Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Übersicht über die Verifizierung mit mehreren Administratoren

Beitragende
PDFs

Ab ONTAP 9.11.1 können Sie die Überprüfung durch mehrere Administratoren (Multi-Admin Verification, MAV) verwenden, um sicherzustellen, dass bestimmte Vorgänge, wie das Löschen von Volumes oder Snapshot Kopien, nur nach Genehmigung von zugewiesenen Administratoren ausgeführt werden können. So werden gefährdete, böswillige oder unerfahrene Administratoren daran gehindert, unerwünschte Änderungen vorzunehmen oder Daten zu löschen.

Die Konfiguration der Prüfung für mehrere Administratoren umfasst:

Nach der Erstkonfiguration können diese Elemente nur von Administratoren in einer MAV-Genehmigungsgruppe (MAV-Administratoren) geändert werden.

Wenn die Verifizierung mehrerer Administratoren aktiviert ist, sind für jeden geschützten Vorgang folgende Schritte erforderlich:

  1. Wenn ein Benutzer den Vorgang initiiert, A "Die Anforderung wird generiert."

  2. Bevor es ausgeführt werden kann, mindestens eine "MAV-Administrator muss genehmigen."

  3. Nach der Genehmigung schließt der Benutzer den Vorgang ab.

Hinweis Wenn Sie die Verifizierungsfunktion mehrerer Administratoren ohne Genehmigung eines MAV-Administrators deaktivieren müssen, wenden Sie sich an den NetApp Support und erwähnen Sie den folgenden Knowledge Base-Artikel: "So deaktivieren Sie die Multi-Admin-Überprüfung, wenn MAV-Admin nicht verfügbar ist".

Die Überprüfung durch mehrere Administratoren ist nicht für Volumes oder Workflows gedacht, die mit hoher Automatisierung arbeiten, da jede automatisierte Aufgabe vor Abschluss des Vorgangs eine Genehmigung erfordert. Wenn Sie Automatisierung und MAV gemeinsam nutzen möchten, empfiehlt es sich, Abfragen für bestimmte MAV-Vorgänge zu verwenden. So können Sie sich beispielsweise bewerben volume delete MAV regiert nur zu Volumes, in denen keine Automatisierung beteiligt ist, und Sie können die Volumes mit einem bestimmten Benennungsschema benennen.

Hinweis Die Verifizierung mehrerer Administratoren ist bei Cloud Volumes ONTAP nicht verfügbar.

Funktionsweise der Multiadmin-Überprüfung

Die Überprüfung durch mehrere Administratoren umfasst:

  • Eine Gruppe von einem oder mehreren Administratoren mit Genehmigung und Veto-Befugnissen.

  • Eine Reihe von geschützten Operationen oder Befehlen in einer Tabelle rules.

  • Eine rules Engine zur Identifizierung und Steuerung der Ausführung geschützter Vorgänge.

MAV-Regeln werden nach rollenbasierter Zugriffssteuerung (Role Based Access Control, RBAC) evaluiert. Daher müssen Administratoren, die einen geschützten Betrieb ausführen oder genehmigen, bereits die minimalen RBAC-Rechte für diese Vorgänge besitzen. "Erfahren Sie mehr über RBAC".

Systemdefinierte Regeln

Wenn die Multi-Admin-Überprüfung aktiviert ist, werden durch systemdefinierte Regeln (auch bekannt als guard-Rail-Regeln) eine Reihe von MAV-Operationen festgelegt, die das Risiko enthalten, den MAV-Prozess selbst zu umgehen. Diese Vorgänge können nicht aus der Regeltabelle entfernt werden. Wenn MAV aktiviert ist, müssen Operationen, die durch ein Sternchen ( * ) gekennzeichnet sind, vor der Ausführung von einem oder mehreren Administratoren genehmigt werden, mit Ausnahme von show-Befehlen.

  • security multi-admin-verify modify Betrieb *

    Steuert die Konfiguration der Verifizierungsfunktion für mehrere Administratoren.

  • security multi-admin-verify approval-group Betrieb *

    Steuern Sie die Mitgliedschaft im Administratorensatz mit Anmeldeinformationen für die Überprüfung mehrerer Administratoren.

  • security multi-admin-verify rule Betrieb *

    Steuern Sie die Befehlssatz, für die eine Multi-Admin-Überprüfung erforderlich ist.

  • security multi-admin-verify request Betrieb

    Kontrollieren Sie den Genehmigungsprozess.

Regelgeschützte Befehle

Zusätzlich zu systemdefinierten Vorgängen sind die folgenden Befehle standardmäßig geschützt, wenn die Verifizierung mehrerer Administratoren aktiviert ist. Sie können die Regeln jedoch ändern, um den Schutz für diese Befehle zu entfernen.

  • security login password

  • security login unlock

  • set

Jede ONTAP Version bietet mehr Befehle, die Sie durch Verifizierungsregeln für mehrere Administratoren schützen können. Wählen Sie Ihre ONTAP-Version aus, um eine vollständige Liste der zum Schutz verfügbaren Befehle zu erhalten.

