ONTAPをActive Directoryに参加させようとしたら時刻が狂ってて参加失敗した

ONTAPをActive Directoryに参加させようとしたら「Reason: SecD Error: no server available.」でエラーになった。

1ontap91::> vserver cifs create -cifs-server newsvm0 -domain adosakana.local -ou CN=Computers
2 
3In order to create an Active Directory machine account for the CIFS server, you
4must supply the name and password of a Windows account with sufficient
5privileges to add computers to the "CN=Computers" container within the
6"ADOSAKANA.LOCAL" domain.
7 
8Enter the user name: administrator
9 
10Enter the password:
11 
12Error: Machine account creation procedure failed
13  [    91] Loaded the preliminary configuration.
14  [   213] Created a machine account in the domain
15  [   214] Successfully connected to ip 172.17.44.49, port 445 using
16           TCP
17  [   249] Encountered NT error (NT_STATUS_MORE_PROCESSING_REQUIRED)
18           for SMB command SessionSetup
19  [   250] Cluster and Domain Controller times differ by more than
20           the configured clock skew (KRB5KRB_AP_ERR_SKEW)
21  [   250] Kerberos authentication failed with result: 7537.
22  [   258] Encountered NT error (NT_STATUS_MORE_PROCESSING_REQUIRED)
23           for SMB command SessionSetup
24  [   259] Cluster and Domain Controller times differ by more than
25           the configured clock skew (KRB5KRB_AP_ERR_SKEW)
26  [   259] Kerberos authentication failed with result: 7537.
27  [   259] Unable to connect to LSA service on
28           adserver.adosakana.local (Error:
29           RESULT_ERROR_KERBEROS_SKEW)
30  [   260] No servers available for MS_LSA, vserver: 2, domain:
31           adosakana.local.
32**[   260] FAILURE: Unable to make a connection (LSA:ADOSAKANA.LOCAL),
33**         result: 6940
34  [   260] Could not find Windows SID
35           'S-1-5-21-937304154-1581684492-536532533-512'
36  [   284] Deleted existing account
37           'CN=NEWSVM0,CN=Computers,DC=adosakana,DC=local'
38 
39Error: command failed: Failed to create the Active Directory machine account
40       "NEWSVM0". Reason: SecD Error: no server available.
41 
42ontap91::>

古いONTAPがActive Directoryに参加できない」や「ONTAP 9.5でsambaドメインに参加できない & ONTAP 9.7で失敗」の話かな?と思って対処してみるも変わらない

もしかして、と時刻を確認してみると、Active DirstoryサーバとONTAPとの時刻差が3分以上あった。

時計を合わせるとActive Directoryへの参加が成功した。

PowerShellから直接ssh接続でNetAppにログインして設定情報を取得してCSV化するスクリプト

先日「NetAppの設定内容をcsvファイルに出力したい」という記事で手動でやる手法について記載した。

最近のWindowsだと直接sshコマンドが実行できるようになっているので、NetApp側に公開鍵を登録して、パスワードなしでアクセスできるように設定した上で、PowerShellスクリプトを実行することで、設定をスクリプト化できないかを実施してみた。

とりあえず全項目とればいいか、と「-showallfields true」設定でやっているが、下記スクリプトはONTAP 9.10.1の場合のもので、バージョンが異なると全部の項目数が変わる可能性があるので、一度手動で「set -privilege admin -rows 0 -units GB -showallfields true ; vserver cifs share show”」を実行し、出力される項目名を確認しておくこと

