Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie Cisco Duo 2FA für SSH-Anmeldungen mit ONTAP

Beitragende
PDFs

Ab ONTAP 9.14.1 können Sie ONTAP während der SSH-Anmeldung für die zwei-Faktor-Authentifizierung (2FA) konfigurieren. Sie konfigurieren Duo auf Cluster-Ebene und dies gilt standardmäßig für alle Benutzerkonten. Alternativ können Sie Duo auf der Ebene der Storage-VM (früher als vServer bezeichnet) konfigurieren. In diesem Fall gilt dies nur für Benutzer dieser Storage-VM. Wenn Sie Duo aktivieren und konfigurieren, dient es als zusätzliche Authentifizierungsmethode, die die bestehenden Methoden für alle Benutzer ergänzt.

Wenn Sie die Duo-Authentifizierung für SSH-Anmeldungen aktivieren, müssen Benutzer ein Gerät registrieren, wenn sie sich das nächste Mal über SSH anmelden. Informationen zur Anmeldung finden Sie im Cisco Duo "Dokumentation der Anmeldung".

Über die ONTAP-Befehlszeilenschnittstelle können Sie mit Cisco Duo die folgenden Aufgaben ausführen:

Konfigurieren Sie Cisco Duo

Sie können mit dem[security login duo create Befehl eine Cisco Duo-Konfiguration für das gesamte Cluster oder für eine bestimmte Storage-VM (in der ONTAP-CLI als vServer bezeichnet) erstellen. Wenn Sie dies tun, ist Cisco Duo für SSH-Anmeldungen für dieses Cluster oder diese Storage-VM aktiviert. Weitere Informationen zum[security login duo create ^]-Befehl finden Sie in der ONTAP-Befehlsreferenz.

Schritte

  1. Melden Sie sich beim Cisco Duo-Administratorbereich an.

  2. Gehen Sie zu Anwendungen > UNIX-Anwendung.

  3. Notieren Sie den Integrationsschlüssel, den geheimen Schlüssel und den API-Hostnamen.

  4. Melden Sie sich über SSH bei Ihrem ONTAP-Konto an.

  5. Aktivieren Sie die Cisco Duo-Authentifizierung für diese Storage-VM und ersetzen Sie die Informationen aus Ihrer Umgebung durch die Werte in Klammern:

    security login duo create \
-vserver <STORAGE_VM_NAME> \
-integration-key <INTEGRATION_KEY> \
-secret-key <SECRET_KEY> \
-apihost <API_HOSTNAME>

Ändern Sie die Cisco Duo-Konfiguration

Sie können die Art und Weise ändern, wie Cisco Duo Benutzer authentifiziert (z. B. wie viele Authentifizierungsaufforderungen angegeben werden oder welcher HTTP-Proxy verwendet wird). Wenn Sie die Cisco Duo-Konfiguration für eine Speicher-VM ändern müssen (in der ONTAP-CLI als vserver bezeichnet), können Sie den[security login duo modify Befehl verwenden. Weitere Informationen zum[security login duo modify ^]-Befehl finden Sie in der ONTAP-Befehlsreferenz.

Schritte

  1. Melden Sie sich beim Cisco Duo-Administratorbereich an.

  2. Gehen Sie zu Anwendungen > UNIX-Anwendung.

  3. Notieren Sie den Integrationsschlüssel, den geheimen Schlüssel und den API-Hostnamen.

  4. Melden Sie sich über SSH bei Ihrem ONTAP-Konto an.

  5. Ändern Sie die Cisco Duo-Konfiguration für diese Speicher-VM, indem Sie aktualisierte Informationen aus Ihrer Umgebung durch die Werte in Klammern ersetzen:

    security login duo modify \
-vserver <STORAGE_VM_NAME> \
-integration-key <INTEGRATION_KEY> \
-secret-key <SECRET_KEY> \
-apihost <API_HOSTNAME> \
-pushinfo true|false \
-http-proxy <HTTP_PROXY_URL> \
-autopush true|false \
-max-prompts 1|2|3 \
-is-enabled true|false \
-fail-mode safe|secure

