SSH リクエストを使用して ONTAP クラスタにアクセスする
変更を提案
PDF
ONTAPクラスタにSSH要求を発行することで、管理タスクを実行できます。SSHはデフォルトで有効になっています。
-
`ssh`をアクセス方法として使用するように構成されたユーザー アカウントが必要です。
`security login`コマンドの `-application`パラメータは、ユーザー アカウントのアクセス方法を指定します。link:https://docs.netapp.com/us-en/ontap-cli/security-login-create.html#description["ONTAPコマンド リファレンス"^]の `security login`の詳細をご覧ください。
-
Active Directory(AD)ドメイン ユーザー アカウントを使用してクラスタにアクセスする場合は、CIFS 対応のストレージ VM を介してクラスタの認証トンネルが設定されており、AD ドメイン ユーザー アカウントが `ssh`をアクセス方法、 `domain`を認証方法としてクラスタに追加されている必要があります。
-
OpenSSH 5.7以降のクライアントを使用する必要があります。
-
サポートされているプロトコルはSSH v2だけです。SSH v1はサポートされていません。
-
ONTAPでは、1つのノードについて同時に最大64のSSHセッションがサポートされています。
クラスタ管理LIFがノード上に存在する場合、クラスタ管理LIFはこの制限をノード管理LIFと共有します。
着信接続が1秒あたり10件を超えると、サービスは一時的に60秒間無効になります。
-
ONTAP は、SSH に対して AES および 3DES 暗号化アルゴリズム(ciphers とも呼ばれます)のみをサポートします。
AESでは、128ビット、192ビット、256ビットのキーの長さがサポートされます。3DESのキーの長さはDES同様に56ビットですが、3回繰り返されます。
-
FIPSモードが有効な場合、SSHクライアントを接続するには、Elliptic Curve Digital Signature Algorithm(ECDSA)公開キー アルゴリズムとネゴシエートする必要があります。
-
ONTAP CLIにWindowsホストからアクセスする場合は、PuTTYなどのサードパーティのユーティリティを使用できます。
-
Windows ADユーザ名を使用してONTAPにログインする場合、ONTAPでADユーザ名とドメイン名が作成されたときと同じように大文字と小文字を区別する必要があります。
ADのユーザ名とドメイン名では、大文字と小文字は区別されませんが、ONTAPではユーザ名の大文字と小文字が区別されます。ONTAPで作成されたユーザ名と、ADで作成されたユーザ名の大文字小文字表記が違うと、ログインに失敗します。
-
ONTAP 9.3 以降では、ローカル管理者アカウントに対して"SSH多要素認証を有効にする"できます。
SSH多要素認証が有効な場合は、公開鍵とパスワードを使用してユーザが認証されます。
-
ONTAP 9.4 以降では、LDAP および NIS リモート ユーザーに対して"SSH多要素認証を有効にする"が可能になります。
-
ONTAP 9.13.1以降では、SSH認証プロセスにオプションで証明書検証を追加して、ログインセキュリティを強化できます。これを行うには、"X.509 証明書を公開鍵に関連付ける"アカウントが使用します。SSH公開鍵とX.509証明書の両方を使用してログインする場合、ONTAPはSSH公開鍵で認証する前にX.509証明書の有効性を確認します。証明書の有効期限が切れているか失効している場合、SSHログインは拒否され、SSH公開鍵は自動的に無効になります。
-
ONTAP 9.14.1以降、ONTAP管理者は"SSH認証プロセスにCisco Duoの2要素認証を追加する"ログインセキュリティを強化できます。Cisco Duo認証を有効にした後、初めてログインする際には、SSHセッションの認証デバイスとしてデバイスを登録する必要があります。
-
ONTAP 9.15.1 以降、管理者は"動的許可の設定"ユーザーの信頼スコアに基づいて SSH ユーザーに追加の適応型認証を提供できます。
-
ONTAPクラスタのネットワークにアクセスできるホストから、 `ssh`コマンドを次のいずれかの形式で入力します:
-
ssh username@hostname_or_IP [command] -
ssh -l username hostname_or_IP [command]
-
AD ドメイン ユーザー アカウントを使用している場合は、 username`を `domainname\\AD_accountname(ドメイン名の後に二重のバックスラッシュ)または "domainname\AD_accountname"(二重引用符で囲み、ドメイン名の後に単一のバックスラッシュ)の形式で指定する必要があります。
`hostname_or_IP`は、クラスタ管理LIFまたはノード管理LIFのホスト名またはIPアドレスです。クラスタ管理LIFの使用をお勧めします。IPv4またはIPv6アドレスを使用できます。
SSH 対話型セッションでは`command`は必要ありません。
次の例は、「joe」という名前のユーザー アカウントが、クラスタ管理 LIF が 10.72.137.28 であるクラスタにアクセスするために SSH 要求を発行する方法を示しています:
$ ssh joe@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
次の例は、「DOMAIN1」というドメインの「john」というユーザー アカウントが、クラスタ管理 LIF が 10.72.137.28 であるクラスタにアクセスするための SSH 要求を発行する方法を示しています:
$ ssh DOMAIN1\\john@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
次の例は、「joe」という名前のユーザー アカウントが、クラスタ管理 LIF が 10.72.137.32 であるクラスタにアクセスするために SSH MFA 要求を発行する方法を示しています:
$ ssh joe@10.72.137.32 Authenticated with partial success. Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.