Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

インストール後の設定

共同作成者

ONTAP Mediatorサービスをインストールして実行したら、Mediatorの機能を使用するために、ONTAPストレージ システムで追加の設定タスクを実行する必要があります。

ONTAPメディエーターのセキュリティポリシーの設定

ONTAPメディエーターサーバでは、いくつかの設定可能なセキュリティ設定がサポートされます。すべての設定のデフォルト値は、読み取り専用ファイルで提供され `low_space_threshold_mib: 10`ます。

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml

に設定した値はすべて `ontap_mediator.user_config.yaml`デフォルト値よりも優先され、ONTAPメディエーターのすべてのアップグレードで維持されます。

変更したら ontap_mediator.user_config.yaml、ONTAPメディエーターサービスを再起動します。

systemctl restart ontap_mediator

ONTAPメディエーターの属性を変更します。

このセクションで説明するONTAPメディエーターの属性は、必要に応じて変更できます。

メモ ONTAPメディエーターのアップグレード時には変更後の値が維持されないため、のその他のデフォルト値は `ontap_mediator.config.yaml`変更しないでください。

ONTAPメディエーターの属性を変更するには、必要な変数をファイルにコピーして `ontap_mediator.user_config.yaml`デフォルトの設定を上書きします。

サードパーティのSSL証明書のインストール

デフォルトの自己署名証明書をサードパーティのSSL証明書に置き換える必要がある場合は、次のファイルの特定の属性を変更します。

  • /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml

  • /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini

これらのファイル内の変数を使用して、ONTAPメディエーターサービスで使用される証明書ファイルが制御されます。

次の表に示すデフォルトの変数は、ファイルに含まれて `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml`います。

変数 パス

cert_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt

key_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

ca_cert_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt

ca_key_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key

ca_serial_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl

cert_valid_days

1095

x509_passin_pwd

pass:ontap

  • `cert_valid_days`は、クライアント証明書の有効期限を設定するために使用されます。最大値は3年(1095日)です。

  • `x509_passin_pwd`は、署名済みクライアント証明書のパスフレーズです。

次の表に示すデフォルトの変数は、ファイルに含まれて `/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini`います。

変数 パス

mediator_cert

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt

mediator_key

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

ca_cert_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt

これらの属性を変更する場合は、ONTAPメディエーターサービスを再起動して変更を適用します。デフォルトの証明書をサードパーティの証明書に置き換える方法の詳細については、を参照してください"自己署名証明書を信頼できるサードパーティの証明書に置き換える"

パスワード攻撃からの保護

次の設定は、ブルートフォースパスワード推測攻撃に対する保護を提供します。

この機能を有効にするには、およびの `retry_limit`値を設定し `window_seconds`ます。

例:

  • 5分間の猶予期間を設けて推測し、失敗回数をゼロにリセットします。

    authentication_lock_window_seconds: 300

  • 期間内に5つの障害が発生した場合は、アカウントをロックします。

    authentication_retry_limit: 5

  • 各試行を拒否する前に発生する遅延を設定することで、ブルートフォースパスワード推測攻撃の影響を軽減し、攻撃の速度を低下させます。

    authentication_failure_delay_seconds: 5

    authentication_failure_delay_seconds: 0   # seconds (float) to delay failed auth attempts prior to response, 0 = no delay
    authentication_lock_window_seconds: null  # seconds (int) since the oldest failure before resetting the retry counter, null = no window
    authentication_retry_limit: null          # number of retries to allow before locking API access, null = unlimited

パスワードの複雑さに関するルール

次のフィールドは、ONTAPメディエーターAPIユーザアカウントのパスワードの複雑さのルールを制御します。

password_min_length: 8

password_max_length: 64

password_uppercase_chars: 0    # min. uppercase characters

password_lowercase_chars: 1    # min. lowercase character

password_special_chars: 1      # min. non-letter, non-digit

password_nonletter_chars: 2    # min. non-letter characters (digits, specials, anything)

空きスペースの制御

ディスク上の必要な空き容量を制御する設定があり `/opt/netapp/lib/ontap_mediator`ます。

スペースが設定されたしきい値を下回ると、サービスは警告イベントを発行します。

low_space_threshold_mib: 10

リザーブログスペースの制御

reserve_log_spaceは、特定の設定によって制御されます。デフォルトでは、ONTAPメディエーターサーバをインストールすると、ログ用に独立したディスクスペースが作成されます。Mediatorのログに明示的に使用される、合計700MBのディスクスペースを含む新しい固定サイズのファイルがインストーラによって作成されます。

この機能を無効にしてデフォルトのディスク容量を使用するには、次の手順に従います。

  1. 次のファイルで、reserve_log_spaceの値を1から0に変更します。

    /opt/netapp/lib/ontap_mediator/tools/mediator_env

  2. Mediatorを再起動します。

    1. cat /opt/netapp/lib/ontap_mediator/tools/mediator_env | grep "RESERVE_LOG_SPACE"

      RESERVE_LOG_SPACE=0
    2. systemctl restart ontap_mediator

この機能を再度有効にするには、値を0から1に変更してMediatorを再起動します。

メモ ディスクスペースを切り替えても、既存のログは消去されません。以前のログはすべてバックアップされ、Mediatorの切り替えと再起動のあとに現在のディスクスペースに移動されます。