Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ロール、アプリケーション、認証

共同作成者
PDF

ONTAPは、セキュリティを重視する企業に、さまざまなログインアプリケーションやログイン方法を使用して、さまざまな管理者にきめ細かくアクセスできる機能を提供します。これにより、お客様はデータ中心のゼロトラストモデルを構築できます。

管理者とStorage Virtual Machine管理者が使用できるロールです。ログインアプリケーション方式とログイン認証方式が指定されています。

ロール

Role-Based Access Control(RBAC;ロールベースアクセス制御)を使用すると、ユーザは自分のジョブロールと機能に必要なシステムとオプションにのみアクセスできます。ONTAPのRBACソリューションではユーザの管理アクセスがそのユーザのロールに付与されたレベルに制限されるため、管理者は割り当てられたロールに基づいてユーザを管理できます。ONTAPには、複数の事前定義されたロールが用意されています。オペレータや管理者はカスタムのアクセス制御ロールを作成、変更、削除したり、特定のロールに対してアカウント制限を指定したりできます。

クラスタ管理者の事前定義されたロール

ロール

アクセスレベル

コマンドまたはコマンドディレクトリに移動します

admin

すべて

すべてのコマンドディレクトリ (DEFAULT)

admin-no-fsa (ONTAP 9.12.1以降で使用可能)

読み取り / 書き込み

  • すべてのコマンドディレクトリ (DEFAULT)

  • security login rest-role

  • security login role

読み取り専用です

  • security login rest-role create

  • security login rest-role delete

  • security login rest-role modify

  • security login rest-role show

  • security login role create

  • security login role create

  • security login role delete

  • security login role modify

  • security login role show

  • volume activity-tracking

  • volume analytics

なし

volume file show-disk-usage

autosupport

すべて

  • set

  • system node autosupport

なし

その他すべてのコマンドディレクトリ (DEFAULT)

backup

すべて

vserver services ndmp

読み取り専用です

volume

なし

その他すべてのコマンドディレクトリ (DEFAULT)

readonly

すべて

  • security login password

    自身のユーザアカウントのローカルパスワードとキー情報のみを管理する場合

  • set

なし

security

読み取り専用です

その他すべてのコマンドディレクトリ (DEFAULT)

none
メモ autosupport ロールは事前定義されたに割り当てられます autosupport AutoSupport OnDemandで使用されるアカウント。ONTAP では、を変更または削除することはできません autosupport アカウント:また、ONTAP ではを割り当てることもできません autosupport 他のユーザアカウントへのロール。

Storage Virtual Machine(SVM)管理者の事前定義されたロール

ロール名

機能

vsadmin

  • 自身のユーザアカウントのローカルパスワードとキー情報の管理

  • ボリュームの管理(ボリュームの移動を除く)

  • クォータ、qtree、Snapshotコピー、およびファイルを管理します。

  • LUNを管理します

  • SnapLock処理の実行(privileged deleteを除く)

  • プロトコルの設定:NFS、SMB、iSCSI、FC、FCoE、 NVMe/FCとNVMe/TCP

  • サービスの設定:DNS、LDAP、NIS

  • ジョブの監視

  • ネットワーク接続とネットワーク インターフェイスの監視

  • SVMの健全性の監視

vsadmin-volume

  • 自身のユーザアカウントのローカルパスワードとキー情報の管理

  • ボリュームの管理(ボリュームの移動を含む)

  • クォータ、qtree、Snapshotコピー、およびファイルを管理します。

  • LUNを管理します

  • プロトコルの設定:NFS、SMB、iSCSI、FC、FCoE、 NVMe/FCとNVMe/TCP

  • サービスの設定:DNS、LDAP、NIS

  • ネットワーク インターフェイスの監視

  • SVMの健全性の監視

vsadmin-protocol

  • 自身のユーザアカウントのローカルパスワードとキー情報の管理

  • プロトコルの設定:NFS、SMB、iSCSI、FC、FCoE、 NVMe/FCとNVMe/TCP

  • サービスの設定:DNS、LDAP、NIS

  • LUNを管理します

  • ネットワーク インターフェイスの監視

  • SVMの健全性の監視

vsadmin-backup

  • 自身のユーザアカウントのローカルパスワードとキー情報の管理

  • NDMP処理を管理します。

  • リストアしたボリュームを読み取り/書き込み可能にします。

  • SnapMirror関係とSnapshotコピーを管理します。

  • ボリュームとネットワーク情報の表示

vsadmin-snaplock

  • 自身のユーザアカウントのローカルパスワードとキー情報の管理

  • ボリュームの管理(ボリュームの移動を除く)

