エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

Active Directoryアカウント アクセスの有効化

security login createコマンドを使用して、Active Directory(AD)のユーザー アカウントまたはグループ アカウントが管理またはデータSVMにアクセスできるようにすることができます。ADグループのすべてのユーザーは、グループに割り当てられたロールを使用してSVMにアクセスできます。

タスク概要
  • アカウントがSVMにアクセスするためには、ADドメイン コントローラーからクラスタまたはSVMへのアクセスを設定しておく必要があります。

    このタスクは、アカウント アクセスを有効にする前後どちらでも実行できます。

  • ONTAP 9.13.1以降では、ADユーザー パスワードと組み合わせる第1または第2の認証方式として、SSH公開鍵を使用できます。

    SSH公開鍵を第1の認証方式として使用することを選択した場合、AD認証は行われません。

  • ONTAP 9.11.1以降では、nsswitch認証にLDAP高速バインドを使用できます(AD LDAPサーバーでサポートされている場合)。

  • ログイン アカウントに割り当てるアクセス制御ロールが確定していない場合は、あとでsecurity login modifyコマンドを使用してロールを追加できます。

ADグループ アカウントによるアクセスは、SSHアプリケーションとontapiアプリケーション、restアプリケーションでのみサポートされます。ADグループは、多要素認証で一般的に使用されるSSH公開鍵認証ではサポートされません。
開始する前に
  • クラスタ時間とActive Directoryドメイン コントローラーの時刻を、誤差が5分以内となるように同期する必要があります。

  • このタスクを実行するには、クラスタ管理者である必要があります。

手順
  1. ADのユーザーまたはグループ管理者アカウントがSVMにアクセスできるようにします。

    ADユーザーの場合:

    ONTAPバージョン 第1の認証方式 第2の認証方式 コマンド

    9.13.1以降

    公開鍵

    なし

    security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method publickey -role <role>

    9.13.1以降

    ドメイン

    公開鍵

    新規ユーザーの場合

    security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method domain -second-authentication-method publickey -role <role>

    既存のユーザーの場合

    security login modify -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method domain -second-authentication-method publickey -role <role>

    9.7以降

    ドメイン

    なし

    security login create -vserver <svm_name> -user-or-group-name <user_name> -application <application> -authentication-method domain -role <role> -comment <comment> [-is-ldap-fastbind true]

    ADグループの場合:

    ONTAPのバージョン 第1の認証方式 第2の認証方式 コマンド

    9.7以降

    ドメイン

    なし

    security login create -vserver <svm_name> -user-or-group-name <user_name> -application <application> -authentication-method domain -role <role> -comment <comment> [-is-ldap-fastbind true]

    コマンド構文全体については、「管理者認証とRBAC設定用のワークシート」を参照してください。

終了後の操作

ADドメイン コントローラーからクラスタまたはSVMへのアクセスを設定していない場合は、アカウントがSVMにアクセスする前に設定しておく必要があります。

Top of Page