Erstellen Sie Authentifizierungsschlüssel in ONTAP 9.6 und höher
-
PDF dieser Dokumentationssite
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Datensicherung mit der CLI
- Managen Sie die SnapMirror Volume-Replizierung
-
Datensicherung mit der CLI
Sammlung separater PDF-Dokumente
Creating your file...
Sie können das verwenden security key-manager key create
Befehl zum Erstellen der Authentifizierungsschlüssel für einen Node und Speichern auf den konfigurierten KMIP-Servern.
Wenn Sie in Ihrer Sicherheitseinrichtung unterschiedliche Schlüssel für die Datenauthentifizierung und die FIPS 140-2-Authentifizierung verwenden müssen, sollten Sie jeweils einen separaten Schlüssel erstellen. Ist dies nicht der Fall, können Sie denselben Authentifizierungsschlüssel für die FIPS-Compliance verwenden wie für den Datenzugriff.
ONTAP erstellt Authentifizierungsschlüssel für alle Nodes im Cluster.
-
Dieser Befehl wird nicht unterstützt, wenn Onboard Key Manager aktiviert ist. Es werden jedoch automatisch zwei Authentifizierungsschlüssel erstellt, wenn der Onboard Key Manager aktiviert ist. Die Tasten können mit dem folgenden Befehl angezeigt werden:
security key-manager key query -key-type NSE-AK
-
Sie erhalten eine Warnung, wenn auf den konfigurierten Schlüsselverwaltungsservern bereits mehr als 128 Authentifizierungsschlüssel gespeichert werden.
-
Sie können das verwenden
security key-manager key delete
Befehl zum Löschen von nicht verwendeten Schlüsseln. Dersecurity key-manager key delete
Befehl schlägt fehl, wenn der angegebene Schlüssel derzeit von ONTAP verwendet wird. (Sie müssen über mehr als „admin
“ verfügen, um diesen Befehl verwenden zu können.)Bevor Sie einen Schlüssel in einer MetroCluster-Umgebung löschen, müssen Sie sicherstellen, dass der Schlüssel nicht im Partner-Cluster verwendet wird. Sie können auf dem Partner-Cluster folgende Befehle verwenden, um zu überprüfen, ob der Schlüssel nicht verwendet wird:
-
storage encryption disk show -data-key-id key-id
-
storage encryption disk show -fips-key-id key-id
-
Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.
-
Authentifizierungsschlüssel für Cluster-Nodes erstellen:
security key-manager key create -key-tag passphrase_label -prompt-for-key true|false
Einstellung
prompt-for-key=true
Bewirkt, dass das System den Cluster-Administrator zur Verwendung der Passphrase bei der Authentifizierung verschlüsselter Laufwerke auffordert. Andernfalls generiert das System automatisch eine 32-Byte-Passphrase. Dersecurity key-manager key create
Mit dem Befehl wird der ersetztsecurity key-manager create-key
Befehl. Eine vollständige Befehlssyntax finden Sie in der man-Page.Im folgenden Beispiel werden die Authentifizierungsschlüssel für erstellt
cluster1
, Automatisch eine 32-Byte-Passphrase generieren:cluster1::> security key-manager key create Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000
-
Vergewissern Sie sich, dass die Authentifizierungsschlüssel erstellt wurden:
security key-manager key query -node node
Der
security key-manager key query
Mit dem Befehl wird der ersetztsecurity key-manager query key
Befehl. Eine vollständige Befehlssyntax finden Sie in der man-Page. Die in der Ausgabe angezeigte Schlüssel-ID ist eine Kennung, die auf den Authentifizierungsschlüssel verweist. Es handelt sich nicht um den tatsächlichen Authentifizierungsschlüssel oder den Datenverschlüsselung.Im folgenden Beispiel wird überprüft, ob Authentifizierungsschlüssel für erstellt wurden
cluster1
:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: external Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node1 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000 Vserver: cluster1 Key Manager: external Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node2 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node2 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000