エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

管理者認証とRBAC設定用のワークシート

ログイン アカウントを作成してロールベース アクセス制御(RBAC)を設定する前に、設定ワークシートの各項目について情報を収集しておく必要があります。

ログイン アカウントの作成または変更

次の値は、security login createコマンドでログイン アカウントによるStorage VMへのアクセスを有効にするときに指定します。同じ値は、security login modifyコマンドでアカウントによるStorage VMへのアクセスを変更するときにも指定します。

フィールド

説明

設定値

-vserver

アカウントがアクセスするStorage VMの名前。デフォルト値はクラスタの管理Storage VMの名前です。

-user-or-group-name

アカウントのユーザー名またはグループ名。グループ名を指定した場合、そのグループ内の各ユーザーのアクセスが有効になります。1つのユーザー名またはグループ名を複数のアプリケーションに関連付けることができます。

-application

Storage VMへのアクセスに使用するアプリケーション。

  • http

  • ontapi

  • snmp

  • ssh

-authmethod

アカウントの認証に使用する認証方式。

  • cert - SSL証明書認証

  • domain - Active Directory認証

  • nsswitch - LDAP認証またはNIS認証

  • password - ユーザー パスワード認証

  • publickey - 公開鍵認証

  • community - SNMPコミュニティ ストリング

  • usm - SNMPユーザー セキュリティ モデル

  • saml - Security Assertion Markup Language(SAML)認証

-remote-switch-ipaddress

リモート スイッチのIPアドレス。リモート スイッチは、クラスタ スイッチ ヘルス モニタ(CSHM)で監視されるクラスタ スイッチ、またはMetroClusterヘルス モニタ(MCC-HM)で監視されるFibre Channel(FC)スイッチです。このオプションは、アプリケーションがsnmpで、認証方法がusmの場合にのみ使用できます。

-role

アカウントに割り当てられているアクセス制御ロール。

  • クラスタ(管理Storage VM)の場合、デフォルト値はadminです。

  • データStorage VMの場合、デフォルト値はvsadminです。

-comment

(オプション)アカウントについての説明。テキストを二重引用符(")で囲む必要があります。

-is-ns-switch-group

アカウントがLDAPグループ アカウントか、またはNISグループ アカウントか(yesまたはno)。

-second-authentication-method

多要素認証を使用する場合の、第2の認証方式。

  • none - 多要素認証を使用しない(デフォルト値)

  • publickey - 公開鍵認証(authmethodがpasswordまたはnsswitchの場合)

  • password - ユーザー パスワード認証(authmethodが公開鍵の場合)

  • nsswitch - ユーザー パスワード認証(authmethodがpublickeyの場合)

認証の順序は、常に公開鍵が先でパスワードがあとです。

-is-ldap-fastbind

ONTAP 9.11.1以降では、trueに設定すると、nsswitch認証に対してLDAP高速バインドが有効になります。デフォルトはfalseです。LDAP高速バインドを使用するには、-authentication-method値をnsswitchに設定する必要があります。nsswitch認証のLDAP高速バインドについては、こちらを参照してください。

Cisco Duoセキュリティ情報の設定

Storage VMのSSHログインでCisco Duo 2要素認証を有効にする際には、これらの値をsecurity login duo createコマンドで指定します。

フィールド

説明

設定値

-vserver

Duo認証設定を適用するStorage VM(ONTAP CLIではvserver)。

-integration-key

DuoにSSHアプリケーションを登録するときに取得した統合キー。

-secret-key

DuoにSSHアプリケーションを登録するときに取得したシークレット キー。

-api-host

DuoにSSHアプリケーションを登録するときに取得したAPIホスト名。次に例を示します。

api-<HOSTNAME>.duosecurity.com

-fail-mode

サービスや構成に関するエラーが原因でDuo認証が利用できない状況が発生した場合の挙動。safe(アクセスを許可)とsecure(アクセスを拒否)のいずれかが選べます。デフォルトはsafeです。つまり、Duo APIサーバーにアクセスできないなどのエラーが原因でDuo認証が失敗した場合、認証がバイパスされます。

