鍵を関連付けておく必要があります。
このタスクは、アカウント アクセスを有効にする前後どちらでも実行できます。
-
ログイン アカウントに割り当てるアクセス制御ロールが不明な場合は、
security login modifyコマンドを使用して後でロールを追加できます。`security login modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-modify.html["ONTAPコマンド リファレンス"^]を参照してください。
クラスタでFIPSモードを有効にする場合は、サポートされているキー アルゴリズムが使用されていない既存のSSH公開鍵アカウントを、サポートされているキー タイプで再設定する必要があります。アカウントの再設定は、FIPを有効にする前に行う必要があります。そうしないと、管理者認証は失敗します。
次の表に、ONTAP SSH接続でサポートされるホスト キー タイプ アルゴリズムを示します。これらのキー タイプは、SSH公開認証の設定には適用されません。
ONTAPリリース |
FIPSモードでサポートされるキータイプ |
非FIPSモードでサポートされるキーの種類 |
9.11.1以降 |
ecdsa-sha2-nistp256 |
ecdsa-sha2-nistp256 + rsa-sha2-512 + rsa-sha2-256 + ssh-ed25519 + ssh-dss + ssh-rsa |
9.10.1以前 |
ecdsa-sha2-nistp256 + ssh-ed25519 |
ecdsa-sha2-nistp256 + ssh-ed25519 + ssh-dss + ssh-rsa |
|
ONTAP 9.11.1以降では、ssh-ed25519ホスト キー アルゴリズムのサポートが廃止されました。 |
詳細については、"FIPSを使用してネットワークセキュリティを設定する"を参照してください。
このタスクを実行するには、クラスタ管理者である必要があります。
-
ローカル管理者アカウントがSSH公開鍵を使用してSVMにアクセスできるようにします。
security login create -vserver SVM_name -user-or-group-name user_or_group_name -application application -authmethod authentication_method -role role -comment comment次のコマンドは、事前定義された `vsadmin-volume`ロールを持つSVM管理者アカウント `svmadmin1`が、SSH公開キーを使用してSVM
engData1にアクセスできるようにします:cluster1::>security login create -vserver engData1 -user-or-group-name svmadmin1 -application ssh -authmethod publickey -role vsadmin-volume
`security login create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-create.html["ONTAPコマンド リファレンス"^]をご覧ください。
管理者アカウントに公開鍵が関連付けられていない場合、アカウントがSVMにアクセスする前に関連付けておく必要があります。