  • クォータ、qtree、Snapshotコピー、およびファイルを管理します。

  • privileged deleteなどのSnapLock処理の実行

  • プロトコルの設定:NFSとSMB

  • サービスの設定:DNS、LDAP、NIS

  • ジョブの監視

  • ネットワーク接続とネットワーク インターフェイスの監視

vsadmin-readonly

  • 自身のユーザアカウントのローカルパスワードとキー情報の管理

  • SVMの健全性の監視

  • ネットワーク インターフェイスの監視

  • ボリュームとLUNの表示

  • サービスとプロトコルの表示

アプリケーションメソッド

Application Methodはログイン方法のアクセス タイプを指定します。指定できる値は console, http, ontapi, rsh, snmp, service-processor, ssh, 、および `telnet`です。

このパラメータをに設定すると service-processor 、サービスプロセッサへのアクセスがユーザに付与されます。サービスプロセッサではパスワード認証のみがサポートされるため、このパラメータを service-processor -authentication-method に設定する必要があります password 。SVMユーザ アカウントではサービス プロセッサにアクセスできません。したがって、このパラメータがに設定されている場合、オペレータや管理者はパラメータを使用できません -vserver service-processor

へのアクセスをさらに制限するには service-processor 、コマンドを使用し system service-processor ssh add-allowed-addresses`ます。コマンドを `system service-processor api-service 使用すると、設定と証明書を更新できます。

セキュリティ上の理由から、NetAppはセキュアなリモートアクセスにセキュアシェル(SSH)を推奨しているため、Telnetとリモートシェル(RSH)はデフォルトで無効になっています。要件や独自のニーズに従ってTelnetまたはRSHを使用する必要がある場合は、それらを有効にする必要があります。

コマンドは security protocol modify 、クラスタ全体のRSHおよびTelnetの既存の設定を変更します。[Enabled]フィールドをに設定して、クラスタでRSHとTelnetを有効にします true

ニンショウホウ

Authentication Methodパラメータは、ログインに使用する認証方式を指定します。

認証方式 説明

cert

SSL証明書認証

community

SNMPコミュニティ ストリング

domain

Active Directory認証

nsswitch

LDAP認証またはNIS認証

password

パスワード

publickey

公開鍵認証

usm

SNMPユーザ セキュリティ モデル
メモ NISプロトコルはセキュリティが脆弱であるため、推奨されません。

ONTAP 9.3以降では、ローカルSSHアカウントに対して、とpasswordの2つの認証方式を使用してチェーン型の2要素認証を使用でき admin publickey ます。コマンドのフィールドに加えて -authentication-method security login 、という名前の新しいフィールドが -second-authentication-method 追加されました。またはとして公開鍵またはパスワードを指定できます -authentication-method -second-authentication-method。ただし、SSH認証では、公開鍵で部分認証が行われ、その後にパスワードプロンプトが表示されて完全認証が行われます。

[user@host01 ~]$ ssh ontap.netapp.local
Authenticated with partial success.
Password:
cluster1::>

ONTAP 9.4以降では、を nsswitch 使用して2つ目の認証方式として使用できます publickey

ONTAP 9.12.1以降では、YubiKeyハードウェア認証デバイスまたは他のFIDO2互換デバイスを使用したSSH認証にもFIDO2を使用できます。

ONTAP 9.13.1以降:

  • domain アカウントは、を使用して2番目の認証方法として使用でき `publickey`ます。

  • 時間ベースのワンタイムパスワード (totp)は、現在の時刻を2番目の認証方法の認証要素の1つとして使用するアルゴリズムによって生成される一時パスコードです。

  • 公開鍵の失効は、SSH公開鍵と、SSH中に有効期限や失効がチェックされる証明書でサポートされます。

ONTAP System Manager、Active IQ Unified Manager、およびSSHの多要素認証(MFA)の詳細については、を参照してください "TR-4647:『Multifactor Authentication in ONTAP 9』"