エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

管理者承認グループの管理

マルチ管理者認証(MAV)を有効にする前に、承認または拒否の権限が付与された1人以上の管理者を含む管理者承認グループを作成する必要があります。マルチ管理者認証を有効にした場合、承認グループのメンバーシップを変更するには、認定された既存のいずれかの管理者の承認が必要です。

タスク概要

既存の管理者をMAVグループに追加するか、または新しい管理者を作成できます。

MAV機能は、既存のロールベース アクセス制御(RBAC)設定に従います。MAV管理者グループに追加する管理者には、保護対象処理を実行するための十分な権限が割り当てられている必要があります。RBAC に関する詳細情報

承認要求が保留中であることをMAV管理者に通知するようにMAVを設定できます。そのためには、Eメール通知(特にMail FromパラメーターとMail Serverパラメーター)を設定する必要があります。または、これらのパラメーターをクリアして通知を無効にすることもできます。Eメール アラートが送信されない場合、MAV管理者は承認キューを手動で確認する必要があります。

ONTAP System Managerの手順

MAV承認グループを初めて作成する場合は、ONTAP System Managerの手順を参照してマルチ管理者認証を有効にしてください。

既存の承認グループを変更する、または追加の承認グループを作成するには、次の手順を実行します。

  1. マルチ管理者認証の対象となる管理者を特定します。

    1. [クラスター] > [設定] をクリックします。

    2. [ユーザとロール] の横にあるblue arrow iconをクリックします。

    3. [ユーザ] の下にある追加アイコンをクリックします。

    4. 必要に応じて内容を変更します。

      詳細については、管理者アクセスの制御を参照してください。

  2. MAV承認グループを作成または変更します。

    1. [クラスター] > [設定] をクリックします。

    2. [セキュリティ] セクションの [マルチ管理者承認] の横にあるblue arrow iconをクリックします。 (MAVがまだ設定されていない場合は、gear iconアイコンが表示されます。)

      • 名前:グループ名を入力します。

      • 承認者:ユーザーのリストから承認者を選択します。

      • Eメールアドレス:Eメールアドレスを入力します。

      • デフォルトグループ:グループを選択します。

MAVを有効にしたあとで既存の設定を編集するには、MAVの承認が必要です。

CLIの手順

  1. Mail FromパラメーターとMail Serverパラメーターに値が設定されていることを確認します。次のコマンドを入力します。

    event config show

    次のような出力が表示されます。

    cluster01::> event config show
                               Mail From:  admin@localhost
                             Mail Server:  localhost
                               Proxy URL:  -
                              Proxy User:  -
     Publish/Subscribe Messaging Enabled:  true

    これらのパラメーターを設定するには、次のように入力します。

    event config modify -mail-from email_address -mail-server server_name

  2. マルチ管理者認証の対象となる管理者を特定します。

    目的 入力するコマンド

    現在の管理者を表示する

    security login show

    現在の管理者のクレデンシャルを変更する

    security login modify <parameters>

    新しい管理者アカウントを作成する

    security login create -user-or-group-name admin_name -application ssh -authentication-method password

  3. MAV承認グループを作成します。

    security multi-admin-verify approval-group create [ -vserver svm_name] -name group_name -approvers approver1[,approver2…] [[-email address1], address1…​]

    • -vserver - このリリースでサポートされるのは管理SVMのみです。

    • -name - MAVグループ名(最大64文字)。

    • -approvers - 1人以上の承認者のリスト。

    • -email - 要求の作成、承認、拒否、または実行時に通知する1つ以上のEメール アドレス。

      例: 次のコマンドは、2人のメンバーとそのEメール アドレスを使用してMAVグループを作成します。

      cluster-1::> security multi-admin-verify approval-group create -name mav-grp1 -approvers pavan,julia -email pavan@myfirm.com,julia@myfirm.com
  4. グループの作成とメンバーシップを確認します。

    security multi-admin-verify approval-group show

    例:

    cluster-1::> security multi-admin-verify approval-group show
    Vserver  Name        Approvers        Email
    -------  ---------------- ------------------  ------------------------------------------------------------
    svm-1    mav-grp1   pavan,julia      email pavan@myfirm.com,julia@myfirm.com

MAVグループの初期設定を変更するには、次のコマンドを使用します。

注: どのコマンドも実行前にMAV管理者の承認が必要です。

目的 入力するコマンド

グループの設定を変更する、または既存のメンバー情報を変更する

security multi-admin-verify approval-group modify [parameters]

メンバーを追加または削除する

security multi-admin-verify approval-group replace [-vserver svm_name] -name group_name [-approvers-to-add approver1[,approver2…]][-approvers-to-remove approver1[,approver2…]]

グループを削除する

security multi-admin-verify approval-group delete [-vserver svm_name] -name group_name

Top of Page