Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

MAVのONTAP管理者承認グループを管理する

共同作成者 netapp-aaron-holt netapp-bhouser netapp-forry netapp-aoife netapp-dbagwell
PDF

マルチ管理者認証(MAV)を有効にする前に、承認または拒否の権限が付与された1人以上の管理者を含む管理者承認グループを作成する必要があります。マルチ管理者認証を有効にした場合、承認グループのメンバーシップを変更するには、認定された既存のいずれかの管理者の承認が必要です。

タスク概要

既存の管理者をMAVグループに追加するか、または新しい管理者を作成できます。

MAV機能は、既存のロールベースアクセス制御(RBAC)設定を尊重します。MAV管理者候補は、MAV管理者グループに追加される前に、保護された操作を実行するための十分な権限を持っている必要があります。"RBACの詳細をご覧ください。"

MAV を設定して、承認リクエストが保留中であることを MAV 管理者に通知することができます。そのためには、メール通知(特に `Mail From`および `Mail Server`パラメータ)を設定する必要があります。または、これらのパラメータをクリアして通知を無効にすることもできます。メールアラートがない場合、MAV 管理者は承認キューを手動で確認する必要があります。

ONTAP 9.15.1以降では、Active Directory(AD)ユーザーをMAV管理者として設定できます。ADユーザーは"ONTAP管理者として設定されている"である必要があります。

System Managerの手順

MAV承認グループを初めて作成する場合は、System Managerの手順を参照してください"複数管理者による検証を有効にします。"

既存の承認グループを変更する、または追加の承認グループを作成するには、次の手順を実行します。

  1. マルチ管理者認証の対象となる管理者を特定します。

    1. *クラスター > 設定*をクリックします。

    2. *ユーザーとロール*の横にある矢印アイコンをクリックします。

    3. *ユーザー*の下にあるアイコンを追加をクリックします。

    4. 必要に応じて内容を変更します。

      詳細については、"管理者アクセスを制御します。"を参照してください。

  2. MAV承認グループを作成または変更します。

    1. *クラスター > 設定*をクリックします。

    2. *セキュリティ*セクションの*複数管理者承認*の横にある矢印アイコンをクリックします。(MAVがまだ設定されていない場合はアクションアイコンアイコンが表示されます。)

      • Name:グループ名を入力します。

      • Approvers:ユーザのリストから承認者を選択します。

      • Email address:Eメール アドレスを入力します。

      • Default group:グループを選択します。

MAVを有効にしたあとで既存の設定を編集するには、MAVの承認が必要です。

CLIの手順

  1. `Mail From`および `Mail Server`パラメータに値が設定されていることを確認します。次のように入力します:

    event config show

    次のような出力が表示されます。

    cluster01::> event config show
                           Mail From:  admin@localhost
                         Mail Server:  localhost
                           Proxy URL:  -
                          Proxy User:  -
 Publish/Subscribe Messaging Enabled:  true

    これらのパラメータを設定するには、次のように入力します。

    event config modify -mail-from email_address -mail-server server_name

    `event config show`および `event config modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=event+config["ONTAPコマンド リファレンス"^]をご覧ください。

  2. マルチ管理者認証の対象となる管理者を特定します。

    次の操作を行う場合: 入力するコマンド

    現在の管理者を表示する

    security login show

    現在の管理者の認証情報を変更する

    security login modify <parameters>

    新しい管理者アカウントを作成する

    security login create -user-or-group-name admin_name -application ssh -authentication-method password

    		 
    `security login show`、 `security login modify`、および `security login create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=security+login["ONTAPコマンド リファレンス"^]をご覧ください。

  3. MAV承認グループを作成します。

    security multi-admin-verify approval-group create [ -vserver svm_name] -name group_name -approvers approver1[,approver2…] [[-email address1], address1…​]

    • -vserver - このリリースでは管理 SVM のみがサポートされます。

    • -name - MAV グループ名(最大 64 文字)。

    • -approvers - 1人以上の承認者のリスト。ADユーザーの場合は、 domain\user`という形式を使用します。例: `mydomain\pavan

    • -email - リクエストが作成、承認、拒否、または実行されたときに通知される1つ以上の電子メールアドレス。

      例: 次のコマンドは、2 人のメンバーと関連付けられた電子メール アドレスを持つ MAV グループを作成します。

    cluster-1::> security multi-admin-verify approval-group create -name mav-grp1 -approvers pavan,julia -email pavan@myfirm.com,julia@myfirm.com

  4. グループの作成とメンバーシップを確認します。

    security multi-admin-verify approval-group show

    例:

    cluster-1::> security multi-admin-verify approval-group show
Vserver  Name        Approvers        Email
-------  ---------------- ------------------  ------------------------------------------------------------
svm-1    mav-grp1   pavan,julia      email pavan@myfirm.com,julia@myfirm.com

MAVグループの初期設定を変更するには、次のコマンドを使用します。

注: すべて、実行前に MAV 管理者の承認が必要です。

次の操作を行う場合: 入力するコマンド

グループの特性を変更するか、既存のメンバー情報を変更する

security multi-admin-verify approval-group modify [parameters]

メンバーを追加または削除する

security multi-admin-verify approval-group replace [-vserver svm_name] -name group_name [-approvers-to-add approver1[,approver2…]][-approvers-to-remove approver1[,approver2…]]

グループを削除する

security multi-admin-verify approval-group delete [-vserver svm_name] -name group_name
関連情報