Skip to main content
ONTAP Select
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Sichern Sie eine ONTAP Select Bereitstellung

Beitragende netapp-revathid
PDFs

Es gibt mehrere damit verbundene Aufgaben, die Sie im Rahmen der Sicherung einer ONTAP Select Bereitstellung durchführen können.

Ändern des Deploy-Administratorkennworts

Sie können das Kennwort für das Administratorkonto der virtuellen Maschine „Deploy“ bei Bedarf über die Webbenutzeroberfläche ändern.

Schritte

  1. Sign in mit dem Administratorkonto bei der Web-Benutzeroberfläche des Bereitstellungsdienstprogramms an.

  2. Klicken Sie oben rechts auf der Seite auf das Zahlensymbol und wählen Sie Passwort ändern.

  3. Geben Sie das aktuelle und das neue Passwort wie aufgefordert ein und klicken Sie auf Senden.

Hinzufügen eines Verwaltungsserverkontos

Sie können der Anmeldeinformationsspeicherdatenbank von Deploy ein Verwaltungsserverkonto hinzufügen.

Bevor Sie beginnen

Sie sollten mit den Arten von Anmeldeinformationen und ihrer Verwendung durch ONTAP Select Deploy vertraut sein.

Schritte

  1. Sign in mit dem Administratorkonto bei der Web-Benutzeroberfläche des Bereitstellungsdienstprogramms an.

  2. Klicken Sie oben auf der Seite auf die Registerkarte Verwaltung.

  3. Klicken Sie auf Verwaltungsserver und dann auf vCenter hinzufügen.

  4. Geben Sie die folgenden Informationen ein und klicken Sie auf Hinzufügen.

    In diesem Bereich … Gehen Sie wie folgt vor …

    Name/IP-Adresse

    Geben Sie den Domänennamen oder die IP-Adresse des vCenter-Servers an.

    Benutzername

    Geben Sie den Kontobenutzernamen ein, um auf vCenter zuzugreifen.

    Passwort

    Geben Sie das Passwort für den zugehörigen Benutzernamen ein.

  5. Nachdem der neue Verwaltungsserver hinzugefügt wurde, können Sie optional klickenOptionen und wählen Sie eine der folgenden Optionen aus:

    • Anmeldeinformationen aktualisieren

    • Anmeldeinformationen überprüfen

    • Entfernen des Verwaltungsservers

MFA konfigurieren

Ab ONTAP Select 9.13.1 wird die Multifaktor-Authentifizierung (MFA) für das ONTAP Select Deploy-Administratorkonto unterstützt:

ONTAP Select Deploy CLI MFA-Anmeldung mit YubiKey PIV- oder FIDO2-Authentifizierung

YubiKey PIV

Konfigurieren Sie die YubiKey-PIN und generieren oder importieren Sie den privaten Schlüssel und das Zertifikat für Remote Support Agent (RSA) oder Elliptic Curve Digital Signature Algorithm (ECDSA) gemäß den folgenden Schritten:"TR-4647: Multifaktor-Authentifizierung in ONTAP" Die

  • Für Windows: Der Abschnitt YubiKey PIV-Client-Konfiguration für Windows des technischen Berichts.

  • Für MacOS: Der Abschnitt YubiKey PIV-Clientkonfiguration für MAC OS und Linux des technischen Berichts.

FIDO2

Wenn Sie sich für die YubiKey FIDO2-Authentifizierung entscheiden, konfigurieren Sie die YubiKey FIDO2-PIN mit dem YubiKey Manager und generieren Sie den FIDO2-Schlüssel mit einer PuTTY-CAC (Common Access Card) für Windows oder einem ssh-keygen für MacOS. Die einzelnen Schritte hierzu sind im technischen Bericht beschrieben."TR-4647: Multifaktor-Authentifizierung in ONTAP" Die

  • Für Windows: Der Abschnitt YubiKey FIDO2-Clientkonfiguration für Windows des technischen Berichts.

  • Für MacOS: Der Abschnitt YubiKey FIDO2-Clientkonfiguration für Mac OS und Linux des technischen Berichts.

Besorgen Sie sich den öffentlichen YubiKey PIV- oder FIDO2-Schlüssel

Das Abrufen des öffentlichen Schlüssels hängt davon ab, ob Sie ein Windows- oder MacOS-Client sind und ob Sie PIV oder FIDO2 verwenden.

Für Windows:

  • Exportieren Sie den öffentlichen PIV-Schlüssel mithilfe der Funktion In die Zwischenablage kopieren unter SSH → Zertifikat, wie im Abschnitt Konfigurieren des Windows PuTTY-CAC SSH-Clients für die YubiKey PIV-Authentifizierung auf Seite 16 von TR-4647 beschrieben.

  • Exportieren Sie den öffentlichen FIDO2-Schlüssel mithilfe der Funktion In die Zwischenablage kopieren unter SSH → Zertifikat, wie im Abschnitt Konfigurieren des Windows PuTTY-CAC SSH-Clients für die YubiKey FIDO2-Authentifizierung auf Seite 30 von TR-4647 beschrieben.

Für MacOS:

  • Der öffentliche PIV-Schlüssel sollte mit folgendem Befehl exportiert werden: ssh-keygen -e Befehl wie im Abschnitt Konfigurieren des Mac OS- oder Linux-SSH-Clients für die YubiKey-PIV-Authentifizierung auf Seite 24 von TR-4647 beschrieben.

  • Der öffentliche FIDO2-Schlüssel befindet sich in der id_ecdsa_sk.pub Datei oder id_edd519_sk.pub Datei, je nachdem, ob Sie ECDSA oder EDD519 verwenden, wie im Abschnitt Konfigurieren des MAC OS- oder Linux-SSH-Clients für die YubiKey FIDO2-Authentifizierung auf Seite 39 von TR-4647 beschrieben.

