エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

SSHを使用したクラスタへのアクセス

クラスタにSSH要求を発行することで、管理タスクを実行できます。SSHはデフォルトでは有効になっています。

開始する前に
  • アクセス方法としてsshを使用するように設定されたユーザー アカウントを持っている必要があります。

    security loginコマンドの-applicationパラメーターで、ユーザー アカウントのアクセス方法を指定します。security loginマニュアル ページには詳細な情報が記載されています。

  • Active Directory(AD)のドメイン ユーザー アカウントを使用してクラスタにアクセスする場合は、CIFS対応のStorage VMでクラスタの認証トンネルが設定されている必要があり、さらにADのドメイン ユーザー アカウントがアクセス方法としてsshを、および認証方式としてdomainを用い、クラスタに追加されている必要があります。

  • IPv6接続を使用する場合は、クラスタ上でIPv6が設定されて有効化され、さらにファイアウォール ポリシーにIPv6アドレスが設定されている必要があります。

    IPv6が有効になっているかは、network options ipv6 showコマンドで表示できます。ファイアウォール ポリシーを表示するには、system services firewall policy showコマンドを使用します。

タスク概要
  • OpenSSH 5.7以降のクライアントを使用する必要があります。

  • サポートされているプロトコルはSSH v2だけです。SSH v1はサポートされていません。

  • ONTAPでは、1つのノードについて同時に最大64のSSHセッションがサポートされています。

    クラスタ管理LIFがノード上に存在する場合、クラスタ管理LIFはこの制限をノード管理LIFと共有します。

    着信接続が1秒あたり10件を超えると、サービスは一時的に60秒間無効になります。

  • ONTAPでは、SSHに対してAESおよび3DES暗号化アルゴリズム(暗号とも呼ばれる)のみがサポートされています。

    AESでは、128ビット、192ビット、256ビットのキーの長さがサポートされます。3DESのキーの長さはDES同様に56ビットですが、3回繰り返されます。

  • FIPSモードが有効な場合、SSHクライアントを接続するには、Elliptic Curve Digital Signature Algorithm(ECDSA)公開キー アルゴリズムとネゴシエートする必要があります。

  • ONTAP CLIにWindowsホストからアクセスする場合は、PuTTYなどのサードパーティのユーティリティーを使用できます。

  • Windows ADユーザー名を使用してONTAPにログインする場合、ONTAPでADユーザー名とドメイン名が作成されたときと同じように大文字と小文字を区別する必要があります。

    ADのユーザー名とドメイン名では、大文字と小文字は区別されませんが、ONTAPではユーザー名の大文字と小文字が区別されます。ONTAPで作成されたユーザー名と、ADで作成されたユーザー名の大文字小文字表記が違うと、ログインに失敗します。

SSH認証オプション
  • ONTAP 9.7以降では、ローカル管理者アカウントに対してSSH多要素認証を有効にすることができます。

    SSH多要素認証が有効な場合は、公開鍵とパスワードを使用してユーザーが認証されます。

  • ONTAP 9.7以降では、LDAPおよびNISのリモート ユーザーに対してSSH多要素認証を有効にすることができます。

  • ONTAP 9.13.1以降では、必要に応じてSSH認証プロセスに証明書の検証を追加して、ログインのセキュリティを強化できます。この操作を行うには、アカウントが使用する公開鍵にX.509証明書を関連付けます。SSH公開鍵とX.509証明書の両方を使用してSSH経由でログインすると、ONTAPは、SSH公開鍵による認証前にX.509証明書の有効性をチェックします。証明書が期限切れになっているか失効している場合、SSHログインは拒否され、SSH公開鍵は自動的に無効になります。

  • ONTAP 9.14.1以降では、ONTAP管理者はCisco Duo 2要素認証をSSH認証プロセスに追加して、ログイン セキュリティを強化できます。Cisco Duo認証を有効にしたあとの初回ログイン時に、ユーザーはSSHセッションのオーセンティケータとして機能するデバイスを登録する必要があります。

  • ONTAP 9.15.1以降では、管理者は動的許可を設定し、SSHユーザーの信頼スコアに基づいてユーザーに追加のアダプティブ認証を提供できます。

手順
  1. ONTAPクラスタのネットワークにアクセスできるホストから、次のいずれかの形式でsshコマンドを入力します。

    • ssh username@hostname_or_IP [command]*

    • ssh -l username hostname_or_IP [command]*

ADのドメイン ユーザー アカウントを使用している場合は、usernamedomainname\\AD_accountname(ドメイン名のあとにバックスラッシュ2つ)またはdomainname\AD_accountname(二重引用符で囲み、ドメイン名のあとにバックスラッシュ1つ)の形式で指定する必要があります。

hostname_or_IPは、クラスタ管理LIFまたはノード管理LIFのホスト名またはIPアドレスです。クラスタ管理LIFを使用することを推奨します。IPv4またはIPv6アドレスを使用できます。

SSHインタラクティブ セッションの場合、commandは必要ありません。

SSH要求の例

次の例は、「joe」という名前のユーザー アカウントでSSH要求を発行し、クラスタ管理LIFが10.72.137.28のクラスタにアクセスする方法を示しています。

$ ssh joe@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

次の例は、「DOMAIN1」という名前のドメインの「john」という名前のユーザー アカウントでSSH要求を発行し、クラスタ管理LIFが10.72.137.28のクラスタにアクセスする方法を示しています。

$ ssh DOMAIN1\\john@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

次の例は、「joe」という名前のユーザー アカウントでSSH MFA要求を発行し、クラスタ管理LIFが10.72.137.32のクラスタにアクセスする方法を示しています。

$ ssh joe@10.72.137.32
Authenticated with partial success.
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
関連情報

管理者認証とRBAC

Top of Page