Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPクラスタへのTelnetまたはRSHアクセスを有効にする

共同作成者 netapp-barbe netapp-aaron-holt netapp-sumathi netapp-ahibbard netapp-aherbin
PDF

セキュリティに関するベストプラクティスとして、TelnetとRSHはデフォルトで無効になっています。クラスタがTelnetまたはRSH要求を受け入れることができるようにするには、デフォルトの管理サービス ポリシーでサービスを有効にする必要があります。

TelnetとRSHは安全なプロトコルではありません。クラスタへのアクセスにはSSHの使用を検討してください。SSHは安全なリモートシェルと対話型ネットワークセッションを提供します。詳細については、"SSHを使用したクラスタへのアクセス"をご覧ください。

タスク概要

  • ONTAPでは、1つのノードについて同時に最大50のTelnetまたはRSHセッションがサポートされています。

    クラスタ管理LIFがノード上に存在する場合、クラスタ管理LIFはこの制限をノード管理LIFと共有します。

    着信接続が1秒あたり10件を超えると、サービスは一時的に60秒間無効になります。

  • RSHコマンドには、advanced権限が必要です。

ONTAP 9.10.1 以降
手順

  1. RSHまたはTelnetセキュリティ プロトコルが有効になっていることを確認します。

    security protocol show

    1. RSHまたはTelnetセキュリティ プロトコルが有効になっている場合は、次の手順に進みます。

    2. RSHまたはTelnetセキュリティ プロトコルが有効になっていない場合は、次のコマンドを使用して有効にします。

      security protocol modify -application <rsh/telnet> -enabled true

      `security protocol show`および `security protocol modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=security+protocol["ONTAPコマンド リファレンス"^]をご覧ください。

  2. 管理 LIF に `management-rsh-server`または `management-telnet-server`サービスが存在することを確認します。

    network interface show -services management-rsh-server

    または

    network interface show -services management-telnet-server

    `network interface show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/network-interface-show.html["ONTAPコマンド リファレンス"^]を参照してください。

    1. `management-rsh-server`または `management-telnet-server`サービスが存在する場合は、次の手順に進みます。

    2. `management-rsh-server`または `management-telnet-server`サービスが存在しない場合は、次のコマンドを使用して追加します:

      network interface service-policy add-service -vserver cluster1 -policy default-management -service management-rsh-server

      network interface service-policy add-service -vserver cluster1 -policy default-management -service management-telnet-server

      `network interface service-policy add-service`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/network-interface-service-policy-add-service.html["ONTAPコマンド リファレンス"^]をご覧ください。
ONTAP 9.9以前
タスク概要

ONTAPでは、事前定義されたファイアウォール ポリシーを変更することはできませんが、事前定義された `mgmt`管理ファイアウォール ポリシーを複製して新しいポリシーを作成し、その新しいポリシーでTelnetまたはRSHを有効にすることができます。

手順

  1. advanced権限モードに切り替えます。

    set advanced

  2. セキュリティ プロトコル(RSHまたはTelnet)を有効にします。

    security protocol modify -application security_protocol -enabled true

  3. `mgmt`管理ファイアウォールポリシーに基づいて新しい管理ファイアウォールポリシーを作成します:

    system services firewall policy clone -policy mgmt -destination-policy policy-name

  4. 新しい管理ファイアウォール ポリシーでTelnetまたはRSHを有効にします。

    system services firewall policy create -policy policy-name -service security_protocol -action allow -ip-list ip_address/netmask

    すべてのIPアドレスを許可するには、 `-ip-list 0.0.0.0/0`を指定する必要があります

  5. 新しいポリシーをクラスタ管理LIFに関連付けます。

    network interface modify -vserver cluster_management_LIF -lif cluster_mgmt -firewall-policy policy-name

    `network interface modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/network-interface-modify.html["ONTAPコマンド リファレンス"^]を参照してください。