SSHとTOTPを使用してONTAP多要素認証を有効にする
変更を提案
PDF
多要素認証(MFA)では、管理SVMやデータSVMにログインする際にユーザに2つの認証方式を要求することで、セキュリティを強化できます。
-
このタスクを実行するには、クラスタ管理者である必要があります。
-
ログイン アカウントに割り当てるアクセス制御ロールが不明な場合は、
security login modifyコマンドを使用して後でロールを追加できます。`security login modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-modify.html["ONTAPコマンド リファレンス"^]を参照してください。
-
認証に公開鍵を使用している場合、アカウントがSVMにアクセスするためには、アカウントに公開鍵を関連付けておく必要があります。
このタスクは、アカウント アクセスを有効にする前後どちらでも実行できます。
-
ONTAP 9.12.1以降では、FIDO2(Fast Identity Online)またはPIV(Personal Identity Verification)認証標準を使用して、SSHクライアントMFAにYubikeyハードウェア認証デバイスを使用できます。
SSH公開鍵とユーザ パスワードを使用するMFAの有効化
ONTAP 9.3以降、クラスタ管理者は、SSH公開鍵とユーザ パスワードを使用してMFAでログインするようにローカル ユーザ アカウントを設定できます。
-
ローカル ユーザ アカウントに対して、SSH公開鍵とユーザパスワードを使用するMFAを有効化します。
security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method <password|publickey> -role admin -second-authentication-method <password|publickey>次のコマンドでは、事前定義された `admin`ロールを持つ SVM 管理者アカウント `admin2`が SSH 公開キーとユーザーパスワードの両方を使用して SVM
engData1にログインする必要があります:cluster-1::> security login create -vserver engData1 -user-or-group-name admin2 -application ssh -authentication-method publickey -role admin -second-authentication-method password Please enter a password for user 'admin2': Please enter it again: Warning: To use public-key authentication, you must create a public key for user "admin2".
`security login create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-create.html["ONTAPコマンド リファレンス"^]をご覧ください。
TOTPを使用するMFAの有効化
ONTAP 9.13.1以降では、ローカルユーザにSSH公開鍵またはユーザパスワードと時間ベースのワンタイムパスワード(TOTP)の両方を使用して管理SVMまたはデータSVMにログインすることを要求することで、セキュリティを強化できます。アカウントでTOTPを使用したMFAが有効になった後、ローカルユーザは"設定を完了する"にログインする必要があります。
TOTPは、現在の時刻を使用してワンタイム パスワードを生成するコンピュータ アルゴリズムです。TOTPは、必ずSSH公開鍵またはユーザ パスワードに続く第2の認証方式として使用します。
これらのタスクを実行するには、ストレージ管理者である必要があります。
第1の認証方式にユーザ パスワードまたはSSH公開鍵を使用し、第2の認証方式にTOTPを使用するようにMFAを設定できます。
-
ユーザ アカウントに対して、ユーザ パスワードとTOTPを使用する多要素認証を有効化します。
新規ユーザーアカウントの場合
security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>既存のユーザーアカウントの場合
security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment> -
TOTPを使用するMFAが有効になっていることを確認します。
security login show
-
SSH公開鍵とTOTPを使用する多要素認証を有効化します。
新規ユーザーアカウントの場合
security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>既存のユーザーアカウントの場合
security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>`security login modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-modify.html["ONTAPコマンド リファレンス"^]を参照してください。
-
TOTPを使用するMFAが有効になっていることを確認します。
security login show
`security login show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-show.html["ONTAPコマンド リファレンス"^]を参照してください。
-
管理者アカウントに公開鍵が関連付けられていない場合、アカウントがSVMにアクセスする前に関連付けておく必要があります。
-
ローカル ユーザがログインし、TOTPを使用するMFAの設定を完了する必要があります。