Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren der JIT-Berechtigungserhöhung in ONTAP

Beitragende netapp-bhouser netapp-aaron-holt
PDFs

Ab ONTAP 9.17.1 können Clusteradministratoren Just-in-Time (JIT)-Berechtigungserhöhungen konfigurieren, um ONTAP Benutzern die vorübergehende Erhöhung ihrer Berechtigungen für bestimmte Aufgaben zu ermöglichen. Wenn JIT für einen Benutzer konfiguriert ist, kann dieser vorübergehend "ihre Privilegien erhöhen" einer Rolle, die über die erforderlichen Berechtigungen zum Ausführen einer Aufgabe verfügt. Nach Ablauf der Sitzungsdauer kehrt der Benutzer zu seiner ursprünglichen Zugriffsebene zurück.

Clusteradministratoren können die Dauer konfigurieren, für die ein Benutzer auf JIT-Rechteerweiterungen zugreifen kann. Beispielsweise können Sie den JIT-Rechtezugriff mit einem Sitzungslimit von 30 Minuten (Sitzungsgültigkeitsdauer) für einen Zeitraum von 30 Tagen (JIT-Gültigkeitsdauer) konfigurieren. Während dieses 30-tägigen Zeitraums kann der Benutzer seine Rechte beliebig oft erweitern, die Sitzungsdauer ist jedoch auf 30 Minuten begrenzt.

Die JIT-Berechtigungserweiterung unterstützt das Prinzip der geringsten Rechte und ermöglicht Benutzern die Ausführung von Aufgaben, die erhöhte Rechte erfordern, ohne ihnen diese Rechte dauerhaft zu gewähren. Dies reduziert das Risiko unbefugten Zugriffs oder versehentlicher Änderungen am System. Die folgenden Beispiele beschreiben einige gängige Anwendungsfälle für die JIT-Berechtigungserweiterung:

  • Erlauben Sie vorübergehenden Zugriff auf die security login create Und security login delete Befehle zum Aktivieren des Onboardings und Offboardings von Benutzern.

  • Erlauben Sie vorübergehenden Zugriff auf system node image update Und system node upgrade-revert während eines Update-Fensters. Nach Abschluss des Updates wird der Befehlszugriff widerrufen.

  • Erlauben Sie vorübergehenden Zugriff auf cluster add-node , cluster remove-node , Und cluster modify um die Clustererweiterung oder -neukonfiguration zu ermöglichen. Sobald die Clusteränderungen abgeschlossen sind, wird der Befehlszugriff widerrufen.

  • Erlauben Sie vorübergehenden Zugriff auf volume snapshot restore um Wiederherstellungsvorgänge und die Verwaltung von Sicherungszielen zu ermöglichen. Sobald die Wiederherstellung oder Konfiguration abgeschlossen ist, wird der Befehlszugriff widerrufen.

  • Erlauben Sie vorübergehenden Zugriff auf security audit log show um die Überprüfung und den Export des Prüfprotokolls während einer Konformitätsprüfung zu ermöglichen.

finden Sie unter Gängige JIT-Anwendungsfälle .

Clusteradministratoren können JIT-Zugriff für ONTAP -Benutzer einrichten und die standardmäßigen JIT-Gültigkeitszeiträume entweder global im gesamten Cluster oder für bestimmte SVMs konfigurieren.

Über diese Aufgabe

  • Die JIT-Berechtigungserweiterung ist nur für Benutzer verfügbar, die per SSH auf ONTAP zugreifen. Erhöhte Berechtigungen sind nur innerhalb der aktuellen SSH-Sitzung des Benutzers verfügbar, können aber innerhalb beliebig vieler gleichzeitiger SSH-Sitzungen erhöht werden.

  • Die JIT-Berechtigungserhöhung wird nur für Benutzer unterstützt, die sich per Kennwort, NSSwitch oder Domänenauthentifizierung anmelden. Die Multi-Faktor-Authentifizierung (MFA) wird für die JIT-Berechtigungserhöhung nicht unterstützt.

Bevor Sie beginnen

  • Sie müssen ein ONTAP Clusteradministrator auf der admin Berechtigungsstufe zum Ausführen der folgenden Aufgaben.

Ändern der globalen JIT-Einstellungen

Sie können die JIT-Standardeinstellungen global im gesamten ONTAP Cluster oder für eine bestimmte SVM ändern. Diese Einstellungen bestimmen die Standardgültigkeitsdauer der Sitzung und die maximale JIT-Gültigkeitsdauer für Benutzer, die für den JIT-Zugriff konfiguriert sind.

