Skip to main content
Eine neuere Version dieses Produkts ist erhältlich.
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Sicherheit

Beitragende

Sie können im Rahmen der Sicherung einer ONTAP Select-Bereitstellung verschiedene Aufgaben ausführen.

Ändern Sie das Administratorkennwort für die Bereitstellung

Sie können das Kennwort für das Administratorkonto für virtuelle Maschinen bereitstellen über die Webbenutzeroberfläche nach Bedarf ändern.

Schritte
  1. Melden Sie sich über das Administratorkonto bei der Webbenutzeroberfläche des Deploy Utility an.

  2. Klicken Sie auf das Figurensymbol oben rechts auf der Seite und wählen Sie Passwort ändern.

  3. Geben Sie das aktuelle und das neue Passwort wie aufgefordert an und klicken Sie auf Absenden.

Fügen Sie ein Management-Server-Konto hinzu

Sie können ein Management-Server-Konto zur Datenbank zum Bereitstellen von Anmeldeinformationen hinzufügen.

Bevor Sie beginnen

Sie sollten mit den Typen von Zugangsdaten und der Art der Nutzung durch ONTAP Select Deploy vertraut sein.

Schritte
  1. Melden Sie sich über das Administratorkonto bei der Webbenutzeroberfläche des Deploy Utility an.

  2. Klicken Sie oben auf der Seite auf die Registerkarte Administration.

  3. Klicken Sie auf Management Server und dann auf vCenter hinzufügen.

  4. Geben Sie die folgenden Informationen ein und klicken Sie auf Hinzufügen.

    In diesem Feld … Gehen Sie wie folgt vor …

    Name/IP-Adresse

    Geben Sie den Domain-Namen oder die IP-Adresse des vCenter Servers ein.

    Benutzername

    Geben Sie den Benutzernamen für das Konto ein, um auf vCenter zuzugreifen.

    Passwort

    Geben Sie das Kennwort für den zugeordneten Benutzernamen ein.

  5. Nachdem der neue Verwaltungsserver hinzugefügt wurde, können Sie optional auf klicken und eine der folgenden Optionen Optionenauswählen:

    • Anmeldedaten aktualisieren

    • Verifizieren der Anmeldedaten

    • Entfernen Sie den Verwaltungsserver

MFA konfigurieren

ONTAP Select Deploy CLI MFA-Anmeldung mit YubiKey PIV- oder FIDO2-Authentifizierung

YubiKey PIV

Konfigurieren Sie die YubiKey-PIN und generieren oder importieren Sie den RSA (Remote Support Agent) oder ECDSA (Elliptic Curve Digital Signature Algorithm) privaten Schlüssel und das Zertifikat mit den Schritten in "TR-4647: Multi-Faktor-Authentifizierung in ONTAP".

  • Für Windows: Der Abschnitt YubiKey PIV Client Configuration for Windows des technischen Berichts.

  • Für MacOS: Die YubiKey PIV Client-Konfiguration für MAC OS und Linux-Sektion des technischen Berichts.

FIDO2

Wenn Sie sich für die YubiKey FIDO2-Authentifizierung entscheiden, konfigurieren Sie die YubiKey FIDO2-PIN mit dem YubiKey Manager und generieren Sie den FIDO2-Schlüssel mit einer PuTTY-CAC (Common Access Card) für Windows oder ssh-keygen für MacOS. Die Schritte hierzu finden Sie im technischen Bericht "TR-4647: Multi-Faktor-Authentifizierung in ONTAP".

  • Für Windows: Der Abschnitt YubiKey FIDO2 Client-Konfiguration für Windows des technischen Berichts.

  • Für MacOS: Der Abschnitt YubiKey FIDO2 Client-Konfiguration für Mac OS und Linux des technischen Berichts.

Holen Sie sich den öffentlichen Schlüssel YubiKey PIV oder FIDO2

Der öffentliche Schlüssel hängt davon ab, ob Sie ein Windows- oder MacOS-Client sind und ob Sie PIV oder FIDO2 verwenden.

Für Windows:
  • Exportieren Sie den öffentlichen PIV-Schlüssel mithilfe der Funktion in Zwischenablage kopieren unter SSH → Certificate, wie im Abschnitt Konfigurieren des Windows PuTTY-CAC SSH-Clients für die YubiKey PIV-Authentifizierung auf Seite 16 von TR-4647 beschrieben.

  • Exportieren Sie den öffentlichen FIDO2-Schlüssel mithilfe der Funktion in Zwischenablage kopieren unter SSH → Certificate wie im Abschnitt Konfigurieren des Windows PuTTY-CAC SSH-Clients für YubiKey FIDO2 Authentication auf Seite 30 von TR-4647 beschrieben.

Für MacOS:
  • Der öffentliche PIV-Schlüssel sollte mit dem Befehl exportiert werden ssh-keygen -e, wie im Abschnitt Konfigurieren des Mac OS oder Linux SSH-Clients für YubiKey PIV-Authentifizierung auf Seite 24 von TR-4647 beschrieben.

  • Der öffentliche FIDO2-Schlüssel befindet sich in der id_ecdsa_sk.pub Datei oder id_edd519_sk.pub Datei, je nachdem, ob Sie ECDSA oder EDD519 verwenden, wie im Abschnitt Konfigurieren des MAC OS oder Linux SSH-Clients für YubiKey FIDO2-Authentifizierung auf Seite 39 von TR-4647 beschrieben.

Konfigurieren Sie den öffentlichen Schlüssel in ONTAP Select Deploy

SSH wird vom Administratorkonto für die Authentifizierungsmethode für den öffentlichen Schlüssel verwendet. Unabhängig davon, ob es sich bei der Authentifizierungsmethode um die standardmäßige SSH-Authentifizierung für öffentlichen Schlüssel oder um YubiKey PIV oder FIDO2 handelt, ist der Befehl identisch.

