デフォルトノカンリアカウント
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
管理者ロールにはすべてのアプリケーションを使用したアクセスが許可されているため、adminアカウントは制限する必要があります。diagアカウントはシステムシェルへのアクセスを許可します。テクニカルサポートがトラブルシューティングタスクを実行する場合にのみ使用してください。
デフォルトの管理アカウントには、との2つがあります。 admin
diag
アカウントの孤立は重大なセキュリティ ベクターで、権限の昇格などの脆弱性を招くことが珍しくありません。孤立したアカウントとは、ユーザ アカウント リポジトリに残っている使用されていない不要なアカウントのことです。孤立したアカウントの多くは、使用されたことがないかパスワードが更新または変更されていないデフォルト アカウントです。この問題に対処するために、ONTAPではアカウントの削除と名前変更がサポートされています。
組み込みアカウントの削除と名前変更はONTAPではサポートされていません。ただし、NetAppでは、lockコマンドを使用して不要な組み込みアカウントをロックすることを推奨しています。 |
孤立したアカウントはセキュリティ上の重大な問題となりますが、ローカル アカウント リポジトリから削除する場合はその影響についてテストすることを強く推奨します。
ローカルアカウントをリスト表示
ローカルアカウントを一覧表示するには、コマンドを実行し security login show
ます。
cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- admin console password admin no no admin http password admin no no admin ontapi password admin no no admin service-processor password admin no no admin ssh password admin no no autosupport console password autosupport no no 6 entries were displayed.
デフォルトの管理者アカウントを削除する
この admin
アカウントには管理者のロールが割り当てられ、すべてのアプリケーションを使用したアクセスが許可されます。
-
別の管理者レベルアカウントを作成します。
デフォルトアカウントを完全に削除するには
admin
、まずログインアプリケーションを使用する別の管理者レベルアカウントを作成する必要がありますconsole
。これらの変更を行うと、望ましくない影響が生じる可能性があります。ソリューションのセキュリティ ステータスに影響する可能性がある新しい設定は、適用する前に必ず非本番環境のクラスタでテストしてください。 例
cluster1::*> security login create -user-or-group-name NewAdmin -application console -authentication-method password -vserver cluster1
cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- NewAdmin console password admin no no admin console password admin no no admin http password admin no no admin ontapi password admin no no admin service-processor password admin no no admin ssh password admin no no autosupport console password autosupport no no 7 entries were displayed.
-
新しいadminアカウントを作成したら、アカウントログインを使用してそのアカウントへのアクセスをテストします
NewAdmin
。ログインを使用してNewAdmin
、デフォルトまたは以前のadminアカウントと同じログインアプリケーション(、、、、など)を使用するようにアカウントを設定しhttp
ontapi
service-processor
`ssh`ます。これによってアクセス制御が維持されます。例
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ssh -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application http -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ontapi -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application service-processor -authentication-method password
-
すべての機能についてテストしたら、ONTAPから削除する前にすべてのアプリケーションでadminアカウントを無効にします。この手順で、前のadminアカウントに依存する機能が残っていないことを最後にもう一度確認します。
cluster1::*> security login lock -vserver cluster1 -user-or-group-name admin -application *
-
デフォルトのadminアカウントとそのすべてのエントリを削除するには、次のコマンドを実行します。
cluster1::*> security login delete -vserver cluster1 -user-or-group-name admin -application * cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- NewAdmin console password admin no no NewAdmin http password admin no no NewAdmin ontapi password admin no no NewAdmin service-processor password admin no no NewAdmin ssh password admin no no autosupport console password autosupport no no 7 entries were displayed.
診断(diag)アカウントのパスワードを設定する
ストレージシステムには、という名前の診断アカウントが diag
用意されています。アカウントを使用して、でトラブルシューティングタスクを実行できます diag
systemshell
。 diag`システムシェルへのアクセスに使用できるアカウントはアカウントだけです。アクセスには、特権コマンドを使用し `diag
`systemshell`ます。
システムシェルと関連する diag アカウントは、簡単な診断を目的としています。このアクセスにはdiagnostic権限レベルが必要で、テクニカルサポートからの指示に従ってトラブルシューティングタスクを実行する場合にのみ使用されます。アカウントとは、いずれも diag systemshell 一般的な管理目的で使用するものではありません。
|
にアクセスする前に systemshell
、コマンドを使用してアカウントパスワードを設定する必要があります diag
security login password
。強力なパスワード原則を使用し、定期的にパスワードを変更する必要があります diag
。
-
アカウントのユーザパスワードを設定し
diag
ます。cluster1::> set -privilege diag Warning: These diagnostic commands are for use by NetApp personnel only. Do you want to continue? \{y|n}: y cluster1::*> systemshell -node node-01 (system node systemshell) diag@node-01's password: Warning: The system shell provides access to low-level diagnostic tools that can cause irreparable damage to the system if not used properly. Use this environment only when directed to do so by support personnel. node-01%