1# タブ区切りのため `t を指定
2$count=0
3$flag=0
4$results=@()
5 
6$results=cmd /c ssh.exe -l admin NetAppクラスタ "set -privilege admin -rows 0 -showseparator `t -units GB -showallfields true ; vserver cifs share show" | ForEach-Object {
7    $line=$_.split("`t")
8    if(($line[0] -eq "vserver") -and ($flag -eq 0)){
9        $flag=1
10        $titlecount=$count
11    }
12    if(($flag -eq 1) -and ($count -gt ($titlecount+1))){
13        $output = New-Object -TypeName psobject
14        $output | Add-Member -MemberType NoteProperty -Name "vserver" -Value $line[0]
15        $output | Add-Member -MemberType NoteProperty -Name "share-name" -Value $line[1]
16        $output | Add-Member -MemberType NoteProperty -Name "cifs-server" -Value $line[2]
17        $output | Add-Member -MemberType NoteProperty -Name "path" -Value $line[3]
18        $output | Add-Member -MemberType NoteProperty -Name "share-properties" -Value $line[4]
19        $output | Add-Member -MemberType NoteProperty -Name "symlink-properties" -Value $line[5]
20        $output | Add-Member -MemberType NoteProperty -Name "file-umask" -Value $line[6]
21        $output | Add-Member -MemberType NoteProperty -Name "dir-umask" -Value $line[7]
22        $output | Add-Member -MemberType NoteProperty -Name "comment" -Value $line[8]
23        $output | Add-Member -MemberType NoteProperty -Name "acl" -Value $line[9]
24        $output | Add-Member -MemberType NoteProperty -Name "attribute-cache-ttl" -Value $line[10]
25        $output | Add-Member -MemberType NoteProperty -Name "volume" -Value $line[11]
26        $output | Add-Member -MemberType NoteProperty -Name "offline-file" -Value $line[12]
27        $output | Add-Member -MemberType NoteProperty -Name "vscan-fileop-profile" -Value $line[13]
28        $output | Add-Member -MemberType NoteProperty -Name "max-connections-per-share" -Value $line[14]
29        $output | Add-Member -MemberType NoteProperty -Name "force-group-for-create" -Value $line[15]
30        $output
31    }
32    $count++
33}
34 
35$results | Export-Csv test.csv -Encoding UTF8 -NoTypeInformation  -NoClobber

ONTAPのCIFSファイルサーバで複数のホスト名でアクセスできるようにしたい

ONTAPでCIFSファイルサーバを作る時、本来のホスト名とは違うホスト名でもアクセスできるようにしておきたい、ということがある。

(サーバ統合で2台が1台になるけど、どちらでも使える様にした、など)

NetAppの標準設定では、SVMをActive Directoryに参加させる際に指定したNetBIOS名とIPアドレスでのアクセス以外は受け付けないようになっている。

例えば、下記の様に「システムエラー 59」「予期しないネットワーク エラーが発生しました。」といったエラーが出力される。

1C:\Users\Administrator>net use \\winserver\testvol
2\\winserver\testvol のパスワードが無効です。
3 
4'winserver' のユーザー名を入力してください: ADOSAKANA\testuser1
5winserver のパスワードを入力してください:
6システム エラー 59 が発生しました。
7 
8予期しないネットワーク エラーが発生しました。
9 
10 
11C:\Users\Administrator>

SVMの設定を確認すると下記の様になっている。

1netapp9101::> vserver cifs show -ins
2                                          Vserver: svm0
3                         CIFS Server NetBIOS Name: SVM0
4                    NetBIOS Domain/Workgroup Name: ADOSAKANA
5                      Fully Qualified Domain Name: ADOSAKANA.LOCAL
6                              Organizational Unit: CN=Computers
7Default Site Used by LIFs Without Site Membership:
8                                   Workgroup Name: -
9                             Authentication Style: domain
10                CIFS Server Administrative Status: up
11                          CIFS Server Description:
12                          List of NetBIOS Aliases: -
13 netapp9101::>

上記の場合、「svm0」とIPアドレス指定でのアクセス以外は受け付けない。

他のホスト名でもアクセスできるようにするにはNetBIOS Aliasを追加する必要がある。

(なお、別途、標準では無効となっているNetBIOSを有効にする必要がある。ただし、これを有効にした場合、NetApp SVM名と同じNetBIOS名の告知も始めてしまうので注意)

1netapp9101::> vserver cifs add-netbios-aliases -netbios-aliases WINSERVER -vserver svm0
2netapp9101::> vserver cifs show -ins
3                                          Vserver: svm0
4                         CIFS Server NetBIOS Name: SVM0
5                    NetBIOS Domain/Workgroup Name: ADOSAKANA
6                      Fully Qualified Domain Name: ADOSAKANA.LOCAL
7                              Organizational Unit: CN=Computers
8Default Site Used by LIFs Without Site Membership:
9                                   Workgroup Name: -
10                             Authentication Style: domain
11                CIFS Server Administrative Status: up
12                          CIFS Server Description:
13                          List of NetBIOS Aliases: WINSERVER
14 netapp9101::>

