Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Dynamische Autorisierung anpassen

Beitragende
PDFs

Als Administrator können Sie verschiedene Aspekte Ihrer dynamischen Autorisierungskonfiguration anpassen, um die Sicherheit von SSH-Verbindungen des Remote-Administrators zu Ihrem ONTAP-Cluster zu erhöhen.

Sie können die folgenden dynamischen Autorisierungseinstellungen je nach Ihren Sicherheitsanforderungen anpassen:

Konfigurieren Sie die globalen Einstellungen für die dynamische Autorisierung

Sie können globale Einstellungen für die dynamische Autorisierung konfigurieren, einschließlich der zu sicheren Speicher-VM, des Unterdrückungsintervalls für Authentifizierungsherausforderungen und der Einstellungen für die Vertrauensbewertung.

Weitere Informationen zu den Parametern und Standardwerten für das security dynamic-authorization modify Finden Sie weitere Informationen in den ONTAP-Handbuchseiten.

Schritte

  1. Konfigurieren Sie globale Einstellungen für dynamische Autorisierung. Wenn Sie den nicht verwenden -vserver Parameter, der Befehl wird auf Cluster-Ebene ausgeführt. Aktualisieren Sie die Werte in Klammern <>, um sie an Ihre Umgebung anzupassen:

    security dynamic-authorization modify \
-lower-challenge-boundary <percent> \
-upper-challenge-boundary <percent> \
-suppression-interval <interval> \
-vserver <storage_VM_name>

  2. Die resultierende Konfiguration anzeigen:

    security dynamic-authorization show

Eingeschränkte Befehle konfigurieren

Wenn Sie die dynamische Autorisierung aktivieren, enthält die Funktion einen Standardsatz von eingeschränkten Befehlen. Sie können diese Liste an Ihre Bedürfnisse anpassen. Siehe "Multi-Admin Verification (MAV)-Dokumentation" Für Informationen zur Standardliste der eingeschränkten Befehle.

Fügen Sie einen eingeschränkten Befehl hinzu

Sie können der Liste der Befehle, die durch dynamische Autorisierung eingeschränkt sind, einen Befehl hinzufügen.

Weitere Informationen zu den Parametern und Standardwerten für das security dynamic-authorization rule create Finden Sie weitere Informationen in den ONTAP-Handbuchseiten.

Schritte

  1. Fügen Sie den Befehl hinzu. Aktualisieren Sie die Werte in Klammern <>, um sie an Ihre Umgebung anzupassen. Wenn Sie den nicht verwenden -vserver Parameter, der Befehl wird auf Cluster-Ebene ausgeführt. Fett formatierte Parameter sind erforderlich:

    security dynamic-authorization rule create \
-query <query> \
-operation <text> \
-index <integer> \
-vserver <storage_VM_name>

  2. Zeigt die resultierende Liste der eingeschränkten Befehle an:

    security dynamic-authorization rule show

Entfernen Sie einen eingeschränkten Befehl

Sie können einen Befehl aus der Liste der Befehle entfernen, die mit dynamischer Autorisierung eingeschränkt sind.

Weitere Informationen zu den Parametern und Standardwerten für das security dynamic-authorization rule delete Finden Sie weitere Informationen in den ONTAP-Handbuchseiten.

Schritte

  1. Entfernen Sie den Befehl. Aktualisieren Sie die Werte in Klammern <>, um sie an Ihre Umgebung anzupassen. Wenn Sie den nicht verwenden -vserver Parameter, der Befehl wird auf Cluster-Ebene ausgeführt. Fett formatierte Parameter sind erforderlich:

    security dynamic-authorization rule delete \
-operation <text> \
-vserver <storage_VM_name>

  2. Zeigt die resultierende Liste der eingeschränkten Befehle an:

    security dynamic-authorization rule show

Konfigurieren Sie dynamische Autorisierungsgruppen

Standardmäßig gilt die dynamische Autorisierung für alle Benutzer und Gruppen, sobald Sie sie aktivieren. Sie können jedoch Gruppen mit dem erstellen security dynamic-authorization group create So dass die dynamische Autorisierung nur für bestimmte Benutzer gilt.

Fügen Sie eine dynamische Autorisierungsgruppe hinzu

Sie können eine dynamische Autorisierungsgruppe hinzufügen.

Weitere Informationen zu den Parametern und Standardwerten für das security dynamic-authorization group create Finden Sie weitere Informationen in den ONTAP-Handbuchseiten.

