エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

SSHログイン用のCisco Duo 2FAの設定

ONTAP 9.14.1以降では、SSHログイン時の2要素認証(2FA)にCisco Duoを使用するようにONTAPを設定できます。Duoはクラスタ レベルで設定し、設定はデフォルトですべてのユーザー アカウントに適用されます。代わりに、DuoをStorage VM(旧称Vserver)レベルで設定することもできます。その場合は、そのStorage VMのユーザーのみに適用されます。Duoを有効にして設定すると、すべてのユーザーの既存の方式を補完する追加の認証方式として機能します。

SSHログインでDuo認証を有効にした場合、ユーザーは次回のSSHを使用したログインの際に、デバイスを登録する必要があります。登録の詳細については、Cisco Duoのhttps://guide.duo.com/add-device[登録マニュアル^]を参照してください。

ONTAPのコマンドライン インターフェイスで実行できるCisco Duo関連のタスクは次のとおりです。

Cisco Duoの設定

クラスタ全体または特定のStorage VM(ONTAP CLIではvserver)のCisco Duo設定を作成するには、security login duo createコマンドを使用します。作成が完了すると、対象のクラスタまたはStorage VMのSSHログインでCisco Duoが有効になります。

手順
  1. Cisco Duo管理パネルにログインします。

  2. [Applications] > [UNIX Application]に移動します。

  3. 統合キー、シークレット キー、APIホスト名を記録します。

  4. SSHを使用して、ONTAPアカウントにログインします。

  5. このStorage VMのCisco Duo認証を有効にします。山括弧内の値は、使用する環境の情報に置き換えてください。

    security login duo create \
    -vserver <STORAGE_VM_NAME> \
    -integration-key <INTEGRATION_KEY> \
    -secret-key <SECRET_KEY> \
    -apihost <API_HOSTNAME>

    このコマンドの必須パラメーターとオプション パラメーターの詳細については、「管理者認証とRBAC設定用のワークシート」を参照してください。

Cisco Duoの設定の変更

Cisco Duoでのユーザー認証の方法(求められる認証プロンプトの数、使用されるHTTPプロキシなど)を変更できます。Storage VM(ONTAP CLIではvserver)のCisco Duo設定を変更する必要がある場合は、security login duo modifyコマンドを使用します。

手順
  1. Cisco Duo管理パネルにログインします。

  2. [Applications] > [UNIX Application]に移動します。

  3. 統合キー、シークレット キー、APIホスト名を記録します。

  4. SSHを使用して、ONTAPアカウントにログインします。

  5. このStorage VMのCisco Duo設定を変更します。山括弧内の値は、使用する環境の新しい情報に置き換えてください。

    security login duo modify \
    -vserver <STORAGE_VM_NAME> \
    -integration-key <INTEGRATION_KEY> \
    -secret-key <SECRET_KEY> \
    -apihost <API_HOSTNAME> \
    -pushinfo true|false \
    -http-proxy <HTTP_PROXY_URL> \
    -autopush true|false \
    -prompts 1|2|3 \
    -max-unenrolled-logins <NUM_LOGINS> \
    -is-enabled true|false \
    -fail-mode safe|secure

Cisco Duoの設定の削除

Cisco Duo設定は削除できます。削除すると、SSHユーザーがログイン時にDuoを使用して認証を行う必要がなくなります。Storage VM(ONTAP CLIではvserver)のCisco Duo設定を削除するには、security login duo deleteコマンドを使用します。

手順
  1. SSHを使用して、ONTAPアカウントにログインします。

  2. このStorage VMのCisco Duo設定を削除します。<STORAGE_VM_NAME>は、設定を削除するStorage VMの名前に置き換えてください。

    security login duo delete  -vserver <STORAGE_VM_NAME>

    これにより、このStorage VMのCisco Duo設定が完全に削除されます。

Cisco Duoの設定の表示

Storage VM(ONTAP CLIではvserver)の既存のCisco Duo設定を表示するには、security login duo showコマンドを使用します。