さて、これでアクセスできるようになったかな?と試してみるが、同じエラーが継続

1C:\Users\Administrator>net use \\winserver\testvol
2\\winserver\testvol のパスワードが無効です。
3 
4'winserver' のユーザー名を入力してください: ADOSAKANA\testuser1
5winserver のパスワードを入力してください:
6システム エラー 59 が発生しました。
7 
8予期しないネットワーク エラーが発生しました。
9 
10 
11C:\Users\Administrator>

NetApp KB:Access by NETBIOS Alias fails に該当する問題だった。

今回のADOSAKANAドメインには、既に「WINSERVER」としてコンピュータアカウントがあった。

これが残っていると問題が発生するらしい。

まず、Windows上からコンピュータアカウントWINSERVERに関する情報をsetspn -lコマンドで確認すると下記の様な内容で登録されていた。

1C:\Users\Administrator>setspn -l winserver
2次の項目に登録されている CN=WINSERVER,CN=Computers,DC=ADOSAKANA,DC=LOCAL:
3        HOST/winserver.adosakana.local
4        RestrictedKrbHost/winserver.adosakana.local
5        HOST/WINSERVER
6        RestrictedKrbHost/WINSERVER
7        WSMAN/winserver.adosakana.local
8        WSMAN/WINSERVER
9        TERMSRV/winserver.adosakana.local
10        TERMSRV/WINSERVER
11 
12C:\Users\Administrator>

次に、NetApp SVMとして登録されているsvm0について確認してみると、だいぶ少ない内容で登録されていた。

1C:\Users\Administrator>setspn -l svm0
2次の項目に登録されている CN=SVM0,CN=Computers,DC=ADOSAKANA,DC=LOCAL:
3        HOST/SVM0
4        HOST/svm0.adosakana.local
5 
6C:\Users\Administrator>

まず、WindowsのActive Directgory側でコンピュータアカウント「WINSERVER」を削除。

続いてNetApp KBにあるようにsetspn -aコマンドでWINSERVERをsvm0に追加する形で登録

1C:\Users\Administrator>setspn -a HOST/WINSERVER svm0
2ドメイン DC=ADOSAKANA,DC=local を確認しています
3 
4CN=SVM0,CN=Computers,DC=ADOSAKANA,DC=LOCAL の ServicePrincipalNames を登録しています
5        HOST/WINSERVER
6更新されたオブジェクト
7 
8C:\Users\Administrator>

どのような登録になったのかを確認してみると、svm0の出力にwinserverが追加されており、winserverというエントリは無くなったことが分かる。

1C:\Users\Administrator>setspn -l svm0
2次の項目に登録されている CN=SVM0,CN=Computers,DC=adosakana,DC=local:
3        HOST/SVM0
4        HOST/svm0.adosakana.local
5        HOST/WINSERVER
6 
7C:\Users\Administrator>setspn -l winserver
8FindDomainForAccount: DsGetDcNameWithAccountW への呼び出しが失敗し、戻り値 0x00000525 が返されました
9アカウント winserver は見つかりませんでした
10 
11C:\Users\Administrator>

この状態で先ほどエラーになったnet useコマンドを実行すると、正常に実行ができる。

1C:\Users\Administrator>net use \\winserver\testvol
2\\winserver\testvol のパスワードが無効です。
3 
4'winserver' のユーザー名を入力してください: adosakana\testuser1
5winserver のパスワードを入力してください:
6コマンドは正常に終了しました。
7 
8 
9C:\Users\Administrator>

ONTAP Antivirus Connector の接続ステータス確認方法

ONTAP Antivirus Connector でONTAPとアンチウイルスソフトを連携させる場合に、ONTAPからの接続ステータス確認手法がいまいちよく分からなかったのでメモ書き。

基本的な接続状況確認コマンド

「vserver vscan connection-status show-all」で確認する。

1netappcluster::> vserver vscan connection-status show-all
2                                              Connection
3Vserver     Node              Server          Status         Disconnect Reason
4----------- ----------------- --------------- -------------- -----------------
5svm0        netapp01         192.168.10.110   disconnected   remote-closed
6svm0        netapp01         192.168.10.111   connected      na
7svm0        netapp01         192.168.10.112   connected      na
8svm0        netapp01         192.168.10.113   connected      na
9svm0        netapp02         192.168.10.110   disconnected   -
10svm0        netapp02         192.168.10.111   disconnected   -
11svm0        netapp02         192.168.10.112   disconnected   -
12svm0        netapp02         192.168.10.113   disconnected   -
138 entries were displayed.
14 
15netappcluster::>