Schritte

  1. Erstellen Sie die Gruppe. Aktualisieren Sie die Werte in Klammern <>, um sie an Ihre Umgebung anzupassen. Wenn Sie den nicht verwenden -vserver Parameter, der Befehl wird auf Cluster-Ebene ausgeführt. Fett formatierte Parameter sind erforderlich:

    security dynamic-authorization group create \
-group-name <group-name> \
-vserver <storage_VM_name> \
-exclude-users <user1,user2,user3...>

  2. Anzeigen der resultierenden dynamischen Autorisierungsgruppen:

    security dynamic-authorization group show

Entfernen einer dynamischen Berechtigungsgruppe

Sie können eine dynamische Autorisierungsgruppe entfernen.

Schritte

  1. Löschen Sie die Gruppe. Aktualisieren Sie die Werte in Klammern <>, um sie an Ihre Umgebung anzupassen. Wenn Sie den nicht verwenden -vserver Parameter, der Befehl wird auf Cluster-Ebene ausgeführt. Fett formatierte Parameter sind erforderlich:

    security dynamic-authorization group delete \
-group-name <group-name> \
-vserver <storage_VM_name>

  2. Anzeigen der resultierenden dynamischen Autorisierungsgruppen:

    security dynamic-authorization group show

Konfigurieren Sie die Komponenten für die dynamische Autorisierung der Vertrauensbewertung

Sie können die maximale Gewichtung der Bewertung konfigurieren, um die Priorität der Bewertungskriterien zu ändern oder bestimmte Kriterien aus der Risikobewertung zu entfernen.

Hinweis Als Best Practice sollten Sie die Standardwerte für die Gewichtung der Punktzahl beibehalten und nur bei Bedarf anpassen.

Weitere Informationen zu den Parametern und Standardwerten für das security dynamic-authorization trust-score-component modify Finden Sie weitere Informationen in den ONTAP-Handbuchseiten.

Im Folgenden finden Sie die Komponenten, die Sie zusammen mit der Standardbewertung und den Prozentgewichtungen ändern können:

Kriterien Komponentenname Standardgewicht für Rohwert Standardgewichtung in Prozent

Vertrauenswürdiges Gerät

trusted-device

20

50

Authentifizierungsverlauf der Benutzeranmeldung

authentication-history

20

50
Schritte

  1. Komponenten der Vertrauensbewertung ändern. Aktualisieren Sie die Werte in Klammern <>, um sie an Ihre Umgebung anzupassen. Wenn Sie den nicht verwenden -vserver Parameter, der Befehl wird auf Cluster-Ebene ausgeführt. Fett formatierte Parameter sind erforderlich:

    security dynamic-authorization trust-score-component modify \
-component <component-name> \
-weight <integer> \
-vserver <storage_VM_name>

  2. Anzeigen der resultierenden Komponenteneinstellungen für die Vertrauensbewertung:

    security dynamic-authorization trust-score-component show

Setzt die Vertrauensbewertung für einen Benutzer zurück

Wenn einem Benutzer aufgrund von Systemrichtlinien der Zugriff verweigert wird und seine Identität nachgewiesen werden kann, kann der Administrator die Vertrauensbewertung des Benutzers zurücksetzen.

Weitere Informationen zu den Parametern und Standardwerten für das security dynamic-authorization user-trust-score reset Finden Sie weitere Informationen in den ONTAP-Handbuchseiten.

Schritte

  1. Fügen Sie den Befehl hinzu. Siehe Konfigurieren Sie die Komponenten für die dynamische Autorisierung der Vertrauensbewertung Für eine Liste der Komponenten der Vertrauensbewertung, die Sie zurücksetzen können. Aktualisieren Sie die Werte in Klammern <>, um sie an Ihre Umgebung anzupassen. Wenn Sie den nicht verwenden -vserver Parameter, der Befehl wird auf Cluster-Ebene ausgeführt. Fett formatierte Parameter sind erforderlich:

    security dynamic-authorization user-trust-score reset \
-username <username> \
-component <component-name> \
-vserver <storage_VM_name>

Zeigen Sie Ihre Vertrauensbewertung an

Ein Benutzer kann seine eigene Vertrauensbewertung für eine Anmeldesitzung anzeigen.

Schritte

  1. Ihr Vertrauenswert anzeigen:

    security login whoami

    Sie sollten eine Ausgabe wie die folgende sehen:

    User: admin
Role: admin
Trust Score: 50

Konfigurieren Sie einen benutzerdefinierten Anbieter für Vertrauensbewertung

Wenn Sie bereits Bewertungsmethoden von einem externen Anbieter für Vertrauensbewertungen erhalten, können Sie den benutzerdefinierten Anbieter der dynamischen Autorisierungskonfiguration hinzufügen.

