Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

多要素認証を有効にする

共同作成者
PDF

多要素認証(MFA)を使用すると、管理SVMまたはデータSVMにログインする際にユーザに2つの認証方式の指定を要求することで、セキュリティを強化できます。

タスクの内容

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • ログインアカウントに割り当てるアクセス制御ロールが不明な場合は、あとでコマンドを使用してロールを追加できます security login modify

    "管理者に割り当てられているロールの変更"

  • 認証に公開鍵を使用している場合は、アカウントがSVMにアクセスする前にアカウントに公開鍵を関連付ける必要があります。

    "ユーザアカウントに公開鍵を関連付ける"

    このタスクは、アカウントアクセスを有効にする前後どちらでも実行できます。

  • ONTAP 9.12.1以降では、FIDO2(Fast Identity Online)またはPIV(Personal Identity Verification)認証標準を使用して、SSHクライアントMFAにYubikeyハードウェア認証デバイスを使用できます。

SSH公開鍵とユーザパスワードを使用してMFAを有効にする

3以降では、クラスタ管理者がONTAP 9公開鍵とユーザパスワードを使用して、MFAを使用してログインするためのローカルユーザアカウントを設定できます。

  1. ローカルユーザアカウントでSSH公開鍵とユーザパスワードを使用してMFAを有効にします。

    security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method <password|publickey> -role admin -second-authentication-method <password|publickey>

    次のコマンドでは、事前定義された `admin`ロールのSVM管理者アカウントで、SSH公開鍵とユーザパスワードの両方を使用してSVMにログインするengData1必要があり `admin2`ます。

    cluster-1::> security login create -vserver engData1 -user-or-group-name admin2 -application ssh -authentication-method publickey -role admin -second-authentication-method password

Please enter a password for user 'admin2':
Please enter it again:
Warning: To use public-key authentication, you must create a public key for user "admin2".

TOTPでMFAを有効にする

SSH.13.1以降では、ONTAP 9公開鍵またはユーザパスワードと時間ベースのワンタイムパスワード(TOTP)の両方を使用してローカルユーザに管理SVMまたはデータSVMへのログインを要求することで、セキュリティを強化できます。TOTPを使用してMFAのアカウントを有効にしたあと、ローカルユーザはにログインする必要があります"設定を完了します"

TOTPは、現在の時刻を使用してワンタイムパスワードを生成するコンピュータアルゴリズムです。TOTPを使用する場合は、常にSSH公開鍵またはユーザパスワードに続く2番目の認証形式になります。

開始する前に

これらのタスクを実行するには、ストレージ管理者である必要があります。

手順

最初の認証方法としてユーザパスワードまたはSSH公開鍵を使用し、2番目の認証方法としてTOTPを使用してMFAを設定できます。

ユーザパスワードとTOTPでMFAを有効にする

  1. ユーザパスワードとTOTPを使用して、ユーザアカウントで多要素認証を有効にします。

    新規ユーザーアカウントの場合

    security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>

    既存のユーザーアカウントの場合

    security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>

  2. TOTPを使用したMFAが有効になっていることを確認します。

    security login show
SSH公開鍵とTOTPを使用してMFAを有効にする

  1. SSH公開鍵とTOTPを使用した多要素認証のユーザアカウントを有効にします。

    新規ユーザーアカウントの場合

    security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>

    既存のユーザーアカウントの場合

    security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>

  2. TOTPを使用したMFAが有効になっていることを確認します。

    security login show
終了後
関連情報

詳細については、をご覧ください "ONTAP 9での多要素認証(TR-4647)"