Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SSHを使用したクラスタへのアクセス

共同作成者

管理タスクを実行するために、クラスタへの問題 SSH 要求を行うことができます。SSHはデフォルトで有効になっています。

必要なもの
  • を使用するように設定されたユーザアカウントが必要です ssh アクセス方法として。

    -application のパラメータ security login コマンドは、ユーザアカウントのアクセス方法を指定します。。 security login "マニュアルページ" 追加情報 を含む。

  • Active Directory(AD)のドメインユーザアカウントを使用してクラスタにアクセスする場合は、CIFS対応のStorage VMでクラスタの認証トンネルが設定されている必要があり、さらにADのドメインユーザアカウントが ssh アクセス方法としておよび domain を認証方法として指定します。

  • IPv6 接続を使用する場合は、クラスタで IPv6 が設定されて有効になっている必要があります。また、ファイアウォールポリシーに IPv6 アドレスが設定されている必要があります。

    network options ipv6 show IPv6が有効になっているかどうかを表示します。。 system services firewall policy show コマンドは、ファイアウォールポリシーを表示します。

このタスクについて
  • OpenSSH 5.7 以降のクライアントを使用する必要があります。

  • サポートされているプロトコルは SSH v2 だけです。 SSH v1 はサポートされていません。

  • ONTAPでは、1つのノードで同時に最大64のSSHセッションがサポートされています。

    クラスタ管理 LIF がノード上に存在する場合、クラスタ管理 LIF はこの制限をノード管理 LIF と共有します。

    着信接続の速度が 1 秒あたり 10 を超えると、サービスは一時的に 60 秒間無効になります。

  • ONTAP は、 SSH に対して AES および 3DES 暗号化アルゴリズム( cipher とも呼ばれる)のみをサポートしています。

    AES では、 128 ビット、 192 ビット、 256 ビットのキー長がサポートされます。3DES のキーの長さは DES 同様に 56 ビットですが、 3 回繰り返されます。

  • FIPS モードが有効な場合、 SSH クライアントを接続するには、 Elliptic Curve Digital Signature Algorithm ( ECDSA )公開鍵アルゴリズムとネゴシエートする必要があります。

  • ONTAP CLI に Windows ホストからアクセスする場合は、 PuTTY などのサードパーティのユーティリティを使用できます。

  • Windows AD ユーザ名を使用して ONTAP にログインする場合、 ONTAP で AD ユーザ名とドメイン名が作成されたときと同じように大文字と小文字を区別する必要があります。

    AD のユーザ名とドメイン名では、大文字と小文字は区別されませんが、ただし、 ONTAP のユーザ名では大文字と小文字が区別されます。ONTAP で作成されたユーザ名と、 AD で作成されたユーザ名の大文字小文字表記が違うと、ログインに失敗します。

SSH認証オプション
  • ONTAP 9.3以降では、を実行できます "SSH多要素認証を有効にします" ローカル管理者アカウントの場合。

    SSH 多要素認証が有効な場合は、公開鍵とパスワードを使用してユーザが認証されます。

  • ONTAP 9.4以降では、次のことが可能です "SSH多要素認証を有効にします" LDAPおよびNISのリモートユーザ。

  • ONTAP 9.13.1以降では、必要に応じてSSH認証プロセスに証明書の検証を追加して、ログインのセキュリティを強化できます。これを行うには、 "X.509証明書を公開鍵に関連付けます" アカウントが使用します。SSH公開鍵とX.509証明書の両方を使用してSSHを使用してログインすると、ONTAPは、SSH公開鍵で認証する前にX.509証明書の有効性をチェックします。証明書の有効期限が切れているか失効している場合、SSHログインは拒否され、SSH公開鍵は自動的に無効になります。

  • ONTAP 9.14.1以降では、オプションでCisco Duo 2要素認証をSSH認証プロセスに追加して、ログインセキュリティを強化できます。Cisco Duo認証を有効にした後の最初のログイン時に、ユーザはSSHセッションのオーセンティケータとして機能するデバイスを登録する必要があります。を参照してください "SSHログイン用のCisco Duo 2FAの設定" ONTAPのCisco Duo SSH認証の設定の詳細については、を参照してください。

手順
  1. 管理ホストで、を入力します ssh 次のいずれかの形式でコマンドを実行します。

    • ssh username@hostname_or_IP [command]

    • ssh -l username hostname_or_IP [command]

ADドメインユーザアカウントを使用している場合は、を指定する必要があります username 形式はです domainname\\AD_accountname (ドメイン名のあとにバックスラッシュが2つ付いている場合)または "domainname\AD_accountname" (二重引用符で囲み、ドメイン名のあとにバックスラッシュ1つで囲みます)。

hostname_or_IP は、クラスタ管理LIFまたはノード管理LIFのホスト名またはIPアドレスです。クラスタ管理 LIF を使用することを推奨します。IPv4 または IPv6 アドレスを使用できます。

command SSHインタラクティブセッションでは必要ありません。

SSH要求の例

次の例は、「 joe 」という名前のユーザアカウントで、クラスタ管理 LIF が 10.72.137.28 のクラスタにアクセスする SSH 要求を問題で実行する方法を示しています。

$ ssh joe@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

次の例は、「 `DOMAIN1' 」という名前のドメインの「 John 」という名前のユーザアカウントが、クラスタ管理 LIF が 10.72.137.28 であるクラスタにアクセスするための SSH 要求を問題で できることを示しています。

$ ssh DOMAIN1\\john@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

次の例は、「 joe 」という名前のユーザアカウントで SSH MFA 要求を問題で実行し、クラスタ管理 LIF が 10.72.137.32 のクラスタにアクセスする方法を示しています。

$ ssh joe@10.72.137.32
Authenticated with partial success.
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.