ONTAP管理者認証とRBACワークフロー
変更を提案
PDF
ローカルまたはリモートの管理者アカウントに対して認証を有効にすることができます。ローカル アカウントのアカウント情報はストレージ システムに、リモート アカウントのアカウント情報はストレージ システム以外の場所に格納されます。それぞれのアカウントに事前定義またはカスタムのロールを割り当てることができます。
構成ワークシートに記入するログイン アカウントを作成し、ロールベースアクセス制御(RBAC)を設定する前に、"設定ワークシート"内の各項目に関する情報を収集する必要があります。
管理者アカウントがローカルかリモートかを判断する-
ローカルの場合: "password"、"SSH"、"SSH MFA"、または"SSL"アクセスを有効にします。
-
リモートの場合: リモートアクセスの種類を決定します。アクセスの種類に応じて、"Active Directory アクセスを有効にする"、"LDAPまたはNISアクセスを有効にする"、または"SAML認証を構成する(admin SVMのみ)"。
ロールベースアクセスを設定する管理者に割り当てられたロールによって、管理者がアクセスできるコマンドが決まります。ロールは管理者アカウントの作成時に割り当てられ、"modified"することができます。"cluster"および"SVM"管理者用の事前定義されたロールを使用するか、必要に応じて"カスタムロールを定義する"することができます。
管理者アカウントを管理するアカウントアクセスの有効化方法によっては、"ローカルアカウントの公開鍵"の関連付け、"公開鍵とX.509証明書"の管理、"SSHログイン用のCisco Duo 2FA"の設定、"CA署名付きサーバ デジタル証明書"のインストール、または"Active Directory"、"LDAPまたはNIS"アクセスの設定が必要になる場合があります。これらのタスクは、アカウントアクセスの有効化前でも有効化後でも実行できます。
追加のセキュリティ機能を設定する-
"マルチ管理者認証の管理"特定の操作に指定された管理者からの承認が必要であることを確認したい場合。
-
"動的許可の管理"ユーザーの信頼レベルに基づいて追加の認可チェックを動的に適用する場合。
-
"タイミングよく(JIT)権限昇格を構成する"ユーザーが特定のタスクを実行するために一時的に昇格された権限にアクセスできるようにする場合。