管理者認証とRBAC設定用のワークシート

ログイン アカウントを作成してロールベース アクセス制御(RBAC)を設定する前に、設定ワークシートの各項目について情報を収集しておく必要があります。

ログイン アカウントの作成または変更

次の値は、security login createコマンドでログイン アカウントによるStorage Virtual Machine(SVM)へのアクセスを有効にするときに指定します。同じ値は、security login modifyコマンドでアカウントによるSVMへのアクセスを変更するときにも指定します。

フィールド 説明 収集/決定する情報
-vserver アカウントがアクセスするSVMの名前。デフォルト値はクラスタの管理SVMの名前です。  
-user-or-group-name アカウントのユーザ名またはグループ名。グループ名を指定した場合、そのグループ内の各ユーザのアクセスが有効になります。

1つのユーザ名またはグループ名を複数のアプリケーションに関連付けることができます。

 
-application SVMへのアクセスに使用するアプリケーション。
  • http
  • ontapi
  • snmp
  • ssh
 
-authmethod アカウントの認証に使用する認証方式。
  • cert - SSL証明書認証
  • domain - Active Directory認証
  • nsswitch - LDAP認証またはNIS認証
  • password - ユーザ パスワード認証
  • publickey - 公開鍵認証
  • community - SNMPコミュニティ ストリング
  • usm - SNMPユーザ セキュリティ モデル
  • saml - Security Assertion Markup Language(SAML)認証
 
-remote-switch-ipaddress リモート スイッチのIPアドレス。リモート スイッチは、クラスタ スイッチ ヘルス モニタ(CSHM)で監視されるクラスタ スイッチ、またはMetroClusterヘルス モニタ(MCC-HM)で監視されるFibre Channel(FC)スイッチです。このオプションは、アプリケーションがsnmpで、認証方法がusmの場合にのみ使用できます。  
-role アカウントに割り当てられているアクセス制御ロール。
  • クラスタ(管理SVM)の場合、デフォルト値はadminです。
  • データSVMの場合、デフォルト値はvsadminです。
 
-comment 任意。アカウントについての説明。テキストを二重引用符(")で囲む必要があります。  
-is-ns-switch-group アカウントがLDAPグループ アカウントか、またはNISグループ アカウントか(yesまたはno)。  
-second-authentication-method ONTAP 9.3で多要素認証を使用する場合の、第2の認証方式。
  • none - 多要素認証を使用しない(デフォルト値)
  • publickey - 公開鍵認証(authmethodがpasswordまたはnsswitchの場合)
  • password - ユーザ パスワード認証(authmethodが公開鍵の場合)
  • nsswitch - ユーザ パスワード認証(authmethodがpublickeyの場合)
    注: nsswitchは、ONTAP 9.4以降でサポートされます。

認証の順序は、常に公開鍵が先でパスワードがあとです。

 

カスタム ロールの定義

次の値は、security login role createコマンドでカスタム ロールを定義するときに指定します。

フィールド 説明 収集/決定する情報
-vserver 任意。ロールに関連付けられているSVMの名前。  
-role ロールの名前。  
-cmddirname ロールでアクセスできるコマンドまたはコマンド ディレクトリ。コマンド サブディレクトリの名前は二重引用符(")で囲む必要があります。例:volume snapshot

すべてのコマンド ディレクトリを指定する場合は、DEFAULTと入力する必要があります。

 
-access 任意。ロールのアクセス レベル。

コマンド ディレクトリの場合:

  • none(カスタム ロールのデフォルト値) - コマンド ディレクトリに含まれるコマンドへのアクセスを拒否します。
  • readonly - コマンド ディレクトリとそのサブディレクトリに含まれるshowコマンドへのアクセスを許可します。
  • all - コマンド ディレクトリとそのサブディレクトリに含まれるすべてのコマンドへのアクセスを許可します。

非組み込みコマンド(末尾がcreatemodifydeleteshow以外のコマンド)の場合:

  • none(カスタム ロールのデフォルト値) - コマンドへのアクセスを拒否します。
  • readonly - 指定できません。
  • all - コマンドへのアクセスを許可します。

