エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

管理者アカウントのSSH公開鍵とX.509証明書の管理

管理者アカウントを使用してSSH認証のセキュリティを強化するために、security login publickeyのコマンド セットでSSH公開鍵を管理したり、SSH公開鍵のX.509証明書との関連付けを管理したりできます。

公開鍵とX.509証明書の管理者アカウントへの関連付け

ONTAP 9.13.1以降では、管理者アカウントに関連付ける公開鍵にX.509証明書を関連付けることができます。これにより、アカウントのSSHログイン時に証明書の期限切れや失効がチェックされ、セキュリティが強化されます。

タスク概要

SSH公開鍵とX.509証明書の両方を使用してSSH経由でアカウントを認証する場合、ONTAPは、SSH公開鍵を使用した認証の前にX.509証明書の有効性をチェックします。証明書の有効期限が切れている、または証明書が失効している場合、SSHログインは拒否され、公開鍵は自動的に無効になります。

開始する前に
  • このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。

  • SSHキーを生成しておく必要があります。

  • X.509証明書の期限切れのみをチェックする必要がある場合は、自己署名証明書を使用できます。

  • X.509証明書の期限切れと失効をチェックする必要がある場合は、次の手順を実行します。

    • 認証局(CA)から証明書を受け取っておく必要があります。

    • 証明書チェーン(中間証明書とルートのCA証明書)を、security certificate installコマンドを使用してインストールする必要があります。

    • SSH用にOCSPを有効にする必要があります。手順については、「^デジタル証明書が有効であることの確認(OCSPを使用)」を参照してください。

手順
  1. 公開鍵とX.509証明書を管理者アカウントに関連付けます。

    security login publickey create -vserver SVM_name -username user_name -index index -publickey certificate -x509-certificate install

    完全なコマンド構文については、「管理者認証とRBAC設定用のワークシート」を参照してください。

  2. 公開鍵を表示して変更内容を確認します。

    security login publickey show -vserver SVM_name -username user_name -index index

次のコマンドは、SVMengData2のSVM管理者アカウントsvmadmin2に、公開鍵とX.509証明書を関連付けます。公開鍵にはインデックス番号は6が割り当てられます。

cluster1::> security login publickey create -vserver engData2 -username svmadmin2 -index 6 -publickey
"<key text>" -x509-certificate install
Please enter Certificate: Press <Enter> when done
<certificate text>

管理者アカウントのSSH公開鍵から、証明書の関連付けを削除します。

公開鍵は保持したまま、アカウントのSSH公開鍵から現在の証明書との関連付けを削除できます。

開始する前に

このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。

手順
  1. 管理者アカウントからX.509証明書の関連付けを削除し、既存のSSH公開鍵を保持します。

    security login publickey modify -vserver SVM_name -username user_name -index index -x509-certificate delete

  2. 公開鍵を表示して変更内容を確認します。

    security login publickey show -vserver SVM_name -username user_name -index index

次のコマンドは、SVMengData2のSVM管理者アカウントsvmadmin2から、インデックス番号6にあるX.509証明書の関連付けを削除します。

cluster1::> security login publickey modify -vserver engData2 -username svmadmin2 -index 6 -x509-certificate delete

管理者アカウントからの公開鍵と証明書の関連付けの削除

アカウントから、現在の公開鍵と証明書の設定を削除できます。

開始する前に

このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。

手順
  1. 管理者アカウントから、公開鍵とX.509証明書の関連付けを削除します。

    security login publickey delete -vserver SVM_name -username user_name -index index

  2. 公開鍵を表示して変更内容を確認します。

    security login publickey show -vserver SVM_name -username user_name -index index

次のコマンドは、SVMengData3のSVM管理者アカウントsvmadmin3から、インデックス番号7にある公開鍵とX.509証明書を削除します。

cluster1::> security login publickey delete -vserver engData3 -username svmadmin3 -index 7
Top of Page