Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPでマルチ管理者検証を有効または無効にする

共同作成者 netapp-dbagwell netapp-aaron-holt netapp-aoife netapp-forry netapp-bhouser
PDF

マルチ管理者認証(MAV)は明示的に有効にする必要があります。有効にしたマルチ管理者認証を削除するには、MAV承認グループ内の管理者(MAV管理者)による承認が必要です。

タスク概要

有効にしたMAVを変更または無効にするには、MAV管理者の承認が必要です。

メモ MAV 管理者の承認なしに複数管理者検証機能を無効にする必要がある場合は、NetApp サポートに連絡して次のことを伝えてください"NetApp ナレッジベース:MAV 管理者が利用できない場合にマルチ管理者検証を無効にする方法"

MAVを有効にする際には、次のパラメータをグローバルに指定できます。

Approval groups

グローバル承認グループのリスト。MAV機能を有効にするには、少なくとも1つのグループが必要です。

ヒント MAVを自律型ランサムウェア対策(ARP)で使用している場合は、ARPの一時停止、無効化、疑わしい要求のクリアを承認する新規または既存の承認グループを定義します。
必要な承認者

保護された操作を実行するために必要な承認者の数。デフォルトおよび最小数は1です。

メモ 必要な承認者数は、デフォルトの承認グループ内の承認者の合計数よりも少なくする必要があります。
承認の有効期限(時:分:秒)

MAV管理者が承認リクエストに応答しなければならない期間。デフォルト値は1時間(1h)、サポートされる最小値は1秒(1s)、サポートされる最大値は14日(14d)です。

実行期限(時、分、秒)

要求元の管理者が::操作を完了しなければならない期間。デフォルト値は1時間(1h)、サポートされる最小値は1秒(1s)、サポートされる最大値は14日(14d)です。

特定の"操作ルール。"に対して、これらのパラメータのいずれかを上書きすることもできます

System Managerの手順

  1. マルチ管理者認証の対象となる管理者を特定します。

    1. *クラスター > 設定*をクリックします。

    2. *ユーザーとロール*の横にある矢印アイコンをクリックします。

    3. *ユーザー*の下にあるアイコンを追加をクリックします。

    4. 必要に応じて内容を変更します。

      詳細については、"管理者アクセスを制御します。"を参照してください。

  2. 承認グループを1つ以上作成し、ルールを1つ以上追加して、マルチ管理者認証を有効にします。

    1. *クラスター > 設定*をクリックします。

    2. *セキュリティ*セクションの*複数管理者承認*の横にあるアクションアイコンをクリックします。

    3. アイコンを追加をクリックして、少なくとも1つの承認グループを追加します。

      • Name – グループ名を入力します。

      • Approvers – ユーザのリストから承認者を選択します。

      • Email address – Eメール アドレスを入力します。

      • Default group – グループを選択します。

    4. ルールを1つ以上追加します。

      • Operation – サポートされているコマンドをリストから選択します。

      • Query – 必要なコマンド オプションと値を入力します。

      • オプションのパラメータ:グローバル設定を適用する場合は、空白のままにします。グローバル設定を上書きする場合は、特定のルールに対して別の値を割り当てます。

        • Required number of approvers

        • Approval groups

    5. デフォルトを表示または変更するには、*詳細設定*をクリックします。

      • 必要な承認者数(デフォルト:1)

      • 実行リクエストの有効期限(デフォルト:1時間)

      • 承認リクエストの有効期限(デフォルト:1時間)

      • メールサーバー*

      • 送信元メールアドレス*

        *これらは「通知管理」で管理されているメール設定を更新します。まだ設定されていない場合は、設定するように求められます。

    6. *有効化*をクリックして、MAV の初期設定を完了します。

初期構成後、現在の MAV ステータスが Multi-Admin Approval タイルに表示されます。

  • ステータス(有効または無効)

  • 承認が必要なアクティブな処理

  • 保留状態のオープン要求の数

矢印アイコンをクリックすると、既存の構成を表示できます。既存の構成を編集するには、MAV の承認が必要です。

マルチ管理者認証を無効にするには、次の手順を実行します。

  1. *クラスター > 設定*をクリックします。

  2. *セキュリティ*セクションの*複数管理者承認*の横にあるアクションアイコンをクリックします。

  3. [Enabled]トグル ボタンをクリックします。

    この処理を完了するには、MAVの承認が必要です。

CLIの手順

CLI で MAV 機能を有効にする前に、少なくとも 1 つの"MAV 管理者グループ"を作成しておく必要があります。

次の操作を行う場合: 入力するコマンド

MAV機能を有効にする

security multi-admin-verify modify -approval-groups group1[,group2…​] [-required-approvers nn ] -enabled true [ -execution-expiry [nnh][nnm][nns]] [ -approval-expiry [nnh][nnm][nns]]

:次のコマンドは、承認グループ 1 つ、必須承認者 2 人、およびデフォルトの有効期限で MAV を有効にします。

cluster-1::> security multi-admin-verify modify -approval-groups mav-grp1 -required-approvers 2 -enabled true

少なくとも1つの"操作ルール。"を追加して初期設定を完了します

MAV 構成を変更する(MAV の承認が必要)

security multi-admin-verify approval-group modify [-approval-groups group1[,group2…​]] [-required-approvers nn ] [ -execution-expiry [nnh][nnm][nns]] [ -approval-expiry [nnh][nnm][nns]]

MAV機能を確認する

security multi-admin-verify show

例:

cluster-1::> security multi-admin-verify show
Is      Required  Execution Approval Approval
Enabled Approvers Expiry    Expiry   Groups
------- --------- --------- -------- ----------
true    2         1h        1h       mav-grp1

MAV 機能を無効にする(MAV の承認が必要)

security multi-admin-verify modify -enabled false
関連情報