インストール後のONTAP Mediator の設定
変更を提案
PDF
ONTAP Mediator をインストールして実行した後、ONTAP Mediator の機能を使用するには、ONTAP ストレージ システムで追加の設定タスクを実行する必要があります。
-
ONTAP Mediator をMetroCluster IP 構成で使用するには、"MetroCluster IP設定からONTAP Mediatorを設定する"を参照してください。
-
SnapMirrorアクティブ同期を使用するには、"ONTAP Mediatorをインストールし、ONTAPクラスタ構成を確認します"を参照してください。
ONTAP Mediatorのセキュリティ ポリシーの設定
ONTAP Mediatorは、設定可能な複数のセキュリティ設定をサポートしています。すべての設定のデフォルト値は、 `low_space_threshold_mib: 10`読み取り専用ファイルで提供されています:
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml
`ontap_mediator.user_config.yaml`に配置されたすべての値は、デフォルト値を上書きし、すべての ONTAP Mediator アップグレードにわたって維持されます。
変更後 ontap_mediator.user_config.yaml、ONTAP Mediator を再起動します。
systemctl restart ontap_mediator
ONTAP Mediatorの属性の変更
このセクションで説明する ONTAP Mediator 属性は、必要に応じて変更できます。
|
`ontap_mediator.config.yaml`内のその他のデフォルト値は、変更された値がONTAP Mediatorのアップグレード中に維持されないため、変更しないでください。 |
必要な変数を `ontap_mediator.user_config.yaml`ファイルにコピーしてデフォルト設定を上書きすることで、ONTAP Mediator 属性を変更します。
サードパーティのSSL証明書をインストールする
デフォルトの自己署名証明書をサードパーティの SSL 証明書に置き換える必要がある場合は、次のファイル内の特定の属性を変更します:
-
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml -
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
これらのファイル内の変数は、ONTAP Mediator で使用される証明書ファイルを制御するために使用されます。
次の表にリストされているデフォルトの変数が `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml`ファイルに含まれています。
| 変数 | パス |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
`cert_valid_days`は、クライアント証明書の有効期限を設定するために使用されます。最大値は3年(1095日)です。
-
x509_passin_pwdは署名されたクライアント証明書のパスフレーズです。
次の表にリストされているデフォルトの変数が `/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini`ファイルに含まれています。
| 変数 | パス |
|---|---|
|
|
|
|
|
|
次の表にリストされているデフォルトの変数が `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml`ファイルに含まれています。
| 変数 | パス |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
`cert_valid_days`は、クライアント証明書の有効期限を設定するために使用されます。最大値は3年(1095日)です。
-
x509_passin_pwdは署名されたクライアント証明書のパスフレーズです。
次の表にリストされているデフォルトの変数が `/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini`ファイルに含まれています。
| 変数 | パス |
|---|---|
|
|
|
|
|
|
これらの属性を変更した場合は、変更を適用するためにONTAP Mediatorを再起動してください。デフォルトの証明書をサードパーティの証明書に置き換える方法の詳細については、"自己署名証明書を信頼できるサードパーティの証明書に置き換える"を参照してください。
パスワード攻撃保護
次の設定は、ブルートフォースパスワード推測攻撃に対する保護を提供します。
この機能を有効にするには、 `window_seconds`と `retry_limit`の値を設定します。
例:
-
類推に使用できる時間を5分に設定し、5分後に失敗回数をゼロにリセットします。
authentication_lock_window_seconds: 300 -
時間内に5回失敗した場合にアカウントをロックします。
authentication_retry_limit: 5 -
各試行の拒否を遅延させることで、攻撃をスローダウンさせ、総当たりによるパスワード類推攻撃の影響を軽減します。
authentication_failure_delay_seconds: 5authentication_failure_delay_seconds: 0 # seconds (float) to delay failed auth attempts prior to response, 0 = no delay authentication_lock_window_seconds: null # seconds (int) since the oldest failure before resetting the retry counter, null = no window authentication_retry_limit: null # number of retries to allow before locking API access, null = unlimited
パスワードの複雑さのルール
次のフィールドは ONTAP Mediator API ユーザーアカウントのパスワードの複雑さのルールを制御します。
password_min_length: 8 password_max_length: 64 password_uppercase_chars: 0 # min. uppercase characters password_lowercase_chars: 1 # min. lowercase character password_special_chars: 1 # min. non-letter, non-digit password_nonletter_chars: 2 # min. non-letter characters (digits, specials, anything)
空き容量の制御
`/opt/netapp/lib/ontap_mediator`ディスクに必要な空き容量を制御する設定があります。
スペースが設定されたしきい値を下回ると、警告イベントが発行されます。
low_space_threshold_mib: 10
予備ログスペースの制御
RESERVE_LOG_SPACE は特定の設定によって制御されます。デフォルトでは、ONTAP Mediator のインストール時にログ用に別のディスクスペースが作成されます。インストーラは ONTAP Mediator のログ記録専用として、合計 700MB のディスクスペースを持つ新しい固定サイズのファイルを作成します。
この機能を無効にしてデフォルトのディスク スペースを使用するには、以下の手順に従います。
-
次のファイルで、RESERVE_LOG_SPACE の値を 1 から 0 に変更します:
/opt/netapp/lib/ontap_mediator/tools/mediator_env -
Mediatorを再起動します。
-
cat /opt/netapp/lib/ontap_mediator/tools/mediator_env | grep "RESERVE_LOG_SPACE"RESERVE_LOG_SPACE=0
-
systemctl restart ontap_mediator
-
機能を再度有効にするには、値を 0 から 1 に変更し、Mediator を再起動します。
|
|
ディスク スペースを切り替えても、既存のログはパージされません。以前のログはすべてバックアップされ、切り替えとMediatorの再起動を行ったあとに現在のディスク スペースに移動されます。 |