ONTAP 9 マニュアル ( CA08871-402 )

-vserver

アカウントがアクセスするStorage VMの名前。デフォルト値はクラスタの管理Storage VMの名前です。

-user-or-group-name

アカウントのユーザー名またはグループ名。グループ名を指定した場合、そのグループ内の各ユーザーのアクセスが有効になります。1つのユーザー名またはグループ名を複数のアプリケーションに関連付けることができます。

-application

Storage VMへのアクセスに使用するアプリケーション。

-authmethod

アカウントの認証に使用する認証方式。

-remote-switch-ipaddress

リモート スイッチのIPアドレス。リモート スイッチは、クラスタ スイッチ ヘルス モニタ（CSHM）で監視されるクラスタ スイッチ、またはMetroClusterヘルス モニタ（MCC-HM）で監視されるFibre Channel（FC）スイッチです。このオプションは、アプリケーションがsnmpで、認証方法がusmの場合にのみ使用できます。

-role

アカウントに割り当てられているアクセス制御ロール。

-comment

（オプション）アカウントについての説明。テキストを二重引用符（"）で囲む必要があります。

-is-ns-switch-group

アカウントがLDAPグループ アカウントか、またはNISグループ アカウントか（yesまたはno）。

-second-authentication-method

多要素認証を使用する場合の、第2の認証方式。

認証の順序は、常に公開鍵が先でパスワードがあとです。

-is-ldap-fastbind

ONTAP 9.11.1以降では、trueに設定すると、nsswitch認証に対してLDAP高速バインドが有効になります。デフォルトはfalseです。LDAP高速バインドを使用するには、-authentication-method値をnsswitchに設定する必要があります。nsswitch認証のLDAP高速バインドについては、こちらを参照してください。

-vserver

Duo認証設定を適用するStorage VM（ONTAP CLIではvserver）。

-integration-key

DuoにSSHアプリケーションを登録するときに取得した統合キー。

-secret-key

DuoにSSHアプリケーションを登録するときに取得したシークレット キー。

-api-host

DuoにSSHアプリケーションを登録するときに取得したAPIホスト名。例：

-fail-mode

サービスや構成に関するエラーが原因でDuo認証が利用できない状況が発生した場合の挙動。safe（アクセスを許可）とsecure（アクセスを拒否）のいずれかが選べます。デフォルトはsafeです。つまり、Duo APIサーバーにアクセスできないなどのエラーが原因でDuo認証が失敗した場合、認証がバイパスされます。

-http-proxy

指定されたHTTPプロキシを使用します。HTTPプロキシで認証が必要な場合は、プロキシURLにクレデンシャルを含めます。例：

-autopush

trueまたはfalse。デフォルトはfalseです。trueの場合、Duoからユーザーのスマートフォンにプッシュ ログイン要求が自動的に送信され、プッシュが使用できない場合は通話に戻ります。これにより、パスコード認証が実質的に無効になります。falseの場合、ユーザーは認証方式を選択するように求められます。

autopush = trueの設定にする場合には、max-prompts = 1の設定にすることが推奨されます。

-max-prompts

ユーザーが2つ目の要素での認証に失敗した場合、Duoからユーザーに再度認証を求めるプロンプトが表示されます。これは、アクセスが拒否される前にDuoから表示されるプロンプトの最大数を設定するためのオプションです。1、2、3のいずれかの値を指定する必要があります。デフォルト値は1です。

たとえばmax-prompts = 1の場合、ユーザーは最初に表示されたプロンプトで認証に成功する必要があり、max-prompts = 2の場合、ユーザーが最初に表示されたプロンプトで誤った情報を入力すると、改めて認証を求めるプロンプトが表示されます。

autopush = trueの設定にする場合には、max-prompts = 1の設定にすることが推奨されます。

できるだけ快適な利用環境を提供するには、publickey認証のみを使用するユーザーのmax-promptsは、常に1に設定します。

-enabled

Duo 2要素認証を有効にする。デフォルトでは、trueに設定されています。有効にすると、設定されているパラメーターに従って、SSHログイン時にDuo 2要素認証が要求されます。Duoが無効（設定がfalse）の場合、Duo認証は無視されます。

-pushinfo

アクセスしているアプリケーションやサービスの名前など、プッシュ通知に追加情報を提供するためのオプションです。これにより、ユーザーは正しいサービスにログインしていることを確認でき、セキュリティを強化できます。

-vserver

（オプション）ロールに関連付けられているStorage VM（ONTAP CLIではvserver）の名前。

-role

ロールの名前。

-cmddirname

ロールでアクセスできるコマンドまたはコマンド ディレクトリー。コマンド サブディレクトリーの名前は二重引用符（"）で囲む必要があります。例："volume snapshot"。すべてのコマンド ディレクトリーを指定する場合は、DEFAULTと入力する必要があります。

-access

（オプション）ロールのアクセス レベル。コマンド ディレクトリーの場合：

非組み込みコマンド（末尾がcreate、modify、delete、show以外のコマンド）の場合：

組み込みコマンドへのアクセスを許可または拒否するには、コマンド ディレクトリーを指定する必要があります。

-query

（オプション）アクセス レベルのフィルターリングに使用するクエリ オブジェクト。コマンドまたはコマンド ディレクトリー内のコマンドの有効なオプションの形式で指定します。クエリ オブジェクトは二重引用符（"）で囲む必要があります。たとえば、コマンド ディレクトリーがvolumeの場合、"-aggr aggr0" というクエリ オブジェクトを指定すると、aggr0アグリゲートについてのみアクセスが許可されます。

