Active Directoryアカウントアクセスの有効化
変更を提案
PDF
コマンドを使用して、Active Directory(AD)のユーザアカウントまたはグループアカウントが管理SVMまたはデータSVMにアクセスできるようにすることができます security login create。ADグループのすべてのユーザは、グループに割り当てられたロールを使用してSVMにアクセスできます。
-
アカウントがSVMにアクセスするためには、ADドメインコントローラからクラスタまたはSVMへのアクセスを設定しておく必要があります。
このタスクは、アカウントアクセスを有効にする前後どちらでも実行できます。
-
SSH.13.1以降では、ユーザパスワードを使用して、プライマリまたはセカンダリの認証方式としてONTAP 9公開鍵を使用できます。
SSH公開鍵をプライマリ認証として使用することを選択した場合、AD認証は行われません。
-
ONTAP 9 .11.1以降では、AD LDAPサーバでサポートされている場合にを使用できます"nsswitch認証のためのLDAP高速バインド"。
-
ログインアカウントに割り当てるアクセス制御ロールが不明な場合は、あとでコマンドを使用してロールを追加できます
security login modify。
|
ADグループアカウントへのアクセスは、、 `ontapi`および `rest`アプリケーションでのみサポートされ `SSH`ます。ADグループは、多要素認証に一般的に使用されるSSH公開鍵認証ではサポートされません。 |
-
クラスタ時間とADドメインコントローラの時間の誤差が5分以内になるように同期する必要があります。
-
このタスクを実行するには、クラスタ管理者である必要があります。
-
ADユーザまたはグループの管理者アカウントがSVMにアクセスできるようにします。
-
ADユーザの場合:*
ONTAPバージョン 第1の認証方式 第2の認証方式 コマンド 9.13.1以降
公開鍵
なし
security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method publickey -role <role>
9.13.1以降
ドメイン
公開鍵
新規ユーザーの場合
security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method domain -second-authentication-method publickey -role <role>
既存のユーザーの場合
security login modify -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method domain -second-authentication-method publickey -role <role>
9.0以降
ドメイン
なし
security login create -vserver <svm_name> -user-or-group-name <user_name> -application <application> -authentication-method domain -role <role> -comment <comment> [-is-ldap-fastbind true]
-
ADグループの場合:*
ONTAPのバージョン 第1の認証方式 第2の認証方式 コマンド 9.0以降
ドメイン
なし
security login create -vserver <svm_name> -user-or-group-name <user_name> -application <application> -authentication-method domain -role <role> -comment <comment> [-is-ldap-fastbind true]
+ コマンド構文全体については、を参照してください。"管理者認証およびRBAC設定用のワークシート"
-
ADドメインコントローラからクラスタまたはSVMへのアクセスを設定していない場合は、アカウントがSVMにアクセスする前に設定しておく必要があります。