-http-proxy

指定されたHTTPプロキシを使用します。HTTPプロキシで認証が必要な場合は、プロキシURLにクレデンシャルを含めます。次に例を示します。

http-proxy=http://username:password@proxy.example.org:8080

-autopush

trueまたはfalse。デフォルトはfalseです。trueの場合、Duoからユーザーのスマートフォンにプッシュ ログイン要求が自動的に送信され、プッシュが使用できない場合は通話に戻ります。これにより、パスコード認証が実質的に無効になります。falseの場合、ユーザーは認証方式を選択するように求められます。

autopush = trueの設定にする場合には、max-prompts = 1の設定にすることが推奨されます。

-max-prompts

ユーザーが2つ目の要素での認証に失敗した場合、Duoからユーザーに再度認証を求めるプロンプトが表示されます。これは、アクセスが拒否される前にDuoから表示されるプロンプトの最大数を設定するためのオプションです。123のいずれかの値を指定する必要があります。デフォルト値は1です。

たとえばmax-prompts = 1の場合、ユーザーは最初に表示されたプロンプトで認証に成功する必要があり、max-prompts = 2の場合、ユーザーが最初に表示されたプロンプトで誤った情報を入力すると、改めて認証を求めるプロンプトが表示されます。

autopush = trueの設定にする場合には、max-prompts = 1の設定にすることが推奨されます。

できるだけ快適な利用環境を提供するには、publickey認証のみを使用するユーザーのmax-promptsは、常に1に設定します。

-enabled

Duo 2要素認証を有効にする。デフォルトでは、trueに設定されています。有効にすると、設定されているパラメーターに従って、SSHログイン時にDuo 2要素認証が要求されます。Duoが無効(設定がfalse)の場合、Duo認証は無視されます。

-pushinfo

アクセスしているアプリケーションやサービスの名前など、プッシュ通知に追加情報を提供するためのオプションです。これにより、ユーザーは正しいサービスにログインしていることを確認でき、セキュリティを強化できます。

カスタム ロールの定義

次の値は、security login role createコマンドでカスタム ロールを定義するときに指定します。

フィールド

説明

設定値

-vserver

(オプション)ロールに関連付けられているStorage VM(ONTAP CLIではvserver)の名前。

-role

ロールの名前。

-cmddirname

ロールでアクセスできるコマンドまたはコマンド ディレクトリー。コマンド サブディレクトリーの名前は二重引用符(")で囲む必要があります。例:"volume snapshot"。すべてのコマンド ディレクトリーを指定する場合は、DEFAULTと入力する必要があります。

-access

(オプション)ロールのアクセス レベル。コマンド ディレクトリーの場合:

  • none(カスタム ロールのデフォルト値) - コマンド ディレクトリーに含まれるコマンドへのアクセスを拒否します。

  • readonly - コマンド ディレクトリーとそのサブディレクトリーに含まれるshowコマンドへのアクセスを許可します。

  • all - コマンド ディレクトリーとそのサブディレクトリーに含まれるすべてのコマンドへのアクセスを許可します。

非組み込みコマンド(末尾がcreatemodifydeleteshow以外のコマンド)の場合:

  • none(カスタム ロールのデフォルト値) - コマンドへのアクセスを拒否します。

  • readonly - 指定できません。

  • all - コマンドへのアクセスを許可します。

組み込みコマンドへのアクセスを許可または拒否するには、コマンド ディレクトリーを指定する必要があります。

-query

(オプション)アクセス レベルのフィルターリングに使用するクエリ オブジェクト。コマンドまたはコマンド ディレクトリー内のコマンドの有効なオプションの形式で指定します。クエリ オブジェクトは二重引用符(")で囲む必要があります。たとえば、コマンド ディレクトリーがvolumeの場合、"-aggr aggr0" というクエリ オブジェクトを指定すると、aggr0アグリゲートについてのみアクセスが許可されます。

