エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

多要素認証の有効化

多要素認証(MFA)では、管理SVMやデータSVMにログインする際にユーザーに2つの認証方式を要求することで、セキュリティを強化できます。

タスク概要
  • このタスクを実行するには、クラスタ管理者である必要があります。

  • ログイン アカウントに割り当てるアクセス制御ロールが確定していない場合は、あとでsecurity login modifyコマンドを使用してロールを追加できます。

  • 認証に公開鍵を使用している場合、アカウントがSVMにアクセスするためには、アカウントに公開鍵を関連付けておく必要があります。

    このタスクは、アカウント アクセスを有効にする前後どちらでも実行できます。

  • ONTAP 9.12.1以降では、FIDO2(Fast Identity Online)またはPIV(Personal Identity Verification)認証標準を使用して、SSHクライアントMFAにYubikeyハードウェア認証デバイスを使用できます。

SSH公開鍵とユーザー パスワードを使用するMFAの有効化

ONTAP 9.3以降、クラスタ管理者は、SSH公開鍵とユーザー パスワードを使用してMFAでログインするようにローカル ユーザー アカウントを設定できます。

  1. ローカル ユーザー アカウントに対して、SSH公開鍵とユーザーパスワードを使用するMFAを有効化します。

    security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method <password|publickey> -role admin -second-authentication-method <password|publickey>

    次のコマンドでは、事前定義されたadminロールのSVM管理者アカウントadmin2に対し、SSH公開鍵とユーザー パスワードの両方を使用してSVM engData1にログインする必要があります。

    cluster-1::> security login create -vserver engData1 -user-or-group-name admin2 -application ssh -authentication-method publickey -role admin -second-authentication-method password
    
    Please enter a password for user 'admin2':
    Please enter it again:
    Warning: To use public-key authentication, you must create a public key for user "admin2".

TOTPを使用するMFAの有効化

ONTAP 9.13.1以降では、ローカル ユーザーが管理SVMやデータSVMにログインする際に、SSH公開鍵かユーザー パスワードと、Time-based One-Time Password(TOTP)の両方を使用するように要求することで、セキュリティを強化できます。アカウントに対してTOTPを使用するMFAを有効にしたあと、ローカル ユーザーがログインして設定を完了する必要があります。

TOTPは、現在の時刻を使用してワンタイム パスワードを生成するコンピューター アルゴリズムです。 TOTPは、必ずSSH公開鍵またはユーザー パスワードに続く第2の認証方式として使用します。

開始する前に

これらのタスクを実行するには、ストレージ管理者である必要があります。

手順

第1の認証方式にユーザー パスワードまたはSSH公開鍵を使用し、第2の認証方式にTOTPを使用するようにMFAを設定できます。

ユーザー パスワードとTOTPを使用するMFAの有効化
  1. ユーザー アカウントに対して、ユーザー パスワードとTOTPを使用する多要素認証を有効化します。

    新しいユーザー アカウントの場合

    security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>

    既存のユーザー アカウントの場合

    security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>
  2. TOTPを使用するMFAが有効になっていることを確認します。

    security login show
SSH公開鍵とTOTPを使用するMFAの有効化
  1. SSH公開鍵とTOTPを使用する多要素認証を有効化します。

    新しいユーザー アカウントの場合

    security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>

    既存のユーザー アカウントの場合

    security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>
  2. TOTPを使用するMFAが有効になっていることを確認します。

    security login show
終了後の操作
Top of Page