-vserver

（オプション）アカウントがアクセスするStorage VMの名前。

-username

アカウントのユーザー名。デフォルト値は、クラスタ管理者のデフォルト名であるadminです。

-index

公開鍵のインデックス番号。デフォルト値は、アカウントに対して最初に作成された鍵では0、それ以外の場合は既存の一番大きいインデックス番号に1を加えた値です。

-publickey

OpenSSH公開鍵。鍵は二重引用符（"）で囲む必要があります。

-role

アカウントに割り当てられているアクセス制御ロール。

-comment

（オプション）公開鍵についての説明。テキストを二重引用符（"）で囲む必要があります。

-x509-certificate

（オプション）ONTAP 9.13.1以降では、X.509証明書とSSH公開鍵の関連付けを管理できます。

X.509証明書をSSH公開鍵に関連付けると、証明書が有効かをSSHログイン時にONTAPがチェックします。証明書の有効期限が切れている、または証明書が失効している場合、ログインは許可されず、関連付けられているSSH公開鍵は無効になります。有効な値は次のとおりです。

-vserver

信頼スコア設定を変更するStorage VMの名前。このパラメーターを省略すると、クラスタ レベルの設定が使用されます。

-state

動的許可のモード。有効な値は次のとおりです。

-suppression-interval

指定した間隔にわたり追加の認証チャレンジを抑制します。間隔は、ISO-8601形式により1分～1時間の範囲で指定します。0に設定した場合、抑制間隔は無効になり、ユーザーは認証チャレンジが必要になるたびにチャレンジを求められます。

-lower-challenge-boundary

多要素認証（MFA）チャレンジ率の下限値。値の有効範囲は0～99です。値を100にするとすべてのリクエストが拒否されるため、この値は使用できません。デフォルト値は0です。

-upper-challenge-boundary

MFAチャレンジ率の上限値。値の有効範囲は0～100です。下限値以上の値を指定する必要があります。値を100にすると、すべてのリクエストが拒否されるか追加認証チャレンジの対象となるため、リクエストがチャレンジなしで許可されることがなくなります。デフォルト値は90です。

-common-name

証明書の名前。完全修飾ドメイン名（FQDN）またはカスタム共通名を指定できます。

-size

秘密鍵のビット数。この値が高いほど、鍵のセキュリティは向上します。デフォルト値は2048です。有効な値は、512、1024、1536、および2048です。

-country

Storage VMが設置されている国の2文字のコード。デフォルト値はUSです。コードの一覧については、マニュアル ページを参照してください。

-state

Storage VMが設置されている都道府県。

-locality

Storage VMが設置されている市区町村。

-organization

Storage VMを管理している組織。

-unit

Storage VMを管理している組織内の部門。

-email-addr

Storage VMの管理担当者のEメール アドレス。

-hash-function

証明書の署名に使用する暗号化ハッシュ関数。デフォルト値はSHA256です。有効な値は、SHA1、SHA256、およびMD5です。

-vserver

証明書をインストールするStorage VMの名前。

-type

証明書のタイプ。

-vserver

SMBサーバーが設定されているStorage VMの名前。

-vserver

Active Directoryコンピューター アカウントを作成するStorage VMの名前。

-account-name

コンピューター アカウントのNetBIOS名。

-domain

完全修飾ドメイン名（FQDN）。

-ou

ドメイン内の組織単位。デフォルト値はCN=Computersです。この値がドメイン名に付加されて、Active Directory識別名が生成されます。

-vserver

クライアント設定のStorage VMの名前。

-client-config

クライアント設定の名前。

-ldap-servers

クライアントが接続するLDAPサーバーのIPアドレスおよびホスト名をカンマで区切ったリスト。

-schema

クライアントがLDAPクエリの作成に使用するスキーマ。

-use-start-tls

クライアントがLDAPサーバーとの通信をStart TLSを使用して暗号化するか（trueまたはfalse）。

-vserver

クライアント設定を関連付けるStorage VMの名前。

-client-config

クライアント設定の名前。

-client-enabled

Storage VMがLDAPクライアント設定を使用できるか（trueまたはfalse）。

-vserver

ドメイン設定を作成するStorage VMの名前。

-domain

ドメインの名前。

-active

ドメインがアクティブか（trueまたはfalse）。

-vserver

ネーム サービスの参照順序を設定するStorage VMの名前。

-database

ネーム サービス データベース。

-sources

ネーム サービス ソースを参照する順序（カンマで区切ったリスト）。

-idp-uri

アイデンティティー プロバイダー（IdP）メタデータをダウンロード可能な、IdPホストのFTPまたはHTTPアドレス。

-sp-host

SAMLサービス プロバイダー ホスト（ONTAPシステム）のホスト名またはIPアドレス。デフォルトでは、クラスタ管理LIFのIPアドレスが使用されます。

-cert-caと-cert-serial、または-cert-common-name

サービス プロバイダー ホスト（ONTAPシステム）のサーバー証明書の詳細。サービス プロバイダーの証明書の発行元認証局（CA）と証明書のシリアル番号、またはサーバー証明書を入力できます。

-verify-metadata-server

IdPメタデータ サーバーのアイデンティティーを検証するか（trueまたはfalse）。この値は常にtrueに設定することを推奨します。