ユーザー アカウントへの公開鍵の関連付け

次の値は、security login publickey createコマンドでユーザー アカウントにSSH公開鍵を関連付けるときに指定します。

フィールド

説明

設定値

-vserver

(オプション)アカウントがアクセスするStorage VMの名前。

-username

アカウントのユーザー名。デフォルト値は、クラスタ管理者のデフォルト名であるadminです。

-index

公開鍵のインデックス番号。デフォルト値は、アカウントに対して最初に作成された鍵では0、それ以外の場合は既存の一番大きいインデックス番号に1を加えた値です。

-publickey

OpenSSH公開鍵。鍵は二重引用符(")で囲む必要があります。

-role

アカウントに割り当てられているアクセス制御ロール。

-comment

(オプション)公開鍵についての説明。テキストを二重引用符(")で囲む必要があります。

-x509-certificate

(オプション)ONTAP 9.13.1以降では、X.509証明書とSSH公開鍵の関連付けを管理できます。

X.509証明書をSSH公開鍵に関連付けると、証明書が有効かどうかをSSHログイン時にONTAPがチェックします。証明書の有効期限が切れている、または証明書が失効している場合、ログインは許可されず、関連付けられているSSH公開鍵は無効になります。有効な値は次のとおりです。

  • install:PEMでエンコードされたX.509証明書を指定してインストールし、SSH公開鍵に関連付けます。インストールする証明書の完全なテキストを指定してください。

  • modify:PEMでエンコードされた既存のX.509証明書を指定した証明書に更新し、SSH公開鍵に関連付けます。新しい証明書の完全なテキストを指定してください。

  • delete:既存のX.509証明書のSSH公開鍵との関連付けを削除します。

CA署名済みサーバー デジタル証明書のインストール

次の値は、security certificate generate-csrコマンドで、Storage VMをSSLサーバーとして認証する際に使用する証明書署名要求(CSR)を生成するときに指定します。

フィールド

説明

設定値

-common-name

証明書の名前。完全修飾ドメイン名(FQDN)またはカスタム共通名を指定できます。

-size

秘密鍵のビット数。この値が高いほど、鍵のセキュリティは向上します。デフォルト値は2048です。有効な値は、51210241536、および2048です。

-country

Storage VMが設置されている国の2文字のコード。デフォルト値はUSです。コードの一覧については、マニュアル ページを参照してください。

-state

Storage VMが設置されている都道府県。

-locality

Storage VMが設置されている市区町村。

-organization

Storage VMを管理している組織。

-unit

Storage VMを管理している組織内の部門。

-email-addr

Storage VMの管理担当者のEメール アドレス。

-hash-function

証明書の署名に使用する暗号化ハッシュ関数。デフォルト値はSHA256です。有効な値は、SHA1SHA256、およびMD5です。

次の値は、security certificate installコマンドで、クラスタまたはStorage VMをSSLサーバーとして認証する際に使用するCA署名済みデジタル証明書をインストールするときに指定します。次の表には、アカウント設定に関連するオプションのみを記載します。

フィールド

説明

設定値

-vserver

証明書をインストールするStorage VMの名前。

-type

証明書のタイプ。

  • server - サーバー証明書および中間証明書

  • client-ca - SSLクライアントのルートCAの公開鍵証明書

  • server-ca - ONTAPがクライアントであるSSLサーバーのルートCAの公開鍵証明書

  • client - ONTAPをSSLクライアントとして使用するための自己署名またはCA署名のデジタル証明書と秘密鍵

Active Directoryドメイン コントローラー アクセスの設定

次の値は、データStorage VM用のSMBサーバーを設定済みで、security login domain-tunnel createコマンドで、Active Directoryドメイン コントローラーからクラスタへのアクセス用にStorage VMをゲートウェイまたは_トンネル_として設定するときに指定します。