上記の場合、ONTAP Antivirus Connectorがインストールされていて、接続設定されているのは、「192.168.10.110~192.168.10.113」の4台あって、そのうち、192.168.10.110の1台だけ接続できてない、という状態となっている。

「Disconnect Reason」に「remote-closed」とあるため、NetAppと192.168.10.110間の通信は行えるものの192.168.10.110側で接続を切断している、という意味合いとなるようだ。

2024/05/09追記:show-allでも全部表示されるわけではなかった。

scanner-poolはPrimaryとSecondaryが設定できるのだが(vserver vscan scanner-pool showで確認)、Primaryの方を使っている場合はSecondaryの接続状況について表示されないので注意が必要。

詳細ログ確認

上記の「remote-closed」だけだと詳細が分からない。

詳細ログはadvanced権限でみれるようになっているため、権限切り替えした上で「vserver vscan show-events」を実行する。

なお、「rows 0」を実行して24行で止める設定を解除している場合、その時に出ているイベントが全件強制表示されてしまうため「rows 24」などで画面を止めるように設定しておくことを推奨。

1netappcluster::> set adv
2 
3Warning: These advanced commands are potentially dangerous; use them only when
4         directed to do so by NetApp personnel.
5Do you want to continue? {y|n}: y
6 
7netappcluster::*>
8 
9netappcluster::*> vserver vscan show-events
10 
11Vserver     Node            Server          Event Type        Event Time
12----------- --------------- --------------- ----------------- -----------------
13svm0        netapp01        192.168.10.110  scanner-          1/31/2023
14                                            disconnected      18:05:37
15svm0        netapp01        192.168.10.110  scanner-connected 1/31/2023
16                                                              18:01:45
17<略>

上記では簡単な理由しかわからないので「-ins」オプションを付けて実行

1ossv0059::*> vserver vscan show-events -ins
2 
3                           Node: netapp01
4                 Event Log Time: 1/31/2023 18:05:37
5                         Server: 192.168.10.110
6                     Event Type: scanner-disconnected
7                      File Path: -
8                Vscanner Vendor: -
9               Vscanner Version: -
10       Server Disconnect Reason: remote-closed
11Vserver LIF Used for Connection: 192.168.10.10
12 
13                           Node: netapp01
14                 Event Log Time: 1/31/2023 18:01:45
15                         Server: 192.168.10.110
16                     Event Type: scanner-connected
17                      File Path: -
18                Vscanner Vendor: vendor not registered
19               Vscanner Version: 0.0
20       Server Disconnect Reason: -
21Vserver LIF Used for Connection: 192.168.10.10
22<略>

remote-closedとなる前に「scanner-connected」の時に、「Vscanner Vendor: vendor not registered」という怪しげなステータスとなっている。

じゃあ、各サーバとの接続状態でこの「Vscanner Vendor」の情報を確認する手法はあるか確認するとvscan connection-status で取得出来る情報の中にあった。

「vserver vscan connection-status show-all -fields version,vendor,server-status,connected-since」を実行する

1netappcluster::> vserver vscan connection-status show-all -fields version,vendor,server-status,connected-since
2node     vserver  server         server-status vendor                     version     connected-since
3-------- -------- -------------- ------------- -------------------------- ----------- ------------------
4svm0     netapp01 192.168.10.110 disconnected  vendor not registered      0.0         -
5svm0     netapp01 192.168.10.111 connected     symantec protection engine 20230130.19 1/31/2023 17:34:33
6svm0     netapp01 192.168.10.112 connected     symantec protection engine 20230130.19 1/31/2023 17:35:20
7svm0     netapp01 192.168.10.113 connected     symantec protection engine 20230130.19 1/31/2023 17:35:25
8svm0     netapp02 192.168.10.110 disconnected  -                          -           -
9svm0     netapp02 192.168.10.111 disconnected  -                          -           -
10svm0     netapp02 192.168.10.112 disconnected  -                          -           -
11svm0     netapp02 192.168.10.113 disconnected  -                          -           -
128 entries were displayed.
13 
14netappcluster::>

remote-closedとなっているサーバ以外は正常な製品名と、おそらくパターンファイルのバージョンっぽいのが表示されている。

disconnectedとなっている 192.168.10.110サーバ上で動作しているONTAP Antivirus connectorとアンチウイルスソフト間の通信に問題があり、ONTAP Antivirus connector側で情報がきちんと取得されていないために発生している、ということのようだった。


