Versionshinweise
Verwalten von öffentlichen SSH-Schlüsseln und X.509-Zertifikaten für ein Administratorkonto
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
-
Verwalten Sie SMB-Server
-
Verwalten Sie den Dateizugriff mit SMB
-
-
-
SAN-Storage-Management
-
Authentifizierung und Zugriffssteuerung
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Datensicherung mit der CLI
-
Managen Sie die SnapMirror Volume-Replizierung
-
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Um die SSH-Authentifizierungssicherheit mit Administratorkonten zu erhöhen, können Sie die verwenden security login publickey Satz von Befehlen zur Verwaltung des öffentlichen SSH-Schlüssels und seiner Verknüpfung mit X.509-Zertifikaten.
Verknüpfen Sie einen öffentlichen Schlüssel und ein X.509-Zertifikat mit einem Administratorkonto
Ab ONTAP 9.13.1 können Sie ein X.509-Zertifikat mit dem öffentlichen Schlüssel verknüpfen, den Sie mit dem Administratorkonto verknüpfen. Dadurch erhalten Sie die zusätzliche Sicherheit bei der Überprüfung des Zertifikatablaufs oder des Widerrufs bei der SSH-Anmeldung für dieses Konto.
Wenn Sie ein Konto über SSH sowohl mit einem öffentlichen SSH-Schlüssel als auch mit einem X.509-Zertifikat authentifizieren, überprüft ONTAP die Gültigkeit des X.509-Zertifikats, bevor es sich mit dem öffentlichen SSH-Schlüssel authentifiziert. Die SSH-Anmeldung wird abgelehnt, wenn das Zertifikat abgelaufen ist oder widerrufen wurde, und der öffentliche Schlüssel wird automatisch deaktiviert.
-
Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.
-
Sie müssen den SSH-Schlüssel generiert haben.
-
Wenn Sie nur das X.509-Zertifikat auf Gültigkeit prüfen müssen, können Sie ein selbstsigniertes Zertifikat verwenden.
-
Wenn Sie das X.509-Zertifikat auf Ablaufdatum und Widerruf prüfen müssen:
-
Sie müssen das Zertifikat von einer Zertifizierungsstelle erhalten haben.
-
Sie müssen die Zertifikatskette (Zwischen- und Stammzertifizierungsstellen) mit installieren
security certificate installBefehle. -
Sie müssen OCSP für SSH aktivieren. Siehe "Überprüfen Sie, ob digitale Zertifikate mit OCSP gültig sind" Weitere Anweisungen.
-
-
Einen öffentlichen Schlüssel und ein X.509-Zertifikat einem Administratorkonto zuordnen:
security login publickey create -vserver SVM_name -username user_name -index index -publickey certificate -x509-certificate installEine vollständige Befehlssyntax finden Sie in der Worksheet-Referenz für "Verknüpfen eines öffentlichen Schlüssels mit einem Benutzerkonto".
-
Überprüfen Sie die Änderung, indem Sie den öffentlichen Schlüssel anzeigen:
security login publickey show -vserver SVM_name -username user_name -index index
Mit dem folgenden Befehl werden ein öffentlicher Schlüssel und ein X.509-Zertifikat dem SVM-Administratorkonto zugeordnet svmadmin2 Für die SVM engData2. Der öffentliche Schlüssel wird mit der Indexnummer 6 belegt.
cluster1::> security login publickey create -vserver engData2 -username svmadmin2 -index 6 -publickey "<key text>" -x509-certificate install Please enter Certificate: Press <Enter> when done <certificate text>
Entfernen Sie die Zertifikatszuordnung aus dem öffentlichen SSH-Schlüssel für ein Administratorkonto
Sie können die aktuelle Zertifikatzuordnung aus dem öffentlichen SSH-Schlüssel des Kontos entfernen und dabei den öffentlichen Schlüssel beibehalten.
Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.
-
Entfernen Sie die X.509-Zertifikatszuordnung aus einem Administratorkonto, und behalten Sie den vorhandenen öffentlichen SSH-Schlüssel bei:
security login publickey modify -vserver SVM_name -username user_name -index index -x509-certificate delete -
Überprüfen Sie die Änderung, indem Sie den öffentlichen Schlüssel anzeigen:
security login publickey show -vserver SVM_name -username user_name -index index
Mit dem folgenden Befehl wird die X.509-Zertifikatzuordnung aus dem SVM-Administratorkonto entfernt svmadmin2 Für die SVM engData2 Bei Indexnummer 6.
cluster1::> security login publickey modify -vserver engData2 -username svmadmin2 -index 6 -x509-certificate delete
Entfernen Sie den öffentlichen Schlüssel und die Zertifikatzuordnung aus einem Administratorkonto
Sie können den aktuellen öffentlichen Schlüssel und die Zertifikatkonfiguration aus einem Konto entfernen.
Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.
-
Entfernen Sie den öffentlichen Schlüssel und eine X.509-Zertifikatzuordnung aus einem Administratorkonto:
security login publickey delete -vserver SVM_name -username user_name -index index -
Überprüfen Sie die Änderung, indem Sie den öffentlichen Schlüssel anzeigen:
security login publickey show -vserver SVM_name -username user_name -index index
Mit dem folgenden Befehl werden ein öffentlicher Schlüssel und ein X.509-Zertifikat aus dem SVM-Administratorkonto entfernt svmadmin3 Für die SVM engData3 Bei Indexnummer 7.
cluster1::> security login publickey delete -vserver engData3 -username svmadmin3 -index 7