フィールド

説明

設定値

-vserver

SMBサーバーが設定されているStorage VMの名前。

次の値は、SMBサーバーを設定していない場合に、vserver active-directory createコマンドで、Active DirectoryドメインにStorage VMコンピューター アカウントを作成するときに指定します。

フィールド

説明

設定値

-vserver

Active Directoryコンピューター アカウントを作成するStorage VMの名前。

-account-name

コンピューター アカウントのNetBIOS名。

-domain

完全修飾ドメイン名(FQDN)。

-ou

ドメイン内の組織単位。デフォルト値はCN=Computersです。この値がドメイン名に付加されて、Active Directory識別名が生成されます。

LDAPサーバーまたはNISサーバーのアクセスの設定

次の値は、vserver services name-service ldap client createコマンドでStorage VMのLDAPクライアント設定を作成するときに指定します。

次の表には、アカウント設定に関連するオプションのみを記載します。

フィールド

説明

設定値

-vserver

クライアント設定のStorage VMの名前。

-client-config

クライアント設定の名前。

-ldap-servers

クライアントが接続するLDAPサーバーのIPアドレスおよびホスト名をカンマで区切ったリスト。

-schema

クライアントがLDAPクエリの作成に使用するスキーマ。

-use-start-tls

クライアントがLDAPサーバーとの通信をStart TLSを使用して暗号化するかどうか(trueまたはfalse)。

Start TLSは、データStorage VMへのアクセスでのみサポートされます。管理Storage VMへのアクセスではサポートされません。

次の値は、vserver services name-service ldap createコマンドでLDAPクライアント設定をStorage VMに関連付けるときに指定します。

フィールド

説明

設定値

-vserver

クライアント設定を関連付けるStorage VMの名前。

-client-config

クライアント設定の名前。

-client-enabled

Storage VMがLDAPクライアント設定を使用できるかどうか(trueまたはfalse)。

次の値は、vserver services name-service nis-domain createコマンドでStorage VMにNISドメイン設定を作成するときに指定します。

フィールド

説明

設定値

-vserver

ドメイン設定を作成するStorage VMの名前。

-domain

ドメインの名前。

-active

ドメインがアクティブかどうか(trueまたはfalse)。

次の値は、vserver services name-service ns-switch createコマンドでネーム サービス ソースの参照順序を指定するときに指定します。

フィールド

説明

設定値

-vserver

ネーム サービスの参照順序を設定するStorage VMの名前。

-database

ネーム サービス データベース。

  • hosts - ファイルおよびDNSの各ネーム サービス

  • group - ファイル、LDAP、およびNISの各ネーム サービス

  • passwd - ファイル、LDAP、およびNISの各ネーム サービス

  • netgroup - ファイル、LDAP、およびNISの各ネーム サービス

  • namemap - ファイルおよびLDAPの各ネーム サービス

-sources

ネーム サービス ソースを参照する順序(カンマで区切ったリスト)。

  • files

  • dns

  • ldap

  • nis

SAMLアクセスの設定

フィールド

説明

設定値

-idp-uri

アイデンティティー プロバイダー(IdP)メタデータをダウンロード可能な、IdPホストのFTPまたはHTTPアドレス。

-sp-host

SAMLサービス プロバイダー ホスト(ONTAPシステム)のホスト名またはIPアドレス。デフォルトでは、クラスタ管理LIFのIPアドレスが使用されます。

-cert-ca-cert-serial、または-cert-common-name

サービス プロバイダー ホスト(ONTAPシステム)のサーバー証明書の詳細。サービス プロバイダーの証明書の発行元認証局(CA)と証明書のシリアル番号、またはサーバー証明書を入力できます。

-verify-metadata-server

IdPメタデータ サーバーのアイデンティティーを検証するかどうか(trueまたはfalse)。この値は常にtrueに設定することを推奨します。

Top of Page