NetApp KBのメモ

ONTAP Vscan(ウィルス対策)およびAntivirus Connector(AVConnector)解決ガイド
 antivirus connectorの問題に関するリンク集

ONTAP Antivirus Connector ロギングを有効にする方法
 Windows上で動作するAntivirus Connectorのログを取るためにはレジストリ設定変更が必要
 標準ではログ取らない。保存先ログファイル名もレジストリで明示的に設定する

FAQ :アンチウイルスコネクタのコマンドラインスイッチとして使用できるオプションは何ですか
 Windows上で動作するAntivirus Connectorで以下の設定を変更することができる
  AVコネクタ動作時にDNS逆引きを行う(デフォルト)のを行わない様に変更する
   「net start ontapavc /ipaddrtodns:false」
  AVコネクタはhttps(port 443)を使用するが、他のポートを使う場合に変更できる
   「net start ontapavc /transport:http /port:80」(http で port 80)
   「net start ontapavc /transport:https /port:443」(https で port 443)

・「Vscan サーバが ONTAP に接続できません スキャナプールの設定が正しくない
 ONTAPに登録するprivileged userと、Windowsサーバ上のONTAP AVconnectorとアンチウイルスエンジンの動作ユーザが同じであることを確認
 ONTAPに登録するスキャンサーバをホスト名登録した場合、ホスト名と名前解決したIPアドレスが一致すること(一致しない場合接続を拒否=DNSラウンドロビン不可)
 特権ユーザの指定は「ドメイン名\ユーザ名」形式で行う(ユーザ名@ドメイン名は使えない)

・「AVコネクタに401 Unauthorizedと表示されます
 Windowsサーバ上のONTAP AVconnectorからONTAPにアクセスする際は、httpアプリケーションとしてアクセスされるので、使用するONTAPのユーザに「-application http」を追加する
 また、別資料を見ると「指定したユーザに対して「 ontapi 」アプリケーションが有効になっていません」とか「AV コネクタが https 接続をネゴシエートできない(セキュアでない http を使用して正常に動作する)」という記述もあるため、https,ontapi に関する設定も確認する

・「ONTAP AV コネクタが Vserver のデータインターフェイスに接続できません
 ONTAP Avconnectorの接続をデータLIFにする場合、標準設定のままでは使えない
 management-https を追加すること

Vscan サーバが「 connected 」と表示されていますが、「 vendor not registered 」がになって 表示されます
 NetApp的には「Vscan の設定が正しくありません」
 「Vscan サービスが停止しました」
 「Vscan サービスはループバックアドレス 127.0.0.1 を参照していません。」


scanner-poolのPrimary/Secondary問題

下記のようにscanner-poolを「GroupA」と「GroupB」の2つを作ったとする。

1ontap9131::> vserver vscan scanner-pool show
2            Scanner    Pool                         Privileged      Scanner
3Vserver     Pool       Owner   Servers              Users           Policy
4----------- ---------- ------- -------------------- --------------- ----------
5svm9131     GroupA     vserver 172.17.44.156,       AD2\            primary
6                               172.17.44.157        administrator
7svm9131     GroupB     vserver 172.17.44.159,       AD2\            secondary
8                               172.17.44.162        administrator
92 entries were displayed.
10 
11ontap9131::>

通常動作時、connection-status show-all で表示されるのは Primary側だけとなる。

1ontap9131::> vserver vscan connection-status show-all -fields version,vendor,connected-since,disconnect-reason
2node         vserver server        vendor     version  disconnect-reason connected-since
3------------ ------- ------------- ---------- -------- ----------------- -----------------
4ontap9131-01 svm9131 172.17.44.156 trendmicro 19.32700 na                5/9/2024 14:29:16
5ontap9131-01 svm9131 172.17.44.157 -          -        -                 -
62 entries were displayed.
7 
8ontap9131::>

(上記は172.17.44.157サーバを停止させているので表示がない)

この状態で、Primaryで唯一稼働中の172.17.44.156のONTAP AV Connectorサービスを停止し、何かファイルを書き込んでウイルス検査をさせると接続が始まり、以下のような表示になる。

