Konfiguration nach der Installation
Änderungen vorschlagen
PDFs
Nach der Installation und Ausführung des ONTAP Mediator-Dienstes müssen im ONTAP-Speichersystem zusätzliche Konfigurationsaufgaben ausgeführt werden, um die Mediator-Funktionen nutzen zu können:
-
Informationen zur Verwendung des ONTAP Mediatordienstes in einer MetroCluster IP-Konfiguration finden Sie unter "Konfigurieren des ONTAP Mediator-Dienstes aus einer MetroCluster-IP-Konfiguration".
-
Informationen zur Verwendung von SnapMirror Active Sync finden Sie unter "Installieren Sie den ONTAP Mediator Service, und bestätigen Sie die ONTAP-Clusterkonfiguration".
Konfigurieren Sie die Sicherheitsrichtlinien von ONTAP Mediator
Der ONTAP Mediatorserver unterstützt mehrere konfigurierbare Sicherheitseinstellungen. Die Standardwerte für alle Einstellungen werden in einer schreibgeschützten Datei angegeben low_space_threshold_mib: 10:
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml
Alle Werte, die in das gesetzt ontap_mediator.user_config.yaml werden, überschreiben die Standardwerte und werden bei allen ONTAP Mediator Upgrades beibehalten.
`ontap_mediator.user_config.yaml`Starten Sie nach dem Ändern den ONTAP Mediator-Dienst neu:
systemctl restart ontap_mediator
Attribute des ONTAP Mediators ändern
Die in diesem Abschnitt beschriebenen Attribute des ONTAP Mediators können bei Bedarf geändert werden.
|
Andere Standardwerte im ontap_mediator.config.yaml sollten nicht geändert werden, da geänderte Werte während der ONTAP Mediator-Upgrades nicht beibehalten werden.
|
Sie ändern die Attribute vonONTAP Mediator, indem Sie die erforderlichen Variablen in die Datei kopieren ontap_mediator.user_config.yaml, um die Standardeinstellungen zu überschreiben.
Installieren Sie SSL-Zertifikate von Drittanbietern
Wenn Sie die selbstsignierten Standardzertifikate durch SSL-Zertifikate von Drittanbietern ersetzen müssen, ändern Sie bestimmte Attribute in den folgenden Dateien:
-
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml -
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
Die Variablen in diesen Dateien werden verwendet, um die Zertifikatsdateien zu steuern, die vom ONTAP Mediator-Dienst verwendet werden.
Die in der folgenden Tabelle aufgeführten Standardvariablen sind in der Datei enthalten /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml.
| Variabel | Pfad |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
cert_valid_daysDient zum Festlegen des Ablaufs von Clientzertifikaten. Der Maximalwert beträgt drei Jahre (1095 Tage). -
x509_passin_pwdIst die Passphrase für das signierte Clientzertifikat.
Die in der folgenden Tabelle aufgeführten Standardvariablen sind in der Datei enthalten /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini.
| Variabel | Pfad |
|---|---|
|
|
|
|
|
|
Wenn Sie diese Attribute ändern, starten Sie den ONTAP Mediator-Dienst neu, um die Änderungen anzuwenden. Ausführliche Anweisungen zum Ersetzen von Standardzertifikaten durch Zertifikate von Drittanbietern finden Sie unter "Ersetzen Sie selbstsignierte Zertifikate durch vertrauenswürdige Zertifikate von Drittanbietern".
Schutz vor Kennwortangriffen
Die folgenden Einstellungen bieten Schutz vor Brute-Force-Passwortraten.
Um die Funktion zu aktivieren, legen Sie einen Wert für die window_seconds und die `retry_limit`fest.
Beispiele:
-
Geben Sie ein 5-Minuten-Fenster für Vermutungen ein, und setzen Sie dann die Anzahl auf Null-Fehler zurück:
authentication_lock_window_seconds: 300 -
Sperren Sie das Konto, wenn innerhalb des Zeitrahmens fünf Fehler auftreten:
authentication_retry_limit: 5 -
Verringern Sie die Auswirkungen von Brute-Force-Passwortraten, indem Sie eine Verzögerung festlegen, die vor der Ablehnung jedes Versuchs auftritt, wodurch die Angriffe verlangsamt werden.
authentication_failure_delay_seconds: 5authentication_failure_delay_seconds: 0 # seconds (float) to delay failed auth attempts prior to response, 0 = no delay authentication_lock_window_seconds: null # seconds (int) since the oldest failure before resetting the retry counter, null = no window authentication_retry_limit: null # number of retries to allow before locking API access, null = unlimited
Regeln zur Passwortkomplexität
Die folgenden Felder steuern die Regeln für die Passwortkomplexität des ONTAP Mediator API-Benutzerkontos.
password_min_length: 8 password_max_length: 64 password_uppercase_chars: 0 # min. uppercase characters password_lowercase_chars: 1 # min. lowercase character password_special_chars: 1 # min. non-letter, non-digit password_nonletter_chars: 2 # min. non-letter characters (digits, specials, anything)
Kontrolle des freien Speicherplatzes
Es gibt Einstellungen, die den erforderlichen freien Speicherplatz auf der Festplatte steuern /opt/netapp/lib/ontap_mediator.
Wenn der Platz unter dem festgelegten Schwellenwert liegt, gibt der Dienst ein Warnungsereignis aus.
low_space_threshold_mib: 10
Kontrolle des reservierten Protokollspeichers
Die RESERVE_LOG_SPACE wird durch bestimmte Einstellungen gesteuert. Standardmäßig erstellt die ONTAP Mediator-Serverinstallation einen separaten Speicherplatz für die Protokolle. Das Installationsprogramm erstellt eine neue Datei mit fester Größe mit insgesamt 700 MB Festplattenspeicher, die explizit für Mediator Logging verwendet werden soll.
So deaktivieren Sie diese Funktion und verwenden den Standardspeicherplatz:
-
Ändern Sie den Wert von RESERVE_LOG_SPACE in der folgenden Datei von 1 auf 0:
/opt/netapp/lib/ontap_mediator/tools/mediator_env -
Mediator neu starten:
-
cat /opt/netapp/lib/ontap_mediator/tools/mediator_env | grep "RESERVE_LOG_SPACE"RESERVE_LOG_SPACE=0
-
systemctl restart ontap_mediator
-
Um die Funktion wieder zu aktivieren, ändern Sie den Wert von 0 auf 1, und starten Sie den Mediator neu.
|
|
Durch Umschalten zwischen Festplattenspeicherplätzen werden vorhandene Protokolle nicht gelöscht. Alle vorherigen Protokolle werden gesichert und anschließend auf den aktuellen Speicherplatz verschoben, nachdem Mediator gewechselt und neu gestartet wurde. |