Skip to main content
ONTAP tools for VMware vSphere 10
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie ONTAP-Benutzerrollen und -Berechtigungen

Beitragende netapp-jani dmp-netapp
PDFs

Konfigurieren Sie Benutzerrollen und Berechtigungen für Speicher-Backends mit der JSON-Datei aus ONTAP tools for VMware vSphere und ONTAP System Manager.

Bevor Sie beginnen

  • Laden Sie die ONTAP Privileges von den ONTAP tools for VMware vSphere mit https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip herunter. Nach dem Herunterladen der ZIP-Datei finden Sie zwei JSON-Dateien. Verwenden Sie die ASA r2-spezifische JSON-Datei, wenn Sie ein ASA r2-System konfigurieren.

    Hinweis Sie können Benutzer auf Clusterebene oder direkt auf der Ebene der virtuellen Speichermaschinen (SVMs) erstellen. Wenn Sie die Datei user_roles.json nicht verwenden, stellen Sie sicher, dass der Benutzer über die erforderlichen Mindestberechtigungen für SVM verfügt.

  • Melden Sie sich mit Administratorrechten für das Speicher-Backend an.

Schritte

  1. Extrahieren Sie die heruntergeladene Datei https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip.

  2. Sie können über die Cluster-Management-IP-Adresse des Clusters auf ONTAP System Manager zugreifen.

  3. Melden Sie sich mit Administratorrechten beim Cluster an. So konfigurieren Sie einen Benutzer:

    1. Um einen Cluster ONTAP Tools-Benutzer zu konfigurieren, wählen Sie den Bereich Cluster > Einstellungen > Benutzer und Rollen.

    2. Um einen SVM ONTAP -Tools-Benutzer zu konfigurieren, wählen Sie den Bereich Storage SVM > Einstellungen > Benutzer und Rollen.

    3. Wählen Sie unter Benutzer * Hinzufügen *.

    4. Wählen Sie im Dialogfeld * Benutzer hinzufügen* die Option Virtualisierungsprodukte aus.

    5. Durchsuchen, um die JSON-Datei mit den ONTAP Privileges auszuwählen und hochzuladen. Wählen Sie für Nicht- ASA R2-Systeme die Datei users_roles.json und für ASA R2-Systeme die Datei users_roles_ASAr2.json aus.

      ONTAP -Tools füllen das Produktfeld automatisch aus.

    6. Wählen Sie aus der Dropdown-Liste die Produktfunktion „VSC, VASA Provider und SRA“ aus.

      ONTAP -Tools füllen das Feld Rolle automatisch basierend auf der von Ihnen ausgewählten Produktfunktion aus.

    7. Geben Sie den erforderlichen Benutzernamen und das erforderliche Passwort ein.

    8. Wählen Sie die Berechtigungen (Erkennung, Speicher erstellen, Speicher ändern, Speicher zerstören, NAS/SAN-Rolle) aus, die der Benutzer benötigt, und wählen Sie dann Hinzufügen.

ONTAP -Tools fügen die neue Rolle und den neuen Benutzer hinzu. Sie können die Berechtigungen unter der von Ihnen konfigurierten Rolle anzeigen.

Anforderungen für die SVM-Aggregatzuordnung

Beim Bereitstellen von Datenspeichern mithilfe von SVM-Benutzeranmeldeinformationen erstellen ONTAP tools for VMware vSphere Volumes auf dem in der POST-API des Datenspeichers angegebenen Aggregat. ONTAP verhindert, dass SVM-Benutzer Volumes auf Aggregaten erstellen, die nicht dem SVM zugeordnet sind. Ordnen Sie die SVM mithilfe der ONTAP REST API oder CLI den erforderlichen Aggregaten zu, bevor Sie Volumes erstellen.

REST-API:

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

ONTAP-CLI:

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

Erstellen Sie ONTAP-Benutzer und -Rolle manuell

Erstellen Sie Benutzer und Rollen manuell ohne die JSON-Datei.

  1. Sie können über die Cluster-Management-IP-Adresse des Clusters auf ONTAP System Manager zugreifen.

  2. Melden Sie sich mit dem Admin-Privileges beim Cluster an.

    1. Um die Rollen der Cluster ONTAP Tools zu konfigurieren, wählen Sie Cluster > Einstellungen > Benutzer und Rollen.

    2. Um die Rollen der Cluster-SVM ONTAP -Tools zu konfigurieren, wählen Sie Storage-SVM > Einstellungen > Benutzer und Rollen.