組み込みコマンドへのアクセスを許可または拒否するには、コマンド ディレクトリを指定する必要があります。

 
-query 任意。アクセス レベルのフィルタリングに使用するクエリ オブジェクト。コマンドまたはコマンド ディレクトリ内のコマンドの有効なオプションの形式で指定します。クエリ オブジェクトは二重引用符(")で囲む必要があります。たとえば、コマンド ディレクトリがvolumeの場合、-aggr aggr0というクエリ オブジェクトを指定すると、aggr0アグリゲートについてのみアクセスが許可されます。  

ユーザ アカウントへの公開鍵の関連付け

次の値は、security login publickey createコマンドでユーザ アカウントにSSH公開鍵を関連付けるときに指定します。

フィールド 説明 収集/決定する情報
-vserver 任意。アカウントがアクセスするSVMの名前。  
-username アカウントのユーザ名。デフォルト値は、クラスタ管理者のデフォルト名であるadminです。  
-index 公開鍵のインデックス番号。デフォルト値は、アカウントに対して最初に作成された鍵では0、それ以外の場合は既存の一番大きいインデックス番号に1を加えた値です。  
-publickey OpenSSH公開鍵。鍵は二重引用符(")で囲む必要があります。  
-role アカウントに割り当てられているアクセス制御ロール。  
-comment 任意。公開鍵についての説明。テキストを二重引用符(")で囲む必要があります。  

CA署名済みサーバ デジタル証明書のインストール

次の値は、security certificate generate-csrコマンドで、SVMをSSLサーバとして認証する際に使用する証明書署名要求(CSR)を生成するときに指定します。

フィールド 説明 収集/決定する情報
-common-name 証明書の名前。完全修飾ドメイン名(FQDN)またはカスタム共通名を指定できます。  
-size 秘密鍵のビット数。この値が高いほど、鍵のセキュリティは向上します。デフォルト値は2048です。有効な値は、51210241536、および2048です。  
-country SVMが設置されている国の2文字のコード。デフォルト値はUSです。コードの一覧については、マニュアル ページを参照してください。  
-state SVMが設置されている都道府県。  
-locality SVMが設置されている市区町村。  
-organization SVMを管理している組織。  
-unit SVMを管理している組織内の部門。  
-email-addr SVMの管理担当者のEメール アドレス。  
-hash-function 証明書の署名に使用する暗号化ハッシュ関数。デフォルト値はSHA256です。有効な値は、SHA1SHA256、およびMD5です。  

次の値は、security certificate installコマンドで、クラスタまたはSVMをSSLサーバとして認証する際に使用するCA署名済みデジタル証明書をインストールするときに指定します。次の表には、このガイドに関連するオプションのみを記載します。

フィールド 説明 収集/決定する情報
-vserver 証明書をインストールするSVMの名前。  
-type 証明書のタイプ。
  • server - サーバ証明書および中間証明書
  • client-ca - SSLクライアントのルートCAの公開鍵証明書
  • server-ca - ONTAPがクライアントであるSSLサーバのルートCAの公開鍵証明書
  • client - ONTAPをSSLクライアントとして使用するための自己署名またはCA署名のデジタル証明書と秘密鍵
 

Active Directoryドメイン コントローラ アクセスの設定

次の値は、データSVM用のCIFSサーバを設定済みで、security login domain-tunnel createコマンドで、Active Directoryドメイン コントローラからクラスタへのアクセス用にSVMをゲートウェイまたはトンネルとして設定するときに指定します。

フィールド 説明 収集/決定する情報
-vserver CIFSサーバが設定されているSVMの名前。  

次の値は、CIFSサーバを設定していない場合に、vserver active-directory createコマンドで、Active DirectoryドメインにSVMコンピュータ アカウントを作成するときに指定します。

フィールド 説明 収集/決定する情報
-vserver Active Directoryコンピュータ アカウントを作成するSVMの名前。  
-account-name コンピュータ アカウントのNetBIOS名。  
-domain 完全修飾ドメイン名(FQDN)。  
-ou ドメイン内の組織単位。デフォルト値はCN=Computersです。この値がドメイン名に付加されて、Active Directory識別名が生成されます。  