Über diese Aufgabe

  • Die Standardeinstellung default-session-validity-period Der maximale Wert beträgt eine Stunde. Diese Einstellung bestimmt, wie lange ein Benutzer in einer JIT-Sitzung auf erhöhte Berechtigungen zugreifen kann, bevor er diese erneut erhöhen muss.

  • Die Standardeinstellung max-jit-validity-period Der Wert beträgt 90 Tage. Diese Einstellung bestimmt den maximalen Zeitraum, in dem ein Benutzer nach dem konfigurierten Startdatum auf JIT-Erweiterungen zugreifen kann. Sie können die JIT-Gültigkeitsdauer für einzelne Benutzer konfigurieren, sie darf jedoch die maximale JIT-Gültigkeitsdauer nicht überschreiten.

Schritte

  1. Überprüfen Sie die aktuellen JIT-Einstellungen:

    security jit-privilege show -vserver <svm_name>

    -vserver ist optional. Wenn Sie keine SVM angeben, zeigt der Befehl die globalen JIT-Einstellungen an.

  2. Ändern Sie die JIT-Einstellungen global oder für eine SVM:

    security jit-privilege modify -vserver <svm_name> -default-session-validity-period <period> -max-jit-validity-period <period>

    Wenn Sie keine SVM angeben, ändert der Befehl die globalen JIT-Einstellungen. Im folgenden Beispiel wird die Standarddauer einer JIT-Sitzung auf 45 Minuten und die maximale JIT-Dauer auf 30 Tage für SVM festgelegt. svm1 :
    security jit-privilege modify -vserver svm1 -default-session-validity-period 45m -max-jit-validity-period 30d

    In diesem Beispiel können Benutzer jeweils 45 Minuten lang auf die JIT-Erhöhung zugreifen und JIT-Sitzungen für maximal 30 Tage nach ihrem konfigurierten Startdatum initiieren.

Konfigurieren des JIT-Berechtigungserweiterungszugriffs für einen Benutzer

Sie können ONTAP Benutzern erweiterte JIT-Berechtigungen zuweisen.

Schritte

  1. Überprüfen Sie den aktuellen JIT-Zugriff für einen Benutzer:

    security jit-privilege user show -username <username>

    -username ist optional. Wenn Sie keinen Benutzernamen angeben, zeigt der Befehl den JIT-Zugriff für alle Benutzer an.

  2. Weisen Sie einem Benutzer neuen JIT-Zugriff zu:

    security jit-privilege create -username <username> -vserver <svm_name> -role <rbac_role> -session-validity-period <period> -jit-validity-period <period> -start-time <date>

    • Wenn -vserver nicht angegeben ist, wird der JIT-Zugriff auf Clusterebene zugewiesen.

    • -role ist die RBAC-Rolle, auf die der Benutzer hochgestuft wird. Wenn nicht angegeben, -role standardmäßig admin .

    • -session-validity-period ist die Dauer, für die der Benutzer auf die erhöhte Rolle zugreifen kann, bevor eine neue JIT-Sitzung gestartet werden muss. Wenn nicht angegeben, wird die globale oder SVM default-session-validity-period verwendet wird.

    • -jit-validity-period ist die maximale Dauer, für die ein Benutzer JIT-Sitzungen nach dem konfigurierten Startdatum initiieren kann. Wenn nicht angegeben, session-validity-period verwendet wird. Dieser Parameter darf den globalen oder SVM-Wert nicht überschreiten. max-jit-validity-period .

    • -start-time ist das Datum und die Uhrzeit, ab denen der Benutzer JIT-Sitzungen starten kann. Wenn nicht angegeben, werden das aktuelle Datum und die aktuelle Uhrzeit verwendet.

      Das folgende Beispiel ermöglicht ontap_user für den Zugriff auf die admin Rolle für 1 Stunde, bevor eine neue JIT-Sitzung gestartet werden muss. ontap_user können ab 13:00 Uhr am 1. Juli 2025 JIT-Sitzungen für einen Zeitraum von 60 Tagen einleiten:
      security jit-privilege user create -username ontap_user -role admin -session-validity-period 1h -jit-validity-period 60d -start-time "7/1/25 13:00:00"

  3. Widerrufen Sie bei Bedarf den JIT-Zugriff eines Benutzers:

    security jit-privilege user delete -username <username> -vserver <svm_name>

    Dieser Befehl widerruft den JIT-Zugriff eines Benutzers, auch wenn dieser noch nicht abgelaufen ist. Wenn -vserver Wenn kein Wert angegeben ist, wird der JIT-Zugriff auf Clusterebene widerrufen. Befindet sich der Benutzer in einer aktiven JIT-Sitzung, wird diese beendet.