Konfigurieren Sie den öffentlichen Schlüssel in ONTAP Select Deploy

SSH wird vom Administratorkonto für die Authentifizierung mit öffentlichem Schlüssel verwendet. Der verwendete Befehl ist derselbe, unabhängig davon, ob es sich bei der Authentifizierungsmethode um die standardmäßige SSH-Authentifizierung mit öffentlichem Schlüssel, die YubiKey PIV- oder FIDO2-Authentifizierung handelt.

Für hardwarebasiertes SSH MFA lauten die Authentifizierungsfaktoren zusätzlich zum auf ONTAP Select Deploy konfigurierten öffentlichen Schlüssel wie folgt:

  • Die PIV- oder FIDO2-PIN

  • Besitz des YubiKey-Hardwaregeräts. Bei FIDO2 wird dies durch physisches Berühren des YubiKey während des Authentifizierungsprozesses bestätigt.

Bevor Sie beginnen

Legen Sie den öffentlichen PIV- oder FIDO2-Schlüssel fest, der für den YubiKey konfiguriert ist. Der ONTAP Select Deploy CLI-Befehl security publickey add -key ist für PIV oder FIDO2 gleich, aber die öffentliche Schlüsselzeichenfolge ist unterschiedlich.

Der öffentliche Schlüssel wird bezogen von:

  • Die Funktion In die Zwischenablage kopieren für PuTTY-CAC für PIV und FIDO2 (Windows)

  • Exportieren des öffentlichen Schlüssels in einem SSH-kompatiblen Format mithilfe von ssh-keygen -e Befehl für PIV

  • Die öffentliche Schlüsseldatei befindet sich in ~/.ssh/id_***_sk.pub Datei für FIDO2 (MacOS)

Schritte

  1. Suchen Sie den generierten Schlüssel in der .ssh/id_***.pub Datei.

  2. Fügen Sie den generierten Schlüssel zu ONTAP Select „ Bereitstellen“ und verwenden Sie die Option „Bereitstellen“. security publickey add -key <key> Befehl.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Aktivieren Sie die MFA-Authentifizierung mit dem security multifactor authentication enable Befehl.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

Melden Sie sich bei ONTAP Select Deploy mit der YubiKey PIV-Authentifizierung über SSH an

Sie können sich bei ONTAP Select Deploy mit der YubiKey PIV-Authentifizierung über SSH anmelden.

Schritte

  1. Nachdem das YubiKey-Token, der SSH-Client und ONTAP Select Deploy konfiguriert sind, können Sie die MFA YubiKey PIV-Authentifizierung über SSH verwenden.

  2. Melden Sie sich bei ONTAP Select „Bereitstellen“. Wenn Sie den Windows PuTTY-CAC SSH-Client verwenden, wird ein Dialogfeld angezeigt, in dem Sie zur Eingabe Ihrer YubiKey-PIN aufgefordert werden.

  3. Melden Sie sich von Ihrem Gerät mit angeschlossenem YubiKey an.

Beispielausgabe
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

ONTAP Select Deploy CLI MFA-Anmeldung mit ssh-keygen

Der ssh-keygen Der Befehl ist ein Werkzeug zum Erstellen neuer Authentifizierungsschlüsselpaare für SSH. Die Schlüsselpaare werden zur Automatisierung von Anmeldungen, Single Sign-On und zur Authentifizierung von Hosts verwendet.

Der ssh-keygen Der Befehl unterstützt mehrere Public-Key-Algorithmen für Authentifizierungsschlüssel.

  • Der Algorithmus wird mit dem -t Option

  • Die Tastengröße wird mit dem ausgewählt. -b Option

Beispielausgabe
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
Schritte

  1. Suchen Sie den generierten Schlüssel in der .ssh/id_***.pub Datei.

  2. Fügen Sie den generierten Schlüssel zu ONTAP Select „ Bereitstellen“ und verwenden Sie die Option „Bereitstellen“. security publickey add -key <key> Befehl.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Aktivieren Sie die MFA-Authentifizierung mit dem security multifactor authentication enable Befehl.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

  4. Melden Sie sich nach der Aktivierung von MFA beim ONTAP Select Deploy-System an. Sie sollten eine Ausgabe ähnlich dem folgenden Beispiel erhalten.

    [<user ID> ~]$ ssh <admin>
Authenticated with partial success.
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

Migrieren Sie von MFA zur Einzelfaktor-Authentifizierung

MFA kann für das Deploy-Administratorkonto mit den folgenden Methoden deaktiviert werden:

  • Wenn Sie sich über Secure Shell (SSH) als Administrator bei der Deploy CLI anmelden können, deaktivieren Sie die Multi-Faktor-Authentifizierung (MFA) durch Ausführen des folgenden Befehls: security multifactor authentication disable Befehl aus der Deploy CLI.

    (ONTAPdeploy) security multifactor authentication disable
MFA disabled Successfully

  • Wenn Sie sich nicht als Administrator per SSH bei der Deploy-CLI anmelden können:

    1. Stellen Sie über vCenter oder vSphere eine Verbindung zur Videokonsole „Deploy Virtual Machine“ (VM) her.

    2. Melden Sie sich mit dem Administratorkonto bei der Deploy-CLI an.

    3. Führe die security multifactor authentication disable Befehl.

      Debian GNU/Linux 11 <user ID> tty1

<hostname> login: admin
Password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy) security multifactor authentication disable
MFA disabled successfully

(ONTAPdeploy)

  • Der Administrator kann den öffentlichen Schlüssel mit folgendem Befehl löschen:
    security publickey delete -key