LDAPサーバまたはNISサーバのアクセスの設定

次の値は、vserver services name-service ldap client createコマンドでSVMのLDAPクライアント設定を作成するときに指定します。

注: ONTAP 9.2以降では、-serversフィールドが-ldap-serversフィールドに置き換えられています。この新しいフィールドには、LDAPサーバの値としてホスト名またはIPアドレスを指定できます。

次の表には、このガイドに関連するオプションのみを記載します。

フィールド 説明 収集/決定する情報
-vserver クライアント設定のSVMの名前。  
-client-config クライアント設定の名前。  
-servers ONTAP 9.0、9.1:クライアントが接続するLDAPサーバのIPアドレスをカンマで区切ったリスト。  
-ldap-servers ONTAP 9.2:クライアントが接続するLDAPサーバのIPアドレスおよびホスト名をカンマで区切ったリスト。  
-schema クライアントがLDAPクエリの作成に使用するスキーマ。  
-use-start-tls クライアントがLDAPサーバとの通信をStart TLSを使用して暗号化するかどうか(trueまたはfalse)。
注: Start TLSは、データSVMへのアクセスでのみサポートされます。管理SVMへのアクセスではサポートされません。
 

次の値は、vserver services name-service ldap createコマンドでLDAPクライアント設定をSVMに関連付けるときに指定します。

フィールド 説明 収集/決定する情報
-vserver クライアント設定を関連付けるSVMの名前。  
-client-config クライアント設定の名前。  
-client-enabled SVMがLDAPクライアント設定を使用できるかどうか(trueまたはfalse)。  

次の値は、vserver services name-service nis-domain createコマンドでSVMでNISドメイン設定を作成するときに指定します。

注: ONTAP 9.2以降では、-serversフィールドが-nis-serversフィールドに置き換えられています。この新しいフィールドには、NISサーバの値としてホスト名またはIPアドレスを指定できます。
フィールド 説明 収集/決定する情報
-vserver ドメイン設定を作成するSVMの名前。  
-domain ドメインの名前。  
-active ドメインがアクティブかどうか(trueまたはfalse)。  
-servers ONTAP 9.0、9.1:ドメイン設定で使用するNISサーバのIPアドレスをカンマで区切ったリスト。  
-nis-servers ONTAP 9.2:ドメイン設定で使用するNISサーバのIPアドレスおよびホスト名をカンマで区切ったリスト。  

次の値は、vserver services name-service ns-switch createコマンドでネーム サービス ソースの参照順序を指定するときに指定します。

フィールド 説明 収集/決定する情報
-vserver ネーム サービスの参照順序を設定するSVMの名前。  
-database ネーム サービス データベース。
  • hosts - ファイルおよびDNSの各ネーム サービス
  • group - ファイル、LDAP、およびNISの各ネーム サービス
  • passwd - ファイル、LDAP、およびNISの各ネーム サービス
  • netgroup - ファイル、LDAP、およびNISの各ネーム サービス
  • namemap - ファイルおよびLDAPの各ネーム サービス
 
-sources ネーム サービス ソースを参照する順序(カンマで区切ったリスト)。
  • file
  • dns
  • ldap
  • nis
 

SAMLアクセスの設定

次の値は、security saml-sp createコマンドでONTAP 9.3以降でSAML認証を設定するときに指定します。

フィールド 説明 収集/決定する情報
-idp-uri アイデンティティ プロバイダ(IdP)メタデータをダウンロード可能な、IdPホストのFTPまたはHTTPアドレス。  
-sp-host SAMLサービス プロバイダ ホスト(ONTAPシステム)のホスト名またはIPアドレス。デフォルトでは、クラスタ管理LIFのIPアドレスが使用されます。  

[-cert-ca]と[-cert-serial]または[-cert-common-name]

サービス プロバイダ ホスト(ONTAPシステム)のサーバ証明書の詳細。  
-verify-metadata-server IdPメタデータ サーバのアイデンティティを検証するかどうか(trueまたはfalse)。この値は常にtrueに設定することを推奨します。