Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

多要素認証を有効にします

共同作成者
PDF

多要素認証(MFA)を使用すると、管理SVMまたはデータSVMにログインする際にユーザに2つの認証方式の指定を要求することで、セキュリティを強化できます。

このタスクについて

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • ログインアカウントに割り当てるアクセス制御ロールが不明な場合は、を使用します security login modify コマンドを使用してあとでロールを追加します。

    "管理者に割り当てられているロールの変更"

  • 認証に公開鍵を使用している場合は、アカウントがSVMにアクセスする前にアカウントに公開鍵を関連付ける必要があります。

    "ユーザアカウントに公開鍵を関連付けます"

    このタスクは、アカウントアクセスを有効にする前後どちらでも実行できます。

  • ONTAP 9.12.1以降では、FIDO2(Fast Identity Online)またはPIV(Personal Identity Verification)認証標準を使用して、SSHクライアントMFAにYubikeyハードウェア認証デバイスを使用できます。

SSH公開鍵とユーザパスワードを使用してMFAを有効にします

ONTAP 9.3以降では、クラスタ管理者がSSH公開鍵とユーザパスワードを使用してMFAを使用してログインするためのローカルユーザアカウントを設定できます。

  1. ローカルユーザアカウントでSSH公開鍵とユーザパスワードを使用してMFAを有効にします。

    security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method <password|publickey> -role admin -second-authentication-method <password|publickey>

    次のコマンドを実行するには、SVM管理者アカウントが必要です admin2 を使用します admin SVMにログインするためのロールengData1 SSH公開鍵とユーザパスワードの両方を使用して、次の手順を実行します。

    cluster-1::> security login create -vserver engData1 -user-or-group-name admin2 -application ssh -authentication-method publickey -role admin -second-authentication-method password

Please enter a password for user 'admin2':
Please enter it again:
Warning: To use public-key authentication, you must create a public key for user "admin2".

TOTPでMFAを有効にする

ONTAP 9.13.1以降では、SSH公開鍵またはユーザパスワードと時間ベースのワンタイムパスワード(TOTP)の両方を使用してローカルユーザに管理SVMまたはデータSVMへのログインを要求することで、セキュリティを強化できます。TOTPを使用してMFAのアカウントを有効にしたあと、ローカルユーザはにログインする必要があります "設定を完了します"

TOTPは、現在の時刻を使用してワンタイムパスワードを生成するコンピュータアルゴリズムです。 TOTPを使用する場合は、常にSSH公開鍵またはユーザパスワードに続く2番目の認証形式になります。

作業を開始する前に

これらのタスクを実行するには、ストレージ管理者である必要があります。

手順

最初の認証方法としてユーザパスワードまたはSSH公開鍵を使用し、2番目の認証方法としてTOTPを使用してMFAを設定できます。

ユーザパスワードとTOTPでMFAを有効にします

  1. ユーザパスワードとTOTPを使用して、ユーザアカウントで多要素認証を有効にします。

    新規ユーザーアカウントの場合

    security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>

    既存のユーザーアカウントの場合

    security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>

  2. TOTPを使用したMFAが有効になっていることを確認します。

    security login show
SSH公開鍵とTOTPを使用してMFAを有効にします

  1. SSH公開鍵とTOTPを使用した多要素認証のユーザアカウントを有効にします。

    新規ユーザーアカウントの場合

    security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>

    既存のユーザーアカウントの場合

    security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>

  2. TOTPを使用したMFAが有効になっていることを確認します。

    security login show
完了後
関連情報

の詳細を確認してください "ONTAP 9での多要素認証(TR-4647)"