手順
  1. SSHを使用して、ONTAPアカウントにログインします。

  2. このStorage VMのCisco Duo設定を表示します。必要に応じて、vserverパラメーターを使用してStorage VMを指定できます。その場合、<STORAGE_VM_NAME>はStorage VMの名前に置き換えてください。

    security login duo show -vserver <STORAGE_VM_NAME>

    次のような出力が表示されます。

    Vserver: testcluster
    Enabled: true
    
    Status: ok
    INTEGRATION-KEY: DI89811J9JWMJCCO7IOH
    SKEY SHA Fingerprint:
    b79ffa4b1c50b1c747fbacdb34g671d4814
    API Host: api-host.duosecurity.com
    Autopush: true
    Push info: true
    Failmode: safe
    Http-proxy: 192.168.0.1:3128
    Prompts: 1
    Comments: -

Duoグループの作成

Cisco Duoでは、特定のActive Directory / LDAP / ローカル ユーザー グループのユーザーのみをDuo認証プロセスの対象にするように設定できます。Duoグループを作成すると、そのグループ内のユーザーのみがDuo認証を求められます。Duoグループを作成するには、security login duo group createコマンドを使用します。グループを作成する際に、必要に応じて、グループ内の特定のユーザーをDuo認証プロセスの対象から除外できます。

手順
  1. SSHを使用して、ONTAPアカウントにログインします。

  2. Duoグループを作成します。山括弧内の値は、使用する環境の情報に置き換えてください。-vserverパラメーターを省略すると、グループがクラスタ レベルで作成されます。

    security login duo group create -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -exclude-users <USER1, USER2>

    Duoグループの名前は、Active Directory / LDAP / ローカル グループと一致している必要があります。オプションの-exclude-usersパラメーターで指定したユーザーは、Duo認証プロセスの対象にならなくなります。

Duoグループの表示

既存のCisco Duoグループ エントリを表示するには、security login duo group showコマンドを使用します。

手順
  1. SSHを使用して、ONTAPアカウントにログインします。

  2. Duoグループ エントリを表示します。山括弧内の値は、使用する環境の情報に置き換えてください。-vserverパラメーターを省略すると、グループがクラスタ レベルで表示されます。

    security login duo group show -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -exclude-users <USER1, USER2>

    Duoグループの名前は、Active Directory / LDAP / ローカル グループと一致している必要があります。オプションの-exclude-usersパラメーターで指定したユーザーは、表示されません。

Duoグループの削除

Duoグループ エントリを削除するには、security login duo group deleteコマンドを使用します。グループを削除すると、そのグループのユーザーは、Duo認証プロセスの対象にならなくなります。

手順
  1. SSHを使用して、ONTAPアカウントにログインします。

  2. Duoグループ エントリを削除します。山括弧内の値は、使用する環境の情報に置き換えてください。-vserverパラメーターを省略すると、グループがクラスタ レベルで削除されます。

    security login duo group delete -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME>

    Duoグループの名前は、Active Directory / LDAP / ローカル グループと一致している必要があります。

ユーザーのDuo認証のバイパス

すべてのユーザーか特定のユーザーを、Duo SSH認証プロセスから除外できます。

すべてのDuoユーザーの除外

すべてのユーザーについて、Cisco Duo SSH認証を無効にできます。

手順
  1. SSHを使用して、ONTAPアカウントにログインします。

  2. SSHユーザーのCisco Duo認証を無効にします。<STORAGE_VM_NAME>は、Vserver名に置き換えてください。

    security login duo -vserver <STORAGE_VM_NAME> -is-duo-enabled-false

Duoグループ ユーザーの除外

Duoグループに含まれる特定のユーザーを、Duo SSH認証プロセスから除外できます。

手順
  1. SSHを使用して、ONTAPアカウントにログインします。

  2. グループ内の特定のユーザーのCisco Duo認証を無効にします。山括弧内の値は、それぞれ除外するグループ名やユーザー リストに置き換えてください。

    security login group modify -group-name <GROUP_NAME> -exclude-users <USER1, USER2>

    Duoグループの名前は、Active Directory / LDAP / ローカル グループと一致している必要があります。-exclude-usersパラメーターで指定したユーザーは、Duo認証プロセスの対象にならなくなります。

ローカルDuoユーザーの除外

Cisco Duo管理パネルを使用すれば、特定のローカル ユーザーをDuo認証の使用対象から除外できます。手順については、Cisco Duoのマニュアルを参照してください。

Top of Page