Aktivieren Sie Multi-Faktor-Authentifizierung
Dank der Multi-Faktor-Authentifizierung (MFA) können Sie die Sicherheit erhöhen, da Benutzer zur Anmeldung bei einem Administrator oder einer Daten-SVM zwei Authentifizierungsmethoden bereitstellen müssen.
-
Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.
-
Wenn Sie sich nicht sicher sind, welche Zugriffskontrollrolle Sie dem Anmeldekonto zuweisen möchten, können Sie
security login modify
die Rolle später mit dem Befehl hinzufügen. -
Wenn Sie einen öffentlichen Schlüssel für die Authentifizierung verwenden, müssen Sie den öffentlichen Schlüssel dem Konto zuordnen, bevor das Konto auf die SVM zugreifen kann.
Sie können diese Aufgabe vor oder nach dem Aktivieren des Kontozugriffs ausführen.
-
Ab ONTAP 9.12.1 können Sie Yubikey-Hardware-Authentifizierungsgeräte für SSH-Client MFA verwenden, indem Sie die Authentifizierungsstandards FIDO2 (Fast Identity Online) oder PIV (Personal Identity Verification) verwenden.
Aktivieren Sie MFA mit öffentlichem SSH-Schlüssel und Benutzerpasswort
Ab ONTAP 9.3 kann ein Cluster-Administrator lokale Benutzerkonten für die Anmeldung mit einem öffentlichen SSH-Schlüssel und einem Benutzerpasswort einrichten.
-
Aktivieren Sie MFA auf einem lokalen Benutzerkonto mit öffentlichem SSH-Schlüssel und Benutzerpasswort:
security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method <password|publickey> -role admin -second-authentication-method <password|publickey>
`admin2` `admin```engData1``Mit dem folgenden Befehl muss sich das SVM-Administratorkonto mit der vordefinierten Rolle mit einem öffentlichen SSH-Schlüssel und einem Benutzerpasswort bei der SVM anmelden:
cluster-1::> security login create -vserver engData1 -user-or-group-name admin2 -application ssh -authentication-method publickey -role admin -second-authentication-method password Please enter a password for user 'admin2': Please enter it again: Warning: To use public-key authentication, you must create a public key for user "admin2".
Aktivieren Sie MFA mit TOTP
Ab ONTAP 9.13.1 können Sie die Sicherheit erhöhen, indem Sie lokale Benutzer über einen öffentlichen SSH-Schlüssel oder ein Benutzerkennwort und ein zeitbasiertes Einmalpasswort (TOTP) bei einem Administrator oder einer Daten-SVM einloggen müssen. Nachdem das Konto für MFA mit TOTP aktiviert wurde, muss sich der lokale Benutzer bei anmelden"Schließen Sie die Konfiguration ab".
TOTP ist ein Computeralgorithmus, der die aktuelle Zeit verwendet, um ein Einmalpasswort zu generieren. Wenn TOTP verwendet wird, ist es immer die zweite Form der Authentifizierung nach dem öffentlichen SSH-Schlüssel oder dem Benutzerpasswort.
Sie müssen ein Storage-Administrator sein, um diese Aufgaben auszuführen.
Sie können MFA für mit einem Benutzerpasswort oder einem öffentlichen SSH-Schlüssel als erste Authentifizierungsmethode und TOTP als zweite Authentifizierungsmethode einrichten.
-
Aktivieren Sie ein Benutzerkonto für Multi-Faktor-Authentifizierung mit einem Benutzerpasswort und einem TOTP.
Für neue Benutzerkonten
security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>
Für bestehende Benutzerkonten
security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>
-
Vergewissern Sie sich, dass MFA mit TOTP aktiviert ist:
security login show
-
Aktivieren Sie ein Benutzerkonto für Multi-Faktor-Authentifizierung mit einem öffentlichen SSH-Schlüssel und TOTP.
Für neue Benutzerkonten
security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>
Für bestehende Benutzerkonten
security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>
-
Vergewissern Sie sich, dass MFA mit TOTP aktiviert ist:
security login show
-
Falls Sie dem Administratorkonto keinen öffentlichen Schlüssel zugeordnet haben, müssen Sie dies tun, bevor das Konto auf die SVM zugreifen kann.
-
Der lokale Benutzer muss sich anmelden, um die MFA-Konfiguration mit TOTP abzuschließen.
Erfahren Sie mehr über "Mehrstufige Authentifizierung in ONTAP 9 (TR-4647)".