1ontap9131::> vserver vscan connection-status show-all -fields version,vendor,connected-since,disconnect-reason
2node         vserver server        vendor     version  disconnect-reason connected-since
3------------ ------- ------------- ---------- -------- ----------------- ---------------
4ontap9131-01 svm9131 172.17.44.156 trendmicro 19.32700 remote-closed     -
5ontap9131-01 svm9131 172.17.44.157 -          -        -                 -
6ontap9131-01 svm9131 172.17.44.159 trendmicro 19.32700 na                5/9/2024 14:41:59
7ontap9131-01 svm9131 172.17.44.162 trendmicro 19.32700 na                5/9/2024 14:41:12
84 entries were displayed.
9 
10ontap9131::>

で、Primaryで止めた 172.17.44.156のONTAP AV Connectorサービスを開始してしばらく待つと、下記のようにしばらくはPrimaryとSecondaryの両方が表示されている。

1ontap9131::> vserver vscan connection-status show-all -fields version,vendor,connected-since,disconnect-reason
2node         vserver server        vendor     version  disconnect-reason connected-since
3------------ ------- ------------- ---------- -------- ----------------- -----------------
4ontap9131-01 svm9131 172.17.44.156 trendmicro 19.32700 na                5/9/2024 15:59:26
5ontap9131-01 svm9131 172.17.44.157 -          -        -                 -
6ontap9131-01 svm9131 172.17.44.159 trendmicro 19.32700 na                5/9/2024 14:41:59
7ontap9131-01 svm9131 172.17.44.162 trendmicro 19.32700 na                5/9/2024 14:41:12
84 entries were displayed.
9 
10ontap9131::>

しかし、しばらくするとPrimaryのみの表示に切り詰められてしまう。

1ontap9131::> vserver vscan connection-status show-all -fields version,vendor,connected-since,disconnect-reason
2node         vserver server        vendor     version  disconnect-reason connected-since
3------------ ------- ------------- ---------- -------- ----------------- -----------------
4ontap9131-01 svm9131 172.17.44.156 trendmicro 19.32700 na                5/9/2024 15:59:26
5ontap9131-01 svm9131 172.17.44.157 -          -        -                 -
62 entries were displayed.
7 
8ontap9131::>

advanced権限で実行できる「vserver vscan show-events」で状況を確認してみると、Secondary側の接続は約10分で scanner-disconnected と出力されていた。

1ontap9131::> set adv
2 
3Warning: These advanced commands are potentially dangerous; use them only when directed to do so by NetApp
4         personnel.
5Do you want to continue? {y|n}: y
6 
7ontap9131::*> vserver vscan show-events
8 
9Vserver     Node            Server          Event Type        Event Time
10----------- --------------- --------------- ----------------- -----------------
11svm9131     ontap9131-01    172.17.44.162   scanner-          5/9/2024 16:10:00
12                                            disconnected
13svm9131     ontap9131-01    172.17.44.159   scanner-          5/9/2024 16:10:00
14                                            disconnected
15svm9131     ontap9131-01    172.17.44.156   file-infected     5/9/2024 16:01:41
16svm9131     ontap9131-01    172.17.44.159   file-infected     5/9/2024 16:00:55
17svm9131     ontap9131-01    172.17.44.162   file-infected     5/9/2024 16:00:50
18svm9131     ontap9131-01    172.17.44.156   file-infected     5/9/2024 16:00:45
19svm9131     ontap9131-01    172.17.44.156   scanner-connected 5/9/2024 15:59:26
20svm9131     ontap9131-01    172.17.44.159   scanner-connected 5/9/2024 14:41:59
21svm9131     ontap9131-01    172.17.44.162   scanner-connected 5/9/2024 14:41:12
22svm9131     ontap9131-01    172.17.44.162   scanner-          5/9/2024 14:41:12
23                                            disconnected
24svm9131     ontap9131-01    172.17.44.159   scanner-          5/9/2024 14:38:41
25                                            disconnected
26svm9131     ontap9131-01    172.17.44.159   file-infected     5/9/2024 14:37:38
27svm9131     ontap9131-01    172.17.44.162   file-infected     5/9/2024 14:37:33
28svm9131     ontap9131-01    172.17.44.159   file-infected     5/9/2024 14:37:29
29svm9131     ontap9131-01    172.17.44.162   scanner-connected 5/9/2024 14:36:24
30svm9131     ontap9131-01    172.17.44.159   scanner-connected 5/9/2024 14:34:42
31svm9131     ontap9131-01    172.17.44.156   scanner-          5/9/2024 14:34:35
32                                            disconnected
33<略>