9.15.1

  • cluster date modify 3

  • cluster log-forwarding create 3

  • cluster log-forwarding delete 3

  • cluster log-forwarding modify 3

  • cluster peer delete

  • cluster time-service ntp server create 3

  • cluster time-service ntp server delete 3

  • cluster time-service ntp server key create 3

  • cluster time-service ntp server key delete 3

  • cluster time-service ntp server key modify 3

  • cluster time-service ntp server modify 3

  • event config modify

  • lun delete 3

  • security anti-ransomware volume attack clear-suspect 1

  • security anti-ransomware volume disable 1

  • security anti-ransomware volume pause 1

  • security audit modify 3

  • security ipsec config modify 3

  • security ipsec policy create 3

  • security ipsec policy delete 3

  • security ipsec policy modify 3

  • security login create

  • security login delete

  • security login modify

  • security saml-sp create 3

  • security saml-sp delete 3

  • security saml-sp modify 3

  • snaplock legal-hold end 3

  • storage aggregate delete 3

  • storage encryption disk destroy 3

  • storage encryption disk modify 3

  • storage encryption disk revert-to-original-state 3

  • storage encryption disk sanitize 3

  • system bridge run-cli 3

  • system controller flash-cache secure-erase run 3

  • system controller service-event delete 3

  • system health alert delete 3

  • system health alert modify 3

  • system health policy definition modify 3

  • system node autosupport modify 3

  • system node autosupport trigger modify 3

  • system node coredump delete 3

  • system node coredump delete-all 3

  • system node hardware nvram-encryption modify 3

  • system node run

  • system node systemshell

  • system script delete 3

  • system service-processor ssh add-allowed-addresses 3

  • system service-processor ssh remove-allowed-addresses 3

  • system smtape restore 3

  • system switch ethernet log disable-collection 3

  • system switch ethernet log modify 3

  • timezone 3

  • volume create 3

  • volume delete

  • volume encryption conversion start 3

  • volume encryption rekey start 3

  • volume file privileged-delete 3

  • volume flexcache delete

  • volume modify 3

  • volume recovery-queue modify 2

  • volume recovery-queue purge 2

  • volume recovery-queue purge-all 2

  • volume snaplock modify 1

  • volume snapshot autodelete modify

  • volume snapshot create 3

  • volume snapshot delete

  • volume snapshot modify 3

  • volume snapshot policy add-schedule

  • volume snapshot policy create

  • volume snapshot policy delete

  • volume snapshot policy modify

  • volume snapshot policy modify-schedule

  • volume snapshot policy remove-schedule

  • volume snapshot rename 3

  • volume snapshot restore

  • vserver audit create 3

  • vserver audit delete 3

  • vserver audit disable 3

  • vserver audit modify 3

  • vserver audit rotate-log 3

  • vserver delete 3

  • vserver modify 2

  • vserver object-store-server audit create 3

  • vserver object-store-server audit delete 3

  • vserver object-store-server audit disable 3

  • vserver object-store-server audit modify 3

  • vserver object-store-server audit rotate-log 3

  • vserver options 3

  • vserver peer delete

  • vserver security file-directory apply 3

  • vserver security file-directory remove-slag 3

  • vserver vscan disable 3

  • vserver vscan on-access-policy create 3

  • vserver vscan on-access-policy delete 3

  • vserver vscan on-access-policy disable 3

  • vserver vscan on-access-policy modify 3

  • vserver vscan scanner-pool create 3

  • vserver vscan scanner-pool delete 3

  • vserver vscan scanner-pool modify 3

9.14.1

  • cluster peer delete

  • event config modify

  • security anti-ransomware volume attack clear-suspect 1

  • security anti-ransomware volume disable 1

  • security anti-ransomware volume pause 1

  • security login create

  • security login delete

  • security login modify

  • system node run

  • system node systemshell

  • volume delete

  • volume flexcache delete

  • volume recovery-queue modify 2

  • volume recovery-queue purge 2

  • volume recovery-queue purge-all 2

  • volume snaplock modify 1

  • volume snapshot autodelete modify

  • volume snapshot delete

  • volume snapshot policy add-schedule

  • volume snapshot policy create

  • volume snapshot policy delete *

  • volume snapshot policy modify

  • volume snapshot policy modify-schedule

  • volume snapshot policy remove-schedule

  • volume snapshot restore

  • vserver modify 2

  • vserver peer delete

9.13.1

  • cluster peer delete

  • event config modify

  • security anti-ransomware volume attack clear-suspect 1

  • security anti-ransomware volume disable 1

  • security anti-ransomware volume pause 1