  3. Rollen erstellen:

    1. Wählen Sie Hinzufügen unter Rollen Tabelle.

    2. Geben Sie die Details Rollenname und Rollenattribute ein.

      Fügen Sie den REST-API-Pfad hinzu und wählen Sie den Zugriff aus der Dropdown-Liste.

    3. Fügen Sie alle benötigten APIs hinzu und speichern Sie die Änderungen.

  4. Benutzer erstellen:

    1. Wählen Sie Hinzufügen unter Benutzer Tabelle.

    2. Wählen Sie im Dialogfeld Benutzer hinzufügen System Manager aus.

    3. Geben Sie den Benutzernamen * ein.

    4. Wählen Sie Rolle aus den Optionen aus, die im Schritt Rollen erstellen oben erstellt wurden.

    5. Geben Sie die Anwendungen ein, auf die Zugriff gewährt werden soll, und geben Sie die Authentifizierungsmethode ein. ONTAPI und HTTP sind die erforderlichen Anwendungen, und der Authentifizierungstyp ist Password.

    6. Legen Sie das Passwort für den Benutzer und Speichern für den Benutzer fest.

Liste der Mindestberechtigungen, die für einen nicht-Administrator-Cluster mit globalem Umfang erforderlich sind

In diesem Abschnitt sind die Mindestberechtigungen aufgeführt, die für einen Clusterbenutzer mit globalem Geltungsbereich ohne Administratorrechte und ohne JSON-Datei erforderlich sind. Wenn sich ein Cluster im lokalen Bereich befindet, verwenden Sie die JSON-Datei zum Erstellen von Benutzern, da ONTAP tools for VMware vSphere mehr als nur Leseberechtigungen für die Bereitstellung auf ONTAP benötigen.

Sie können über APIs auf die Funktionen zugreifen:

API

Zugangsstufe

Verwendet für

/API/Cluster

Schreibgeschützt

Erkennung der Clusterkonfiguration

/API/Cluster/Lizenzierung/Lizenzen

Schreibgeschützt

Lizenzprüfung für protokollspezifische Lizenzen

/API/Cluster/Nodes

Schreibgeschützt

Erkennung des Plattformtyps

/API/Sicherheit/Konten

Schreibgeschützt

Berechtigungsermittlung

/API/Sicherheit/Funktionen

Schreibgeschützt

Berechtigungsermittlung

/API/Storage/Aggregate

Schreibgeschützt

Überprüfung des Gesamtspeicherplatzes während der Bereitstellung von Datenspeichern/Volumes

/API/Storage/Cluster

Schreibgeschützt

So erhalten Sie Speicherplatz- und Effizienzdaten auf Clusterebene

/API/Storage/Festplatten

Schreibgeschützt

So erhalten Sie die in einem Aggregat verknüpften Datenträger

/API/Storage/qos/Richtlinien

Lesen/Erstellen/Ändern

QoS- und VM-Richtlinienverwaltung

/API/svm/svms

Schreibgeschützt

Um die SVM-Konfiguration abzurufen, wenn der Cluster lokal hinzugefügt wird.

/API/Netzwerk/ip/Schnittstellen

Schreibgeschützt

Speicher-Backend hinzufügen – Um zu identifizieren, dass der Verwaltungs-LIF-Bereich Cluster/SVM ist

/API/Storage/Verfügbarkeitszonen

Schreibgeschützt

SAZ-Entdeckung. Gilt für ONTAP Versionen ab 9.16.1 und ASA r2-Systeme.

/api/cluster/metrocluster

Schreibgeschützt

Ruft den Status und die Konfigurationsdetails von MetroCluster ab.

Erstellen Sie ONTAP Tools für VMware vSphere ONTAP API-basierten Cluster Scoped User

Hinweis Für PATCH-Vorgänge und automatische Rollbacks auf Datenspeichern sind Berechtigungen zum Ermitteln, Erstellen, Ändern und Löschen erforderlich. Fehlende Berechtigungen können zu Problemen beim Workflow und bei der Bereinigung führen.

Ein auf der ONTAP -API basierender Benutzer mit den Berechtigungen zum Erkennen, Erstellen, Ändern und Löschen kann die Workflows der ONTAP -Tools verwalten.