Bevor Sie beginnen

  • Der benutzerdefinierte Anbieter für Vertrauensbewertung muss eine JSON-Antwort zurückgeben. Folgende Syntaxanforderungen müssen erfüllt sein:

    • Das Feld, das die Vertrauensstellung zurückgibt, muss ein skalares Feld sein und kein Element eines Arrays.

    • Das Feld, das die Vertrauensbewertung zurückgibt, kann ein verschachteltes Feld sein, z. B. trust_score.value.

    • In der JSON-Antwort muss ein Feld vorhanden sein, das eine numerische Vertrauensbewertung zurückgibt. Wenn dies nicht nativ verfügbar ist, können Sie ein Wrapper-Skript schreiben, um diesen Wert zurückzugeben.

  • Der angegebene Wert kann entweder eine Vertrauensbewertung oder eine Risikobewertung sein. Der Unterschied besteht darin, dass die Vertrauensbewertung in aufsteigender Reihenfolge erfolgt, wobei eine höhere Bewertung ein höheres Vertrauensniveau bedeutet, während die Risikobewertung in absteigender Reihenfolge erfolgt. Ein Vertrauenswert von 90 für einen Score-Bereich von 0 bis 100 zeigt beispielsweise an, dass die Bewertung sehr vertrauenswürdig ist und wahrscheinlich zu einem „Zulassen“ ohne zusätzliche Herausforderung führt. während ein Risiko-Score von 90 für einen Score-Bereich von 0 bis 100 auf ein hohes Risiko hinweist und wahrscheinlich zu einem „Deny“ ohne zusätzliche Herausforderung führt.

  • Auf den benutzerdefinierten Anbieter für die Vertrauensbewertung muss über die ONTAP-REST-API zugegriffen werden können.

  • Der benutzerdefinierte Anbieter für die Vertrauensbewertung muss mit einem der unterstützten Parameter konfiguriert werden. Benutzerdefinierte Anbieter von Vertrauensbewertungen, die eine Konfiguration erfordern, die nicht in der unterstützten Parameterliste enthalten ist, werden nicht unterstützt.

Weitere Informationen zu den Parametern und Standardwerten für das security dynamic-authorization trust-score-component create Finden Sie weitere Informationen in den ONTAP-Handbuchseiten.

Schritte

  1. Fügen Sie einen benutzerdefinierten Anbieter für Vertrauensbewertung hinzu. Aktualisieren Sie die Werte in Klammern <>, um sie an Ihre Umgebung anzupassen. Wenn Sie den nicht verwenden -vserver Parameter, der Befehl wird auf Cluster-Ebene ausgeführt. Fett formatierte Parameter sind erforderlich:

    security dynamic-authorization trust-score-component create \
-component <text> \
-provider-uri <text> \
-score-field <text> \
-min-score <integer> \
-max-score <integer> \
-weight <integer> \
-secret-access-key "<key_text>" \
-provider-http-headers <list<header,header,header>> \
-vserver <storage_VM_name>

  2. Die resultierenden Einstellungen für den Anbieter der Vertrauensbewertung anzeigen:

    security dynamic-authorization trust-score-component show

Konfigurieren Sie benutzerdefinierte Provider-Tags für die Vertrauensbewertung

Sie können mit externen Anbietern von Vertrauensbewertungen über Tags kommunizieren. Auf diese Weise können Sie Informationen in der URL an den Anbieter der Vertrauensstellung senden, ohne vertrauliche Informationen preiszugeben.

Weitere Informationen zu den Parametern und Standardwerten für das security dynamic-authorization trust-score-component create Finden Sie weitere Informationen in den ONTAP-Handbuchseiten.

Schritte

  1. Aktivieren Sie die Tags für Anbieter von Vertrauensbewertung. Aktualisieren Sie die Werte in Klammern <>, um sie an Ihre Umgebung anzupassen. Wenn Sie den nicht verwenden -vserver Parameter, der Befehl wird auf Cluster-Ebene ausgeführt. Fett formatierte Parameter sind erforderlich:

    security dynamic-authorization trust-score-component create \
-component <component_name> \
-weight <initial_score_weight> \
-max-score <max_score_for_provider> \
-provider-uri <provider_URI> \
-score-field <REST_API_score_field> \
-secret-access-key "<key_text>"

    Beispiel:

    security dynamic-authorization trust-score-component create -component comp1 -weight 20 -max-score 100 -provider-uri https://<url>/trust-scores/users/<user>/<ip>/component1.html?api-key=<access-key> -score-field score -access-key "MIIBBjCBrAIBArqyTHFvYdWiOpLkLKHGjUYUNSwfzX"