Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

デフォルトノカンリアカウント

共同作成者
PDF

管理者ロールにはすべてのアプリケーションを使用したアクセスが許可されているため、adminアカウントは制限する必要があります。diagアカウントはシステムシェルへのアクセスを許可します。テクニカルサポートがトラブルシューティングタスクを実行する場合にのみ使用してください。

デフォルトの管理アカウントには、との2つがあります。 admin diag

アカウントの孤立は重大なセキュリティ ベクターで、権限の昇格などの脆弱性を招くことが珍しくありません。孤立したアカウントとは、ユーザ アカウント リポジトリに残っている使用されていない不要なアカウントのことです。孤立したアカウントの多くは、使用されたことがないかパスワードが更新または変更されていないデフォルト アカウントです。この問題に対処するために、ONTAPではアカウントの削除と名前変更がサポートされています。

メモ 組み込みアカウントの削除と名前変更はONTAPではサポートされていません。ただし、NetAppでは、lockコマンドを使用して不要な組み込みアカウントをロックすることを推奨しています。

孤立したアカウントはセキュリティ上の重大な問題となりますが、ローカル アカウント リポジトリから削除する場合はその影響についてテストすることを強く推奨します。

ローカルアカウントをリスト表示

ローカルアカウントを一覧表示するには、コマンドを実行し security login show ます。

cluster1::*> security login show -vserver cluster1

Vserver: cluster1
                             Authentication             Acct   Is-Nsswitch
User/Group Name  Application Method    Role Name        Locked Group
---------------- ----------- --------- ---------------- ------ -----------
admin            console     password  admin            no     no
admin            http        password  admin            no     no
admin            ontapi      password  admin            no     no
admin            service-processor password admin       no     no
admin            ssh         password  admin            no     no
autosupport      console     password  autosupport      no     no
6 entries were displayed.

デフォルトの管理者アカウントを削除する

この admin アカウントには管理者のロールが割り当てられ、すべてのアプリケーションを使用したアクセスが許可されます。

手順

  1. 別の管理者レベルアカウントを作成します。

    デフォルトアカウントを完全に削除するには admin 、まずログインアプリケーションを使用する別の管理者レベルアカウントを作成する必要があります console

    メモ これらの変更を行うと、望ましくない影響が生じる可能性があります。ソリューションのセキュリティ ステータスに影響する可能性がある新しい設定は、適用する前に必ず非本番環境のクラスタでテストしてください。 

    cluster1::*> security login create -user-or-group-name NewAdmin -application console -authentication-method password -vserver cluster1
    cluster1::*> security login show -vserver cluster1

Vserver: cluster1
                             Authentication             Acct   Is-Nsswitch
User/Group Name  Application Method    Role Name        Locked Group
---------------- ----------- --------- ---------------- ------ -----------
NewAdmin         console     password  admin            no     no
admin            console     password  admin            no     no
admin            http        password  admin            no     no
admin            ontapi      password  admin            no     no
admin            service-processor password admin       no     no
admin            ssh         password  admin            no     no
autosupport      console     password  autosupport      no     no
7 entries were displayed.

  2. 新しいadminアカウントを作成したら、アカウントログインを使用してそのアカウントへのアクセスをテストします NewAdmin 。ログインを使用して NewAdmin 、デフォルトまたは以前のadminアカウントと同じログインアプリケーション(、、、、など)を使用するようにアカウントを設定し http ontapi service-processor `ssh`ます。これによってアクセス制御が維持されます。

    cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ssh -authentication-method password
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application http -authentication-method password
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ontapi -authentication-method password
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application service-processor -authentication-method password

  3. すべての機能についてテストしたら、ONTAPから削除する前にすべてのアプリケーションでadminアカウントを無効にします。この手順で、前のadminアカウントに依存する機能が残っていないことを最後にもう一度確認します。

    cluster1::*> security login lock -vserver cluster1 -user-or-group-name admin -application *

  4. デフォルトのadminアカウントとそのすべてのエントリを削除するには、次のコマンドを実行します。

    cluster1::*> security login delete -vserver cluster1 -user-or-group-name admin -application *
cluster1::*> security login show -vserver cluster1

Vserver: cluster1
                             Authentication             Acct   Is-Nsswitch
User/Group Name  Application Method    Role Name        Locked Group
---------------- ----------- --------- ---------------- ------ -----------
NewAdmin         console     password  admin            no     no
NewAdmin         http        password  admin            no     no
NewAdmin         ontapi      password  admin            no     no
NewAdmin         service-processor password admin       no     no
NewAdmin         ssh         password  admin            no     no
autosupport      console     password  autosupport      no     no
7 entries were displayed.

診断(diag)アカウントのパスワードを設定する

ストレージシステムには、という名前の診断アカウントが diag 用意されています。アカウントを使用して、でトラブルシューティングタスクを実行できます diag systemshelldiag`システムシェルへのアクセスに使用できるアカウントはアカウントだけです。アクセスには、特権コマンドを使用し `diag `systemshell`ます。

注意 システムシェルと関連する diag アカウントは、簡単な診断を目的としています。このアクセスにはdiagnostic権限レベルが必要で、テクニカルサポートからの指示に従ってトラブルシューティングタスクを実行する場合にのみ使用されます。アカウントとは、いずれも diag systemshell 一般的な管理目的で使用するものではありません。
作業を開始する前に

にアクセスする前に systemshell、コマンドを使用してアカウントパスワードを設定する必要があります diag security login password 。強力なパスワード原則を使用し、定期的にパスワードを変更する必要があります diag

手順

  1. アカウントのユーザパスワードを設定し diag ます。

    cluster1::> set -privilege diag

Warning: These diagnostic commands are for use by NetApp personnel only.
Do you want to continue? \{y|n}: y

cluster1::*> systemshell -node node-01
    (system node systemshell)
diag@node-01's password:

Warning: The system shell provides access to low-level
diagnostic tools that can cause irreparable damage to
the system if not used properly. Use this environment
only when directed to do so by support personnel.

node-01%