Versionshinweise
Erstellen Sie Authentifizierungsschlüssel in ONTAP 9.6 und höher
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
ONTAP einrichten, aktualisieren und zurücksetzen
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
NFS lässt sich mit der CLI managen
-
SMB lässt sich mit der CLI managen
-
Managen von SMB-Servern
-
Managen Sie den Dateizugriff über SMB
-
-
-
Authentifizierung und Zugriffssteuerung
-
Managen Sie die Administratorauthentifizierung und RBAC
-
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
Datensicherung mithilfe von Tape Backup
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Mit dem security key-manager key create Befehl können Sie die Authentifizierungsschlüssel für einen Node erstellen und auf den konfigurierten KMIP-Servern speichern.
Wenn Sie in Ihrer Sicherheitseinrichtung unterschiedliche Schlüssel für die Datenauthentifizierung und die FIPS 140-2-Authentifizierung verwenden müssen, sollten Sie jeweils einen separaten Schlüssel erstellen. Ist dies nicht der Fall, können Sie denselben Authentifizierungsschlüssel für die FIPS-Compliance verwenden wie für den Datenzugriff.
ONTAP erstellt Authentifizierungsschlüssel für alle Nodes im Cluster.
-
Dieser Befehl wird nicht unterstützt, wenn Onboard Key Manager aktiviert ist. Es werden jedoch automatisch zwei Authentifizierungsschlüssel erstellt, wenn der Onboard Key Manager aktiviert ist. Die Tasten können mit dem folgenden Befehl angezeigt werden:
security key-manager key query -key-type NSE-AK
-
Sie erhalten eine Warnung, wenn auf den konfigurierten Schlüsselverwaltungsservern bereits mehr als 128 Authentifizierungsschlüssel gespeichert werden.
-
Sie können den
security key-manager key deleteBefehl verwenden, um alle nicht verwendeten Schlüssel zu löschen. Dersecurity key-manager key deleteBefehl schlägt fehl, wenn der angegebene Schlüssel derzeit von ONTAP verwendet wird. (Privileges muss größer sein alsadminfür die Verwendung dieses Befehls.)
Bevor Sie einen Schlüssel in einer MetroCluster-Umgebung löschen, müssen Sie sicherstellen, dass der Schlüssel nicht im Partner-Cluster verwendet wird. Sie können auf dem Partner-Cluster folgende Befehle verwenden, um zu überprüfen, ob der Schlüssel nicht verwendet wird:
-
storage encryption disk show -data-key-id <key-id> -
storage encryption disk show -fips-key-id <key-id>
-
Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.
-
Authentifizierungsschlüssel für Cluster-Nodes erstellen:
security key-manager key create -key-tag <passphrase_label> -prompt-for-key true|falseCli
`prompt-for-key=true`Durch die Einstellung fordert das System den Clusteradministrator auf, die Passphrase bei der Authentifizierung verschlüsselter Laufwerke zu verwenden. Andernfalls generiert das System automatisch eine 32-Byte-Passphrase. Der `security key-manager key create` Befehl ersetzt den `security key-manager create-key` Befehl. Erfahren Sie mehr über `security key-manager key create` in der link:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-key-create.html?q=security+key-manager+key+create["ONTAP-Befehlsreferenz"^].
Im folgenden Beispiel werden die Authentifizierungsschlüssel für erstellt
cluster1, die automatisch eine 32-Byte-Passphrase erzeugen:cluster1::> security key-manager key create Key ID: <id_value>
-
Vergewissern Sie sich, dass die Authentifizierungsschlüssel erstellt wurden:
security key-manager key query -node node
Der
security key-manager key queryBefehl ersetzt densecurity key-manager query keyBefehl. Erfahren Sie mehr übersecurity key-manager key queryin der "ONTAP-Befehlsreferenz". Die in der Ausgabe angezeigte Schlüssel-ID ist eine Kennung, die auf den Authentifizierungsschlüssel verweist. Es handelt sich nicht um den tatsächlichen Authentifizierungsschlüssel oder den Datenverschlüsselung.Im folgenden Beispiel wird überprüft, ob Authentifizierungsschlüssel für erstellt
cluster1wurden:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: external Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: <id_value> node1 NSE-AK yes Key ID: <id_value> Vserver: cluster1 Key Manager: external Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node2 NSE-AK yes Key ID: <id_value> node2 NSE-AK yes Key ID: <id_value>