  • security login create

  • security login delete

  • security login modify

  • system node run

  • system node systemshell

  • volume delete

  • volume flexcache delete

  • volume snaplock modify 1

  • volume snapshot autodelete modify

  • volume snapshot delete

  • volume snapshot policy add-schedule

  • volume snapshot policy create

  • volume snapshot policy delete *

  • volume snapshot policy modify

  • volume snapshot policy modify-schedule

  • volume snapshot policy remove-schedule

  • volume snapshot restore

  • vserver peer delete

9.12.1/9.11.1

  • cluster peer delete

  • event config modify

  • security login create

  • security login delete

  • security login modify

  • system node run

  • system node systemshell

  • volume delete

  • volume flexcache delete

  • volume snapshot autodelete modify

  • volume snapshot delete

  • volume snapshot policy add-schedule

  • volume snapshot policy create

  • volume snapshot policy delete *

  • volume snapshot policy modify

  • volume snapshot policy modify-schedule

  • volume snapshot policy remove-schedule

  • volume snapshot restore

  • vserver peer delete

  1. Neuer regelgeschützter Befehl für 9.13.1

  2. Neuer regelgeschützter Befehl für 9.14.1

  3. Neuer regelgeschützter Befehl für 9.15.1

*Dieser Befehl ist nur mit CLI verfügbar und für System Manager nicht verfügbar.

Funktionsweise der Multi-Admin-Genehmigung

Jedes Mal, wenn ein geschützter Vorgang in einem MAV-geschützten Cluster eingegeben wird, wird eine Anfrage zur Ausführung des Vorgangs an die entsprechende MAV-Administratorgruppe gesendet.

Sie können Folgendes konfigurieren:

  • Die Namen, Kontaktinformationen und die Anzahl der Administratoren in der MAV-Gruppe.

    Ein MAV-Administrator sollte über eine RBAC-Rolle mit Cluster-Administratorrechten verfügen.

  • Die Anzahl der MAV-Administratorgruppen.

    • Für jede Schutzregel wird eine MAV-Gruppe zugewiesen.

    • Für mehrere MAV-Gruppen können Sie konfigurieren, welche MAV-Gruppe eine bestimmte Regel genehmigt.

  • Die Anzahl der erforderlichen MAV-Genehmigungen für die Ausführung eines geschützten Vorgangs.

  • Eine Ablauffrist Genehmigung, innerhalb derer ein MAV-Administrator auf eine Genehmigungsanfrage antworten muss.

  • Eine Ablauffrist Ausführung, innerhalb derer der anfragende Administrator den Vorgang abschließen muss.

Sobald diese Parameter konfiguriert sind, muss die MAV-Genehmigung geändert werden.

MAV-Administratoren können ihre eigenen Anforderungen zur Ausführung von geschützten Vorgängen nicht genehmigen. Daher:

  • MAV sollte nicht auf Clustern mit nur einem Administrator aktiviert werden.

  • Wenn nur eine Person in der MAV-Gruppe vorhanden ist, kann der MAV-Administrator keine geschützten Vorgänge initiieren; regelmäßige Administratoren müssen geschützte Vorgänge initiieren, und der MAV-Administrator kann nur genehmigen.

  • Wenn Sie möchten, dass MAV-Administratoren geschützte Vorgänge ausführen können, muss die Anzahl der MAV-Administratoren größer sein als die Anzahl der erforderlichen Genehmigungen. Wenn zum Beispiel zwei Genehmigungen für einen geschützten Vorgang erforderlich sind und Sie möchten, dass MAV-Administratoren diese ausführen, müssen sich drei Personen in der Gruppe MAV-Administratoren befinden.

MAV-Administratoren können Genehmigungsanfragen in E-Mail-Benachrichtigungen (über EMS) erhalten oder die Anforderungswarteschlange abfragen. Wenn sie eine Anfrage erhalten, können sie eine von drei Aktionen durchführen:

  • Genehmigen

  • Ablehnen (Veto)

  • Ignorieren (keine Aktion)

E-Mail-Benachrichtigungen werden an alle Genehmiger gesendet, die einer MAV-Regel zugeordnet sind, wenn:

  • Eine Anfrage wird erstellt.

  • Ein Antrag ist genehmigt oder ein Veto eingelegt.

  • Eine genehmigte Anfrage wird ausgeführt.

Wenn sich der Anforderer in derselben Genehmigungsgruppe für den Vorgang befindet, wird er eine E-Mail erhalten, wenn seine Anfrage genehmigt wird.

Hinweis Ein Anforderer kann seine eigenen Anfragen nicht genehmigen, selbst wenn er sich in der Genehmigungsgruppe befindet. Sie können E-Mail-Benachrichtigungen erhalten. Anfragesteller, die sich nicht in Genehmigungsgruppen befinden (d. h. nicht MAV-Administratoren), erhalten keine E-Mail-Benachrichtigungen.

Funktionsweise der geschützten Operation

Wenn die Ausführung für einen geschützten Vorgang genehmigt wird, wird der anfragende Benutzer mit der Operation fortgesetzt, wenn er dazu aufgefordert wird. Wenn der Vorgang ein Vetos hat, muss der anfordernde Benutzer die Anfrage löschen, bevor er fortfahren kann.

MAV-Regeln werden nach RBAC-Berechtigungen evaluiert. Dadurch kann ein Benutzer ohne ausreichende RBAC-Berechtigungen für die Ausführung des Vorgangs den MAV-Anforderungsprozess nicht initiieren.