SSHを使用したクラスタへのアクセス
ONTAPクラスタにSSH要求を発行して管理タスクを実行できます。SSHはデフォルトで有効になっています。
-
アクセス方法としてを使用するように設定されたユーザアカウントが必要 `ssh`です。
コマンドのパラメータ[`security login`は、 `-application`ユーザアカウントのアクセス方法を指定します。リンクの詳細については、ONTAPコマンドリファレンスを参照してください。https://docs NetApp .com /us-en/ ONTAP -cli/security-login-create.html#description^][`security login`コマンドを参照してください。
-
Active Directory(AD)のドメインユーザアカウントを使用してクラスタにアクセスする場合は、CIFS対応のStorage VMでクラスタの認証トンネルが設定されている必要があり、さらにADのドメインユーザアカウントがアクセス方式および `domain`認証方式としてを使用してクラスタに追加されている必要があり `ssh`ます。
-
OpenSSH 5.7以降のクライアントを使用する必要があります。
-
サポートされているプロトコルはSSH v2だけです。SSH v1はサポートされていません。
-
ONTAPでは、1つのノードで同時に最大64のSSHセッションがサポートされています。
クラスタ管理LIFがノード上にある場合、クラスタ管理LIFはこの制限をノード管理LIFと共有します。
着信接続のレートが1秒あたり10を超える場合、サービスは60秒間一時的に無効になります。
-
ONTAP は、 SSH に対して AES および 3DES 暗号化アルゴリズム( cipher とも呼ばれる)のみをサポートしています。
AESは、128ビット、192ビット、および256ビットのキー長でサポートされます。3DESのキー長は元のDESと同様に56ビットですが、3回繰り返されます。
-
FIPSモードが有効な場合、SSHクライアントを接続するには、Elliptic Curve Digital Signature Algorithm(ECDSA)公開鍵アルゴリズムとネゴシエートする必要があります。
-
WindowsホストからONTAP CLIにアクセスする場合は、PuTTYなどのサードパーティのユーティリティを使用できます。
-
Windows ADユーザ名を使用してONTAPにログインする場合は、ONTAPでADユーザ名とドメイン名が作成されたときと同じ大文字または小文字を使用する必要があります。
ADのユーザ名とドメイン名では大文字と小文字は区別されません。ただし、ONTAPユーザ名では大文字と小文字が区別されます。ONTAPで作成されたユーザ名とADで作成されたユーザ名の大文字小文字表記が一致しないと、ログインに失敗します。
-
ONTAP 9 .3以降では、ローカル管理者アカウントを使用できます"SSH多要素認証を有効にします"。
SSH多要素認証が有効な場合、ユーザは公開鍵とパスワードを使用して認証されます。
-
ONTAP 9 .4以降では、LDAPおよびNISのリモートユーザに対応できます"SSH多要素認証を有効にします"。
-
ONTAP 9.13.1以降では、必要に応じてSSH認証プロセスに証明書の検証を追加して、ログインのセキュリティを強化できます。これを行うには、"X.509証明書を公開鍵に関連付けます"アカウントが使用します。SSH公開鍵とX.509証明書の両方を使用してSSHを使用してログインすると、ONTAPは、SSH公開鍵で認証する前にX.509証明書の有効性をチェックします。証明書の有効期限が切れているか失効している場合、SSHログインは拒否され、SSH公開鍵は自動的に無効になります。
-
ONTAP 9 .14.1以降では、ONTAP管理者はログインセキュリティを強化できます"SSH認証プロセスへのCisco Duo 2要素認証の追加"。Cisco Duo認証を有効にした後の最初のログイン時に、ユーザはSSHセッションのオーセンティケータとして機能するデバイスを登録する必要があります。
-
ONTAP 9 .15.1以降では、管理者は、ユーザの信頼スコアに基づいて、SSHユーザに追加の適応認証を提供でき"動的許可の設定"ます。
-
ONTAPクラスタのネットワークにアクセスできるホストから、次のいずれかの形式でコマンドを入力し `ssh`ます。
-
ssh username@hostname_or_IP [command]
-
ssh -l username hostname_or_IP [command]
-
ADのドメインユーザアカウントを使用している場合は、(ドメイン名のあとにバックスラッシュ2つ)または "domainname\AD_accountname"
(二重引用符で囲み、ドメイン名のあとにバックスラッシュ1つ)の形式で domainname\\AD_accountname`指定する必要があります `username
。
`hostname_or_IP`は、クラスタ管理LIFまたはノード管理LIFのホスト名またはIPアドレスです。クラスタ管理LIFを使用することを推奨します。IPv4またはIPv6アドレスを使用できます。
`command`SSHインタラクティブセッションでは必要ありません。
次の例は、「 joe 」という名前のユーザアカウントで、クラスタ管理 LIF が 10.72.137.28 のクラスタにアクセスする SSH 要求を問題で実行する方法を示しています。
$ ssh joe@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
次の例は、「 `DOMAIN1' 」という名前のドメインの「 John 」という名前のユーザアカウントが、クラスタ管理 LIF が 10.72.137.28 であるクラスタにアクセスするための SSH 要求を問題で できることを示しています。
$ ssh DOMAIN1\\john@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
次の例は、「 joe 」という名前のユーザアカウントで SSH MFA 要求を問題で実行し、クラスタ管理 LIF が 10.72.137.32 のクラスタにアクセスする方法を示しています。
$ ssh joe@10.72.137.32 Authenticated with partial success. Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.