Für hardwarebasierte SSH-MFA gelten neben dem auf ONTAP Select Deploy konfigurierten öffentlichen Schlüssel folgende Authentifizierungsfaktoren:

  • Die PIV- oder FIDO2-PIN

  • Besitz des YubiKey Hardware-Geräts. Bei FIDO2 wird dies durch die physische Berührung des YubiKey während des Authentifizierungsprozesses bestätigt.

Bevor Sie beginnen

Stellen Sie den öffentlichen PIV- oder FIDO2-Schlüssel ein, der für den YubiKey konfiguriert ist. Der CLI-Befehl ONTAP Select Deploy security publickey add -key ist für PIV oder FIDO2 gleich und der öffentliche Schlüssel-String ist unterschiedlich.

Der öffentliche Schlüssel wird abgerufen von:

  • Die Funktion in Zwischenablage kopieren für PuTTY-CAC für PIV und FIDO2 (Windows)

  • Exportieren des öffentlichen Schlüssels in ein SSH-kompatibles Format mit dem ssh-keygen -e Befehl für PIV

  • Die Datei mit dem öffentlichen Schlüssel, die sich in der Datei für FIDO2 (MacOS) befindet ~/.ssh/id_***_sk.pub

Schritte
  1. Suchen Sie den generierten Schlüssel in der .ssh/id_***.pub Datei.

  2. Fügen Sie den generierten Schlüssel zu ONTAP Select Deploy mit dem Befehl hinzu security publickey add -key <key>.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
  3. Aktivieren Sie die MFA-Authentifizierung mit dem security multifactor authentication enable Befehl.

    (ONTAPdeploy) security multifactor authentication enable
    MFA enabled Successfully

Melden Sie sich bei ONTAP Select Deploy mit YubiKey PIV Authentifizierung über SSH an

Sie können sich bei ONTAP Select Deploy mit YubiKey PIV Authentifizierung über SSH anmelden.

Schritte
  1. Nachdem das YubiKey-Token, der SSH-Client und ONTAP Select Deploy konfiguriert wurden, können Sie die MFA YubiKey PIV-Authentifizierung über SSH verwenden.

  2. Melden Sie sich bei ONTAP Select Deploy an. Wenn Sie den Windows PuTTY-CAC SSH-Client verwenden, werden Sie in einem Dialogfeld aufgefordert, Ihre YubiKey-PIN einzugeben.

  3. Melden Sie sich von Ihrem Gerät aus mit dem YubiKey verbunden an.

Beispielausgabe
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

ONTAP Select Deploy CLI MFA-Anmeldung mit ssh-keygen

Der ssh-keygen Befehl ist ein Tool zum Erstellen neuer Authentifizierungsschlüsselpaare für SSH. Die Schlüsselpaare werden für die Automatisierung von Anmeldungen, Single Sign-On und für die Authentifizierung von Hosts verwendet.

Der ssh-keygen Befehl unterstützt mehrere Public Key-Algorithmen für Authentifizierungsschlüssel.

  • Der Algorithmus wird mit der Option ausgewählt -t

  • Die Schlüsselgröße wird mit der Option ausgewählt -b

Beispielausgabe
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
Schritte
  1. Suchen Sie den generierten Schlüssel in der .ssh/id_***.pub Datei.

  2. Fügen Sie den generierten Schlüssel zu ONTAP Select Deploy mit dem Befehl hinzu security publickey add -key <key>.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
  3. Aktivieren Sie die MFA-Authentifizierung mit dem security multifactor authentication enable Befehl.

    (ONTAPdeploy) security multifactor authentication enable
    MFA enabled Successfully
  4. Melden Sie sich nach Aktivierung von MFA beim ONTAP Select Deploy-System an. Sie sollten eine Ausgabe erhalten, die dem folgenden Beispiel ähnelt.

    [<user ID> ~]$ ssh <admin>
    Authenticated with partial success.
    <admin>'s password:
    
    NetApp ONTAP Select Deploy Utility.
    Copyright (C) NetApp Inc.
    All rights reserved.
    
    Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09
    
    (ONTAPdeploy)

Migration von MFA- zu Single-Faktor-Authentifizierung

MFA kann für das Deploy-Administratorkonto mithilfe der folgenden Methoden deaktiviert werden:

  • Wenn Sie sich mit Secure Shell (SSH) als Administrator bei der Deploy CLI anmelden können, deaktivieren Sie MFA, indem Sie den Befehl über die Deploy CLI ausführen security multifactor authentication disable.

    (ONTAPdeploy) security multifactor authentication disable
    MFA disabled Successfully
  • Wenn Sie sich nicht mit SSH bei der CLI-Bereitstellung als Administrator anmelden können:

    1. Stellen Sie über vCenter oder vSphere eine Verbindung zur Videokonsole „Deploy Virtual Machine (VM)“ her.

    2. Melden Sie sich über das Administratorkonto bei der CLI-Bereitstellung an.

    3. Führen Sie den security multifactor authentication disable Befehl aus.

      Debian GNU/Linux 11 <user ID> tty1
      
      <hostname> login: admin
      Password:
      
      NetApp ONTAP Select Deploy Utility.
      Copyright (C) NetApp Inc.
      All rights reserved.
      
      Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09
      
      (ONTAPdeploy) security multifactor authentication disable
      MFA disabled successfully
      
      (ONTAPdeploy)
  • Der Administrator kann den öffentlichen Schlüssel löschen mit:
    security publickey delete -key