インストール後の設定
ONTAP Mediatorサービスをインストールして実行したら、Mediatorの機能を使用するために、ONTAPストレージ システムで追加の設定タスクを実行する必要があります。
-
MetroCluster IP構成でONTAPメディエーターサービスを使用するには、を参照してください"MetroCluster IP構成でのONTAPメディエーターサービスの設定"。
-
SnapMirrorアクティブ同期を使用するには、を参照してください"ONTAPメディエーターサービスをインストールし、ONTAPクラスタ構成を確認"。
ONTAPメディエーターのセキュリティポリシーの設定
ONTAPメディエーターサーバでは、いくつかの設定可能なセキュリティ設定がサポートされます。すべての設定のデフォルト値は、読み取り専用ファイルで提供され `low_space_threshold_mib: 10`ます。
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml
に設定した値はすべて `ontap_mediator.user_config.yaml`デフォルト値よりも優先され、ONTAPメディエーターのすべてのアップグレードで維持されます。
変更したら ontap_mediator.user_config.yaml
、ONTAPメディエーターサービスを再起動します。
systemctl restart ontap_mediator
ONTAPメディエーターの属性を変更します。
このセクションで説明するONTAPメディエーターの属性は、必要に応じて変更できます。
ONTAPメディエーターのアップグレード時には変更後の値が維持されないため、のその他のデフォルト値は `ontap_mediator.config.yaml`変更しないでください。 |
ONTAPメディエーターの属性を変更するには、必要な変数をファイルにコピーして `ontap_mediator.user_config.yaml`デフォルトの設定を上書きします。
サードパーティのSSL証明書のインストール
デフォルトの自己署名証明書をサードパーティのSSL証明書に置き換える必要がある場合は、次のファイルの特定の属性を変更します。
-
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml
-
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
これらのファイル内の変数を使用して、ONTAPメディエーターサービスで使用される証明書ファイルが制御されます。
次の表に示すデフォルトの変数は、ファイルに含まれて `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml`います。
変数 | パス |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
`cert_valid_days`は、クライアント証明書の有効期限を設定するために使用されます。最大値は3年(1095日)です。
-
`x509_passin_pwd`は、署名済みクライアント証明書のパスフレーズです。
次の表に示すデフォルトの変数は、ファイルに含まれて `/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini`います。
変数 | パス |
---|---|
|
|
|
|
|
|
これらの属性を変更する場合は、ONTAPメディエーターサービスを再起動して変更を適用します。デフォルトの証明書をサードパーティの証明書に置き換える方法の詳細については、を参照してください"自己署名証明書を信頼できるサードパーティの証明書に置き換える"。
パスワード攻撃からの保護
次の設定は、ブルートフォースパスワード推測攻撃に対する保護を提供します。
この機能を有効にするには、およびの `retry_limit`値を設定し `window_seconds`ます。
例:
-
5分間の猶予期間を設けて推測し、失敗回数をゼロにリセットします。
authentication_lock_window_seconds: 300
-
期間内に5つの障害が発生した場合は、アカウントをロックします。
authentication_retry_limit: 5
-
各試行を拒否する前に発生する遅延を設定することで、ブルートフォースパスワード推測攻撃の影響を軽減し、攻撃の速度を低下させます。
authentication_failure_delay_seconds: 5
authentication_failure_delay_seconds: 0 # seconds (float) to delay failed auth attempts prior to response, 0 = no delay authentication_lock_window_seconds: null # seconds (int) since the oldest failure before resetting the retry counter, null = no window authentication_retry_limit: null # number of retries to allow before locking API access, null = unlimited
パスワードの複雑さに関するルール
次のフィールドは、ONTAPメディエーターAPIユーザアカウントのパスワードの複雑さのルールを制御します。
password_min_length: 8 password_max_length: 64 password_uppercase_chars: 0 # min. uppercase characters password_lowercase_chars: 1 # min. lowercase character password_special_chars: 1 # min. non-letter, non-digit password_nonletter_chars: 2 # min. non-letter characters (digits, specials, anything)
空きスペースの制御
ディスク上の必要な空き容量を制御する設定があり `/opt/netapp/lib/ontap_mediator`ます。
スペースが設定されたしきい値を下回ると、サービスは警告イベントを発行します。
low_space_threshold_mib: 10
リザーブログスペースの制御
reserve_log_spaceは、特定の設定によって制御されます。デフォルトでは、ONTAPメディエーターサーバをインストールすると、ログ用に独立したディスクスペースが作成されます。Mediatorのログに明示的に使用される、合計700MBのディスクスペースを含む新しい固定サイズのファイルがインストーラによって作成されます。
この機能を無効にしてデフォルトのディスク容量を使用するには、次の手順に従います。
-
次のファイルで、reserve_log_spaceの値を1から0に変更します。
/opt/netapp/lib/ontap_mediator/tools/mediator_env
-
Mediatorを再起動します。
-
cat /opt/netapp/lib/ontap_mediator/tools/mediator_env | grep "RESERVE_LOG_SPACE"
RESERVE_LOG_SPACE=0
-
systemctl restart ontap_mediator
-
この機能を再度有効にするには、値を0から1に変更してMediatorを再起動します。
ディスクスペースを切り替えても、既存のログは消去されません。以前のログはすべてバックアップされ、Mediatorの切り替えと再起動のあとに現在のディスクスペースに移動されます。 |