エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

動的許可の有効化と無効化

ONTAP 9.15.1以降では、管理者は設定をテストするvisibilityモードと、SSH経由で接続するCLIユーザーに対して設定を適用するenforcedモードのいずれかで動的許可を設定し、有効化できます。動的許可が不要な場合は無効化することもできます。動的許可を無効化した場合でも、設定内容は維持され、あとで再び有効化する際に再利用できます。

security dynamic-authorization modifyコマンドのパラメーターの詳細については、ONTAPマニュアル ページを参照してください。

テスト目的での動的許可の有効化

visibilityモードで動的許可を有効化すると、ユーザーを誤ってロック アウトする事態を防ぎつつ、機能のテストを行えます。このモードでは、すべての制限対象操作で信頼スコアがチェックされますが、適用はされません。ただし、動的許可の有効時に拒否または追加認証チャレンジの対象となるすべての操作が記録されます。ベストプラクティスとして、目的の設定を適用する前に、このモードでテストすることが推奨されます。

動的許可を一度も設定していない場合でも、初めて動的許可を有効化する際はこの手順を実施することをお勧めします。実際の環境に合わせて独自の動的許可設定を構成する手順については、「動的許可のカスタマイズ」を参照してください。
手順
  1. グローバル設定を構成し、動的許可の状態をvisibilityに変更して、visibilityモードでこの機能を有効化します。-vserverパラメーターを使用しない場合、コマンドはクラスタ レベルで実行されます。角括弧(<>)内の値は環境に合わせて変更してください。太字のパラメーターは必須です。

    security dynamic-authorization modify \
    -state visibility \
    -lower-challenge-boundary <percent> \
    -upper-challenge-boundary <percent> \
    -suppression-interval <interval> \
    -vserver <storage_VM_name>
  2. showコマンドでグローバル設定の内容を表示し、結果を確認します。

    security dynamic-authorization show

enforcedモードでの動的許可の有効化

enforcedモードで動的許可を有効化できます。通常、このモードはvisibilityモードでのテスト実施後に使用します。このモードでは、すべての制限対象操作で信頼スコアがチェックされ、制限条件に該当する場合に操作制限が適用されます。抑制間隔も適用されるため、指定した間隔中は追加の認証チャレンジが行われません。

この手順では、visibilityモードで動的許可を設定および有効化していることを前提としています。まだ実施していない場合、先にこの前提手順を実施することを強く推奨します。
手順
  1. 動的許可の状態をenforcedに変更して、enforcedモードで有効化します。-vserverパラメーターを使用しない場合、コマンドはクラスタ レベルで実行されます。角括弧(<>)内の値は環境に合わせて変更してください。太字のパラメーターは必須です。

    security dynamic-authorization modify \
    -state enforced \
    -vserver <storage_VM_name>
  2. showコマンドでグローバル設定の内容を表示し、結果を確認します。

    security dynamic-authorization show

動的許可の無効化

追加した認証セキュリティが不要になった場合、動的許可を無効化できます。

手順
  1. 動的許可の状態をdisabledに変更して無効化します。-vserverパラメーターを使用しない場合、コマンドはクラスタ レベルで実行されます。角括弧(<>)内の値は環境に合わせて変更してください。太字のパラメーターは必須です。

    security dynamic-authorization modify \
    -state disabled \
    -vserver <storage_VM_name>
  2. showコマンドでグローバル設定の内容を表示し、結果を確認します。

    security dynamic-authorization show

次の手順

(オプション)環境に応じて、「動的許可のカスタマイズ」を参考に別の動的許可設定を構成します。

Top of Page