Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Zugriff auf JIT-Berechtigungserhöhung in ONTAP

Beitragende netapp-bhouser
PDFs

Ab ONTAP 9.17.1 können Cluster-Administratoren "Konfigurieren Sie die Just-in-Time-Berechtigungserweiterung (JIT)." Damit können ONTAP -Benutzer ihre Berechtigungen vorübergehend erweitern, um bestimmte Aufgaben auszuführen. Wenn JIT für einen Benutzer konfiguriert ist, kann dieser seine Berechtigungen vorübergehend auf eine Rolle erweitern, die über die erforderlichen Berechtigungen zur Ausführung einer Aufgabe verfügt. Nach Ablauf der Sitzung kehrt der Benutzer zu seiner ursprünglichen Zugriffsebene zurück.

Clusteradministratoren können die Dauer konfigurieren, für die ein Benutzer auf JIT-Rechteerweiterungen zugreifen kann. Beispielsweise können Clusteradministratoren den Benutzerzugriff auf JIT-Rechteerweiterungen mit einem Limit von 30 Minuten pro Sitzung (der Sitzungsgültigkeitsdauer) für einen Zeitraum von 30 Tagen (der JIT-Gültigkeitsdauer) konfigurieren. Während dieses 30-tägigen Zeitraums kann der Benutzer seine Rechte beliebig oft erweitern, die Sitzungsdauer ist jedoch auf 30 Minuten begrenzt.

Über diese Aufgabe

  • Die JIT-Berechtigungserweiterung ist nur für Benutzer verfügbar, die per SSH auf ONTAP zugreifen. Die Berechtigungserweiterung ist nur innerhalb der aktuellen SSH-Sitzung verfügbar. Sie können die Berechtigungserweiterung jedoch innerhalb beliebig vieler gleichzeitiger SSH-Sitzungen erweitern.

  • Die JIT-Berechtigungserhöhung wird nur für Benutzer unterstützt, die sich per Kennwort, NSSwitch oder Domänenauthentifizierung anmelden. Die Multi-Faktor-Authentifizierung (MFA) wird für die JIT-Berechtigungserhöhung nicht unterstützt.

  • Die JIT-Sitzung eines Benutzers wird beendet, wenn die konfigurierte Sitzungs- oder JIT-Gültigkeitsdauer abläuft oder wenn ein Cluster-Administrator den JIT-Zugriff für den Benutzer widerruft.

Bevor Sie beginnen

  • Um auf die JIT-Berechtigungserweiterung zugreifen zu können, muss ein Clusteradministrator den JIT-Zugriff für Ihr Konto konfigurieren. Der Clusteradministrator legt die Rolle fest, auf die Sie Ihre Berechtigungen erweitern können, und die Dauer, für die Sie auf die erweiterten Berechtigungen zugreifen können.

Schritte

  1. Erhöhen Sie vorübergehend Ihre Berechtigungen auf die konfigurierte Rolle:

    security jit-privilege elevate

    Nach Eingabe dieses Befehls werden Sie aufgefordert, Ihr Anmeldekennwort einzugeben. Wenn für Ihr Konto JIT-Zugriff konfiguriert ist, erhalten Sie für die konfigurierte Sitzungsdauer erweiterte Zugriffsrechte. Nach Ablauf der Sitzungsdauer kehren Sie zu Ihrer ursprünglichen Zugriffsebene zurück. Sie können Ihre Berechtigungen innerhalb der konfigurierten JIT-Gültigkeitsdauer beliebig oft erhöhen.

  2. Zeigen Sie die verbleibende Zeit Ihrer JIT-Sitzung an:

    security jit-privilege show-remaining-time

    Wenn Sie sich derzeit in einer JIT-Sitzung befinden, zeigt dieser Befehl die verbleibende Zeit an.

  3. Beenden Sie Ihre JIT-Sitzung bei Bedarf vorzeitig:

    security jit-privilege reset

    Wenn Sie sich derzeit in einer JIT-Sitzung befinden, beendet dieser Befehl die JIT-Sitzung und stellt Ihre ursprüngliche Zugriffsebene wieder her.