Gängige JIT-Anwendungsfälle

Die folgende Tabelle enthält gängige Anwendungsfälle für die JIT-Berechtigungserweiterung. Für jeden Anwendungsfall muss eine RBAC-Rolle konfiguriert werden, um Zugriff auf die entsprechenden Befehle zu gewähren. Jeder Befehl ist mit der ONTAP -Befehlsreferenz verknüpft, die weitere Informationen zum Befehl und seinen Parametern enthält.

Anwendungsfall Befehle Details

Benutzer- und Rollenverwaltung

  • security login create

  • security login delete

Erhöhen Sie vorübergehend die Berechtigungen, um während des Onboardings oder Offboardings Benutzer hinzuzufügen/zu entfernen oder Rollen zu ändern.

Zertifikatsverwaltung

  • security certificate create

  • security certificate install

Gewähren Sie kurzfristigen Zugriff für die Installation oder Erneuerung von Zertifikaten.

SSH/CLI-Zugriffskontrolle

  • security login create -application ssh

Gewähren Sie vorübergehend SSH-Zugriff zur Fehlerbehebung oder für den Anbietersupport.

Lizenzmanagement

  • system license add

  • system license delete

Gewähren Sie Rechte zum Hinzufügen oder Entfernen von Lizenzen während der Aktivierung oder Deaktivierung von Funktionen.

System-Upgrades und Patches

  • system node image update

  • system node upgrade-revert

Erhöhen Sie die Berechtigung für das Upgrade-Fenster und widerrufen Sie sie dann.

Netzwerksicherheitseinstellungen

  • security login role create

  • security login role modify

Erlauben Sie vorübergehende Änderungen an netzwerkbezogenen Sicherheitsrollen.

Clusterverwaltung

  • cluster add-node

  • cluster remove-node

  • cluster modify

Erhöhen Sie die Anzahl für die Clustererweiterung oder -neukonfiguration.

SVM-Verwaltung

  • vserver create

  • vserver delete

  • vserver modify

Gewähren Sie einer SVM vorübergehend Administratorrechte für die Bereitstellung oder Außerbetriebnahme.

Volumenverwaltung

  • volume create

  • volume delete

  • volume modify

Erhöhen Sie die Berechtigungen für die Bereitstellung, Größenänderung oder Entfernung von Volumes.

Snapshot-Verwaltung

  • volume snapshot create

  • volume snapshot delete

  • volume snapshot restore

Erhöhen Sie die Berechtigungen zum Löschen oder Wiederherstellen von Snapshots während der Wiederherstellung.

Netzwerkkonfiguration

  • network interface create

  • network port vlan create

Gewähren Sie Rechte für Netzwerkänderungen während Wartungsfenstern.

Festplatten-/Aggregatverwaltung

  • storage disk assign

  • storage aggregate create

  • storage aggregate add-disks

Erhöhen Sie die Berechtigungen zum Hinzufügen oder Entfernen von Datenträgern oder zum Verwalten von Aggregaten.

Datensicherung

  • snapmirror create

  • snapmirror modify

  • snapmirror restore

Vorübergehend erhöhen, um SnapMirror -Beziehungen zu konfigurieren oder wiederherzustellen.

Leistungsoptimierung

  • qos policy-group create

  • qos policy-group modify

Erhöhen Sie die Leistung zur Fehlerbehebung oder Optimierung.

Zugriff auf das Überwachungsprotokoll

  • security audit log show

Erhöhen Sie die Berechtigungen vorübergehend für die Überprüfung oder den Export des Überwachungsprotokolls während Compliance-Prüfungen.

Ereignis- und Alarmverwaltung

  • event notification create

  • event notification modify

Erhöhen Sie die Berechtigungen zum Konfigurieren oder Testen von Ereignisbenachrichtigungen oder SNMP-Traps.

Compliance-gesteuerter Datenzugriff

  • volume show

  • security audit log show

Gewähren Sie Prüfern vorübergehend schreibgeschützten Zugriff, damit sie vertrauliche Daten oder Protokolle überprüfen können.

Überprüfungen des privilegierten Zugriffs

  • security login show

  • security login role show

Erhöhen Sie vorübergehend die Berechtigungen, um privilegierten Zugriff zu überprüfen und darüber zu berichten. Gewähren Sie für begrenzte Zeit schreibgeschützten, erhöhten Zugriff.
Verwandte Informationen