Führen Sie die folgenden Befehle aus, um einen Cluster-scoped-Benutzer mit allen oben genannten Privileges zu erstellen:

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all

security login rest-role create -role <role-name> -api /api/storage/volumes -access all

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all

security login rest-role create -role <role-name> -api /api/storage/luns -access all

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all

security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify

security login rest-role create -role <role-name> -api /api/cluster -access readonly

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly

security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly

security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly

security login rest-role create -role <role-name> -api /api/security/roles -access readonly

security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly

security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly

security login rest-role create -role <role-name> -api /api/storage/disks -access readonly

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly

security login rest-role create -role <role-name> -api /api/cluster/metrocluster -access readonly

Außerdem führen Sie für ONTAP-Versionen 9.16.0 und höher den folgenden Befehl aus:

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all

Führen Sie für ASA r2-Systeme mit ONTAP Version 9.16.1 und höher den folgenden Befehl aus:

security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly

ONTAP Tools für VMware vSphere ONTAP API-basierten SVM-Scoped User erstellen

Führen Sie die folgenden Befehle aus, um einen SVM-Benutzer mit allen Berechtigungen zu erstellen:

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>

Außerdem führen Sie für ONTAP-Versionen 9.16.0 und höher den folgenden Befehl aus:

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>

Um einen neuen API-basierten Benutzer mit den oben erstellten API-basierten Rollen zu erstellen, führen Sie den folgenden Befehl aus:

security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>

Beispiel:

security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_

Führen Sie den folgenden Befehl aus, um das Konto zu entsperren und den Zugriff auf die Verwaltungsschnittstelle zu aktivieren:

security login unlock -user <user-name> -vserver <cluster-or-vserver-name>

Beispiel:

security login unlock -username testvpsraall -vserver C1_sti160-cluster

Upgrade von ONTAP Tools für VMware vSphere 10.1 Benutzer auf 10.3 Benutzer

Verwenden Sie für Benutzer von ONTAP Tools für VMware vSphere 10.1, die über einen Cluster-scoped-Benutzer erstellt haben, die über die JSON-Datei erstellt wurden, zum Upgrade auf Version 10.3 die folgenden ONTAP-CLI-Befehle mit dem Benutzer-Admin-Privileges.

Produktfunktionen:

  • VSC

  • VSC und VASA Provider

  • VSC und SRA

  • VSC, VASA Provider und SRA.

Cluster-Privileges:

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Namespace show“ -Access all

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme subsystem show“ -Access all

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Subsystem Host show“ -Access all

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Subsystem map show“ -Access all

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme show-Interface“ -Access read

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Subsystem Host add“ -Access all

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Subsystem map add“ -Access all

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Namespace delete“ -Access all

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme subsystem delete“ -Access all

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Subsystem Host remove“ -Access all

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Subsystem map remove“ -Access all

Verwenden Sie für ONTAP Tools für Benutzer von VMware vSphere 10.1 mit einem im SVM-Umfang enthaltenen Benutzer, die mit der json-Datei erstellt wurden, zum Upgrade auf Version 10.3 die ONTAP-CLI-Befehle mit Admin-Benutzer Privileges.

SVM-Privileges:

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Namespace show“ -Access all -vserver <vserver-name>

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme subsystem show“ -Access all -vserver <vserver-name>

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Subsystem Host show“ -Access all -vserver <vserver-name>

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Subsystem map show“ -Access all -vserver <vserver-name>

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme show-Interface“ -Access read -vserver <vserver-name>

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Subsystem Host add“ -Access all -vserver <vserver-name>

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Subsystem map add“ -Access all -vserver <vserver-name>

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Namespace delete“ -Access all -vserver <vserver-name>

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme subsystem delete“ -Access all -vserver <vserver-name>

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Subsystem Host remove“ -Access all -vserver <vserver-name>

Security Login role create -role <existing-role-name> -cmddirname „vserver nvme Subsystem map remove“ -Access all -vserver <vserver-name>

Um die folgenden Befehle zu aktivieren, fügen Sie der vorhandenen Rolle die Befehle vserver nvme namespace show und vserver nvme subsystem show hinzu.

vserver nvme namespace create

vserver nvme namespace modify

vserver nvme subsystem create

vserver nvme subsystem modify

Upgrade von ONTAP Tools für VMware vSphere 10.3 Benutzer auf 10.4 Benutzer

Ab ONTAP 9.16.1 aktualisieren Sie die ONTAP tools for VMware vSphere 10.3-Benutzer auf 10.4-Benutzer.

Verwenden Sie für ONTAP Tools für VMware vSphere 10.3 Benutzer mit einem über Cluster erstellten Benutzer, der über die JSON-Datei und ONTAP Version 9.16.1 oder höher erstellt wurde, den ONTAP-CLI-Befehl mit dem Admin-Benutzer Privileges, um ein Upgrade auf den Release 10.4 durchzuführen.

Produktfunktionen:

  • VSC

  • VSC und VASA Provider

  • VSC und SRA

  • VSC, VASA Provider und SRA.

Cluster-Privileges:

security login role create -role <existing-role-name> -cmddirname "storage availability-zone show" -access all