Verwalten von öffentlichen SSH-Schlüsseln und X.509-Zertifikaten für ein Administratorkonto
-
PDF dieser Dokumentationssite
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Datensicherung mit der CLI
- Managen Sie die SnapMirror Volume-Replizierung
-
Datensicherung mit der CLI
Sammlung separater PDF-Dokumente
Creating your file...
Um die SSH-Authentifizierungssicherheit mit Administratorkonten zu erhöhen, können Sie die verwenden security login publickey
Satz von Befehlen zur Verwaltung des öffentlichen SSH-Schlüssels und seiner Verknüpfung mit X.509-Zertifikaten.
Verknüpfen Sie einen öffentlichen Schlüssel und ein X.509-Zertifikat mit einem Administratorkonto
Ab ONTAP 9.13.1 können Sie ein X.509-Zertifikat mit dem öffentlichen Schlüssel verknüpfen, den Sie mit dem Administratorkonto verknüpfen. Dadurch erhalten Sie die zusätzliche Sicherheit bei der Überprüfung des Zertifikatablaufs oder des Widerrufs bei der SSH-Anmeldung für dieses Konto.
Wenn Sie ein Konto über SSH sowohl mit einem öffentlichen SSH-Schlüssel als auch mit einem X.509-Zertifikat authentifizieren, überprüft ONTAP die Gültigkeit des X.509-Zertifikats, bevor es sich mit dem öffentlichen SSH-Schlüssel authentifiziert. Die SSH-Anmeldung wird abgelehnt, wenn das Zertifikat abgelaufen ist oder widerrufen wurde, und der öffentliche Schlüssel wird automatisch deaktiviert.
-
Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.
-
Sie müssen den SSH-Schlüssel generiert haben.
-
Wenn Sie nur das X.509-Zertifikat auf Gültigkeit prüfen müssen, können Sie ein selbstsigniertes Zertifikat verwenden.
-
Wenn Sie das X.509-Zertifikat auf Ablaufdatum und Widerruf prüfen müssen:
-
Sie müssen das Zertifikat von einer Zertifizierungsstelle erhalten haben.
-
Sie müssen die Zertifikatskette (Zwischen- und Stammzertifizierungsstellen) mit installieren
security certificate install
Befehle. -
Sie müssen OCSP für SSH aktivieren. Siehe "Überprüfen Sie, ob digitale Zertifikate mit OCSP gültig sind" Weitere Anweisungen.
-
-
Einen öffentlichen Schlüssel und ein X.509-Zertifikat einem Administratorkonto zuordnen:
security login publickey create -vserver SVM_name -username user_name -index index -publickey certificate -x509-certificate install
Eine vollständige Befehlssyntax finden Sie in der Worksheet-Referenz für "Verknüpfen eines öffentlichen Schlüssels mit einem Benutzerkonto".
-
Überprüfen Sie die Änderung, indem Sie den öffentlichen Schlüssel anzeigen:
security login publickey show -vserver SVM_name -username user_name -index index
Mit dem folgenden Befehl werden ein öffentlicher Schlüssel und ein X.509-Zertifikat dem SVM-Administratorkonto zugeordnet svmadmin2
Für die SVM engData2
. Der öffentliche Schlüssel wird mit der Indexnummer 6 belegt.
cluster1::> security login publickey create -vserver engData2 -username svmadmin2 -index 6 -publickey "<key text>" -x509-certificate install Please enter Certificate: Press <Enter> when done <certificate text>
Entfernen Sie die Zertifikatszuordnung aus dem öffentlichen SSH-Schlüssel für ein Administratorkonto
Sie können die aktuelle Zertifikatzuordnung aus dem öffentlichen SSH-Schlüssel des Kontos entfernen und dabei den öffentlichen Schlüssel beibehalten.
Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.
-
Entfernen Sie die X.509-Zertifikatszuordnung aus einem Administratorkonto, und behalten Sie den vorhandenen öffentlichen SSH-Schlüssel bei:
security login publickey modify -vserver SVM_name -username user_name -index index -x509-certificate delete
-
Überprüfen Sie die Änderung, indem Sie den öffentlichen Schlüssel anzeigen:
security login publickey show -vserver SVM_name -username user_name -index index
Mit dem folgenden Befehl wird die X.509-Zertifikatzuordnung aus dem SVM-Administratorkonto entfernt svmadmin2
Für die SVM engData2
Bei Indexnummer 6.
cluster1::> security login publickey modify -vserver engData2 -username svmadmin2 -index 6 -x509-certificate delete
Entfernen Sie den öffentlichen Schlüssel und die Zertifikatzuordnung aus einem Administratorkonto
Sie können den aktuellen öffentlichen Schlüssel und die Zertifikatkonfiguration aus einem Konto entfernen.
Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.
-
Entfernen Sie den öffentlichen Schlüssel und eine X.509-Zertifikatzuordnung aus einem Administratorkonto:
security login publickey delete -vserver SVM_name -username user_name -index index
-
Überprüfen Sie die Änderung, indem Sie den öffentlichen Schlüssel anzeigen:
security login publickey show -vserver SVM_name -username user_name -index index
Mit dem folgenden Befehl werden ein öffentlicher Schlüssel und ein X.509-Zertifikat aus dem SVM-Administratorkonto entfernt svmadmin3
Für die SVM engData3
Bei Indexnummer 7.
cluster1::> security login publickey delete -vserver engData3 -username svmadmin3 -index 7