Entfernen Sie die Cisco Duo-Konfiguration

Sie können die Cisco Duo-Konfiguration entfernen, sodass SSH-Benutzer sich bei der Anmeldung nicht mehr mit Duo authentifizieren müssen. Um die Cisco Duo-Konfiguration für eine Speicher-VM zu entfernen (in der ONTAP-CLI als vServer bezeichnet), können Sie den[security login duo delete Befehl verwenden. Weitere Informationen zum[security login duo delete ^]-Befehl finden Sie in der ONTAP-Befehlsreferenz.

Schritte

  1. Melden Sie sich über SSH bei Ihrem ONTAP-Konto an.

  2. Entfernen Sie die Cisco Duo-Konfiguration für diese Speicher-VM und ersetzen Sie Ihren Speicher-VM-Namen durch <STORAGE_VM_NAME>:

    security login duo delete  -vserver <STORAGE_VM_NAME>

    Dadurch wird die Cisco Duo-Konfiguration für diese Speicher-VM endgültig gelöscht.

Cisco Duo-Konfiguration anzeigen

Sie können die bestehende Cisco Duo-Konfiguration für eine Storage-VM (in der ONTAP-CLI als vserver bezeichnet) mit dem[security login duo show Befehl anzeigen. Weitere Informationen zum[security login duo show ^]-Befehl finden Sie in der ONTAP-Befehlsreferenz.

Schritte

  1. Melden Sie sich über SSH bei Ihrem ONTAP-Konto an.

  2. Zeigen Sie die Cisco Duo-Konfiguration für diese Storage-VM. Optional können Sie mit dem vserver Parameter eine Storage-VM angeben und den Namen der Storage-VM ersetzen für <STORAGE_VM_NAME>:

    security login duo show -vserver <STORAGE_VM_NAME>

    Sie sollten eine Ausgabe wie die folgende sehen:

    Vserver: testcluster
Enabled: true

Status: ok
INTEGRATION-KEY: DI89811J9JWMJCCO7IOH
SKEY SHA Fingerprint:
b79ffa4b1c50b1c747fbacdb34g671d4814
API Host: api-host.duosecurity.com
Autopush: true
Push info: true
Failmode: safe
Http-proxy: 192.168.0.1:3128
Prompts: 1
Comments: -

Erstellen Sie eine Duo-Gruppe

Sie können Cisco Duo anweisen, nur die Benutzer in einem bestimmten Active Directory, LDAP oder einer lokalen Benutzergruppe in den Duo-Authentifizierungsprozess einzubeziehen. Wenn Sie eine Duo-Gruppe erstellen, werden nur die Benutzer dieser Gruppe zur Duo-Authentifizierung aufgefordert. Sie können eine Duo-Gruppe mit dem[security login duo group create Befehl erstellen. Wenn Sie eine Gruppe erstellen, können Sie optional bestimmte Benutzer dieser Gruppe aus dem Duo-Authentifizierungsprozess ausschließen. Weitere Informationen zum[security login duo group create ^]-Befehl finden Sie in der ONTAP-Befehlsreferenz.

Schritte

  1. Melden Sie sich über SSH bei Ihrem ONTAP-Konto an.

  2. Erstellen Sie die Duo-Gruppe, indem Sie Informationen aus Ihrer Umgebung durch die Werte in Klammern ersetzen. Wenn Sie den -vserver Parameter nicht angeben, wird die Gruppe auf Cluster-Ebene erstellt:

    security login duo group create -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -excluded-users <USER1, USER2>

    Der Name der Duo-Gruppe muss mit einer Active Directory-, LDAP- oder lokalen Gruppe übereinstimmen. Benutzer, die Sie mit dem optionalen -excluded-users Parameter angeben, werden nicht in den Duo-Authentifizierungsprozess einbezogen.

