ONTAP管理者のSSH公開鍵とX.509証明書を管理する
変更を提案
PDF
管理者アカウントによる SSH 認証セキュリティを強化するために、 `security login publickey`コマンド セットを使用して SSH 公開キーと X.509 証明書との関連付けを管理できます。
公開鍵とX.509証明書の管理者アカウントへの関連付け
ONTAP 9.13.1以降では、管理者アカウントに関連付ける公開鍵にX.509証明書を関連付けることができます。これにより、アカウントのSSHログイン時に証明書の期限切れや失効がチェックされ、セキュリティが強化されます。
SSH公開鍵とX.509証明書の両方を使用してSSH経由でアカウントを認証する場合、ONTAPは、SSH公開鍵を使用した認証の前にX.509証明書の有効性をチェックします。証明書の有効期限が切れている、または証明書が失効している場合、SSHログインは拒否され、公開鍵は自動的に無効になります。
-
このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。
-
SSHキーを生成しておく必要があります。
-
X.509証明書の期限切れのみをチェックする必要がある場合は、自己署名証明書を使用できます。
-
X.509証明書の期限切れと失効をチェックする必要がある場合は、次の手順を実行します。
-
認証局(CA)から証明書を受け取っておく必要があります。
-
証明書チェーン(中間CA証明書とルートCA証明書)は `security certificate install`コマンドを使用してインストールする必要があります。"ONTAPコマンド リファレンス"の `security certificate install`の詳細をご覧ください。
-
SSH で OCSP を有効にする必要があります。手順については"デジタル証明書が有効であることの確認(OCSPを使用)"を参照してください。
-
-
公開鍵とX.509証明書を管理者アカウントに関連付けます。
security login publickey create -vserver SVM_name -username user_name -index index -publickey certificate -x509-certificate install`security login publickey create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-publickey-create.html["ONTAPコマンド リファレンス"^]をご覧ください。
-
公開鍵を表示して変更内容を確認します。
security login publickey show -vserver SVM_name -username user_name -index index`security login publickey show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-publickey-show.html["ONTAPコマンド リファレンス"^]をご覧ください。
次のコマンドは、SVM `engData2`の SVM 管理者アカウント `svmadmin2`に公開鍵と X.509 証明書を関連付けます。公開鍵にはインデックス番号 6 が割り当てられます。
cluster1::> security login publickey create -vserver engData2 -username svmadmin2 -index 6 -publickey "<key text>" -x509-certificate install Please enter Certificate: Press <Enter> when done <certificate text>
管理者アカウントのSSH公開鍵から、証明書の関連付けを削除します。
公開鍵は保持したまま、アカウントのSSH公開鍵から現在の証明書との関連付けを削除できます。
このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。
-
管理者アカウントからX.509証明書の関連付けを削除し、既存のSSH公開鍵を保持します。
security login publickey modify -vserver SVM_name -username user_name -index index -x509-certificate delete`security login publickey modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-publickey-modify.html["ONTAPコマンド リファレンス"^]をご覧ください。
-
公開鍵を表示して変更内容を確認します。
security login publickey show -vserver SVM_name -username user_name -index index
次のコマンドは、インデックス番号 6 の SVM engData2 の SVM 管理者アカウント `svmadmin2`から X.509 証明書の関連付けを削除します。
cluster1::> security login publickey modify -vserver engData2 -username svmadmin2 -index 6 -x509-certificate delete
管理者アカウントからの公開鍵と証明書の関連付けの削除
アカウントから、現在の公開鍵と証明書の設定を削除できます。
このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。
-
管理者アカウントから、公開鍵とX.509証明書の関連付けを削除します。
security login publickey delete -vserver SVM_name -username user_name -index index`security login publickey delete`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-publickey-delete.html["ONTAPコマンド リファレンス"^]をご覧ください。
-
公開鍵を表示して変更内容を確認します。
security login publickey show -vserver SVM_name -username user_name -index index
次のコマンドは、インデックス番号 7 の SVM engData3 の SVM 管理者アカウント `svmadmin3`から公開キーと X.509 証明書を削除します。
cluster1::> security login publickey delete -vserver engData3 -username svmadmin3 -index 7