NetAppでデータSVMにsshの管理アクセスできるようにする

NetAppでファイルサービスを提供するデータSVMにsshで管理アクセスできるようにしてくれ、という要望があった。

普通にマネージメントLIFの管理WebからデータSVMに対して、sshユーザアクセス可能なユーザを追加してみたけど、sshでアクセスできるようになるわけではなかった。

データアクセス用のLIFに対してsshサービスが許可されていないからかな?と思って network interface service-policy の下を見てみるとshowしかなく変更ができないっぽい?

1netapp9101::> network interface service-policy ?
2  show                        Display existing service policies
3 
4netapp9101::>

とりあえず現状のservice-policy定義を見てみる

1netapp9101::> network interface service-policy show
2Vserver   Policy                     Service: Allowed Addresses
3--------- -------------------------- ----------------------------------------
4Cluster
5          default-cluster            cluster-core: 0.0.0.0/0
6 
7netapp9101
8          default-intercluster       intercluster-core: 0.0.0.0/0
9                                     management-https: 0.0.0.0/0
10                                     backup-ndmp-control: 0.0.0.0/0
11 
12          default-management         management-core: 0.0.0.0/0
13                                     management-autosupport: 0.0.0.0/0
14                                     management-ssh: 0.0.0.0/0
15                                     management-https: 0.0.0.0/0
16                                     management-ems: 0.0.0.0/0
17                                     management-ntp-client: 0.0.0.0/0
18                                     management-http: 0.0.0.0/0
19                                     backup-ndmp-control: 0.0.0.0/0
20                                     management-snmp-server: 0.0.0.0/0
21                                     management-ntp-server: 0.0.0.0/0
22 
23          default-route-announce     management-bgp: 0.0.0.0/0
24 
25svm0
26          default-data-blocks        data-core: 0.0.0.0/0
27                                     data-iscsi: 0.0.0.0/0
28 
29          default-data-files         data-core: 0.0.0.0/0
30                                     data-nfs: 0.0.0.0/0
31                                     data-cifs: 0.0.0.0/0
32                                     data-flexcache: 0.0.0.0/0
33                                     data-fpolicy-client: 0.0.0.0/0
34                                     data-dns-server: 0.0.0.0/0
35 
36          default-data-iscsi         data-core: 0.0.0.0/0
37                                     data-iscsi: 0.0.0.0/0
38 
39          default-data-nvme-tcp      data-core: 0.0.0.0/0
40                                     data-nvme-tcp: 0.0.0.0/0
41 
42          default-management         data-core: 0.0.0.0/0
43                                     management-ssh: 0.0.0.0/0
44                                     management-https: 0.0.0.0/0
45                                     data-dns-server: 0.0.0.0/0
46                                     management-http: 0.0.0.0/0
47                                     backup-ndmp-control: 0.0.0.0/0
48                                     management-snmp-server: 0.0.0.0/0
49netapp9101::>

LIF のサービスポリシーを設定」を見るとadvanced権限であれば変更できるらしい

とりあえずsvm0の「default-data-files」に「management-ssh」を追加してみた。

1netapp9101::> set advanced
2 
3Warning: These advanced commands are potentially dangerous; use them only when
4         directed to do so by NetApp personnel.
5Do you want to continue? {y|n}: y
6 
7netapp9101::*> network interface service-policy add-service -vserver svm0 -policy default-data-files -service management-ssh
8 
9netapp9101::*>

変更した結果が反映されているかを確認

1netapp9101::*> network interface service-policy show -vserver svm0 -policy default-data-files
2 
3                   Vserver: svm0
4               Policy Name: default-data-files
5         Included Services: data-core, data-nfs, management-ssh,
6                            data-fpolicy-client, data-dns-server
7Service: Allowed Addresses: data-core: 0.0.0.0/0
8                            data-nfs: 0.0.0.0/0
9                            management-ssh: 0.0.0.0/0
10                            data-fpolicy-client: 0.0.0.0/0
11                            data-dns-server: 0.0.0.0/0
12 
13netapp9101::*>

これでsvmのデータLIFにsshでログインできるようになった

StatCounter - Free Web Tracker and Counter