Zeigen Sie Duo-Gruppen an

Sie können vorhandene Cisco Duo-Gruppeneinträge mit dem[security login duo group show Befehl anzeigen. Weitere Informationen zum[security login duo group show ^]-Befehl finden Sie in der ONTAP-Befehlsreferenz.

Schritte

  1. Melden Sie sich über SSH bei Ihrem ONTAP-Konto an.

  2. Zeigen Sie die Gruppeneinträge der Duo-Gruppe an und ersetzen Sie die Informationen aus Ihrer Umgebung durch die Werte in Klammern. Wenn Sie den -vserver Parameter nicht angeben, wird die Gruppe auf Cluster-Ebene angezeigt:

    security login duo group show -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -excluded-users <USER1, USER2>

    Der Name der Duo-Gruppe muss mit einer Active Directory-, LDAP- oder lokalen Gruppe übereinstimmen. Benutzer, die Sie mit dem optionalen -excluded-users Parameter angeben, werden nicht angezeigt.

Entfernen Sie eine Duo-Gruppe

Sie können einen Duo-Gruppeneintrag mit dem[security login duo group delete Befehl entfernen. Wenn Sie eine Gruppe entfernen, werden die Benutzer dieser Gruppe nicht mehr in den Duo-Authentifizierungsprozess einbezogen. Weitere Informationen zum[security login duo group delete ^]-Befehl finden Sie in der ONTAP-Befehlsreferenz.

Schritte

  1. Melden Sie sich über SSH bei Ihrem ONTAP-Konto an.

  2. Entfernen Sie den Gruppeneintrag Duo, und ersetzen Sie die Informationen aus Ihrer Umgebung durch die Werte in Klammern. Wenn Sie den -vserver Parameter nicht angeben, wird die Gruppe auf Cluster-Ebene entfernt:

    security login duo group delete -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME>

    Der Name der Duo-Gruppe muss mit einer Active Directory-, LDAP- oder lokalen Gruppe übereinstimmen.

Umgehen Sie die Duo-Authentifizierung für Benutzer

Sie können alle Benutzer oder bestimmte Benutzer von der Duo SSH-Authentifizierung ausschließen.

Alle Duo-Benutzer ausschließen

Sie können die Cisco Duo SSH-Authentifizierung für alle Benutzer deaktivieren.

Schritte

  1. Melden Sie sich über SSH bei Ihrem ONTAP-Konto an.

  2. Deaktivieren Sie die Cisco Duo-Authentifizierung für SSH-Benutzer, indem Sie den vServer-Namen durch <STORAGE_VM_NAME> folgende ersetzen:

    security login duo modify -vserver <STORAGE_VM_NAME> -is-enabled false

Benutzer der Duo-Gruppe ausschließen

Sie können bestimmte Benutzer, die Teil einer Duo-Gruppe sind, aus dem Duo SSH-Authentifizierungsprozess ausschließen.

Schritte

  1. Melden Sie sich über SSH bei Ihrem ONTAP-Konto an.

  2. Deaktivieren Sie die Cisco Duo-Authentifizierung für bestimmte Benutzer in einer Gruppe. Ersetzen Sie den Gruppennamen und die Liste der auszuschließenden Benutzer durch die Werte in Klammern:

    security login duo group modify -group-name <GROUP_NAME> -excluded-users <USER1, USER2>

    Der Name der Duo-Gruppe muss mit einer Active Directory-, LDAP- oder lokalen Gruppe übereinstimmen. Benutzer, die Sie mit dem -excluded-users Parameter angeben, werden nicht in den Duo-Authentifizierungsprozess einbezogen.

Lokale Duo-Benutzer ausschließen

Sie können bestimmte lokale Benutzer von der Duo-Authentifizierung ausschließen, indem Sie das Cisco Duo-Administratorfenster verwenden. Anweisungen hierzu finden Sie im "Cisco Duo-Dokumentation".