LDAPまたはNIS ONTAPアカウントアクセスを有効にする
変更を提案
PDF
`security login create`コマンドを使用すると、LDAPまたはNISユーザアカウントが管理SVMまたはデータSVMにアクセスできるようになります。SVMへのLDAPまたはNISサーバアクセスを設定していない場合は、アカウントがSVMにアクセスできるようにする前に設定する必要があります。
-
グループ アカウントはサポートされていません。
-
アカウントがSVMにアクセスするためには、LDAPサーバまたはNISサーバからSVMへのアクセスを設定しておく必要があります。
このタスクは、アカウント アクセスを有効にする前後どちらでも実行できます。
-
ログイン アカウントに割り当てるアクセス制御ロールが不明な場合は、
security login modifyコマンドを使用して後でロールを追加できます。`security login modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-modify.html["ONTAPコマンド リファレンス"^]を参照してください。
-
ONTAP 9.4以降では、LDAPサーバまたはNISサーバを経由するリモート ユーザに対して多要素認証(MFA)がサポートされます。
-
ONTAP 9.11.1以降では、LDAPサーバでサポートされている場合は"ONTAP NFS SVMのnsswitch認証にLDAP高速バインドを使用する"を使用できます。
-
既知のLDAPの問題のため、LDAPユーザーアカウント情報のどのフィールドでも
':'(コロン)文字を使用しないでください(例:gecos、 `userPassword`など)。そうしないと、そのユーザーの検索操作が失敗します。
このタスクを実行するには、クラスタ管理者である必要があります。
-
LDAPまたはNISのユーザ アカウントまたはグループ アカウントがSVMにアクセスできるようにします。
security login create -vserver SVM_name -user-or-group-name user_name -application application -authmethod nsswitch -role role -comment comment -is-ns-switch-group yes|no [-is-ldap-fastbind true]次のコマンドは、事前定義された `backup`ロールを持つLDAPまたはNISクラスタ管理者アカウント `guest2`が管理SVM
engClusterにアクセスできるようにします。cluster1::>security login create -vserver engCluster -user-or-group-name guest2 -application ssh -authmethod nsswitch -role backup
`security login create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-create.html["ONTAPコマンド リファレンス"^]をご覧ください。
-
LDAPユーザまたはNISユーザに対してMFAログインを有効にします。
security login modify -user-or-group-name rem_usr1 -application ssh -authentication-method nsswitch -role admin -is-ns-switch-group no -second-authentication-method publickey認証方法は `publickey`として指定でき、2 番目の認証方法は `nsswitch`として指定できます。
次の例ではMFA認証を有効にしています。
cluster-1::*> security login modify -user-or-group-name rem_usr2 -application ssh -authentication-method nsswitch -vserver cluster-1 -second-authentication-method publickey"
LDAPサーバまたはNISサーバからSVMへのアクセスを設定していない場合は、アカウントがSVMにアクセスする前に設定しておく必要があります。