Übersicht über die ONTAP Multi-Admin-Verifizierung
Ab ONTAP 9.11.1 können Sie die Überprüfung durch mehrere Administratoren (Multi-Admin Verification, MAV) verwenden, um sicherzustellen, dass bestimmte Vorgänge, wie das Löschen von Volumes oder Snapshot Kopien, nur nach Genehmigung von zugewiesenen Administratoren ausgeführt werden können. So werden gefährdete, böswillige oder unerfahrene Administratoren daran gehindert, unerwünschte Änderungen vorzunehmen oder Daten zu löschen.
Die Konfiguration der Prüfung für mehrere Administratoren umfasst:
Nach der Erstkonfiguration können diese Elemente nur von Administratoren in einer MAV-Genehmigungsgruppe (MAV-Administratoren) geändert werden.
Wenn die Verifizierung mehrerer Administratoren aktiviert ist, sind für jeden geschützten Vorgang folgende Schritte erforderlich:
-
Wenn ein Benutzer den Vorgang initiiert, wird ein angezeigt "Die Anforderung wird generiert."
-
Bevor der Vorgang ausgeführt werden kann, muss mindestens einer ausgeführt werden "MAV-Administrator muss genehmigen."
-
Nach der Genehmigung wird der Benutzer aufgefordert und schließt den Vorgang ab.
Wenn Sie die Multi-Admin-Überprüfungsfunktion ohne Genehmigung des MAV-Administrators deaktivieren müssen, wenden Sie sich an den NetApp-Support, und geben Sie den folgenden Knowledge Base-Artikel an: "So deaktivieren Sie die Multi-Admin-Überprüfung, wenn MAV-Admin nicht verfügbar ist". |
Die Überprüfung durch mehrere Administratoren ist nicht für Volumes oder Workflows gedacht, die mit hoher Automatisierung arbeiten, da jede automatisierte Aufgabe vor Abschluss des Vorgangs eine Genehmigung erfordert. Wenn Sie Automatisierung und MAV gemeinsam nutzen möchten, sollten Sie Abfragen für bestimmte MAV-Vorgänge verwenden. Beispielsweise können Sie volume delete
MAV-Regeln nur auf Volumes anwenden, auf denen keine Automatisierung involviert ist. Sie können diese Volumes einem bestimmten Namensschema zuweisen.
Die Verifizierung mehrerer Administratoren ist bei Cloud Volumes ONTAP nicht verfügbar. |
Funktionsweise der Multiadmin-Überprüfung
Die Überprüfung durch mehrere Administratoren umfasst:
-
Eine Gruppe von einem oder mehreren Administratoren mit Genehmigung und Veto-Befugnissen.
-
Eine Reihe von geschützten Operationen oder Befehlen in einer Tabelle rules.
-
Eine rules Engine zur Identifizierung und Steuerung der Ausführung geschützter Vorgänge.
MAV-Regeln werden nach rollenbasierter Zugriffssteuerung (Role Based Access Control, RBAC) evaluiert. Daher müssen Administratoren, die einen geschützten Betrieb ausführen oder genehmigen, bereits die minimalen RBAC-Rechte für diese Vorgänge besitzen. "Erfahren Sie mehr über RBAC".
Systemdefinierte Regeln
Wenn die Multi-Admin-Überprüfung aktiviert ist, werden durch systemdefinierte Regeln (auch bekannt als guard-Rail-Regeln) eine Reihe von MAV-Operationen festgelegt, die das Risiko enthalten, den MAV-Prozess selbst zu umgehen. Diese Vorgänge können nicht aus der Regeltabelle entfernt werden. Wenn MAV aktiviert ist, müssen Operationen, die durch ein Sternchen ( * ) gekennzeichnet sind, vor der Ausführung von einem oder mehreren Administratoren genehmigt werden, mit Ausnahme von show-Befehlen.
-
security multi-admin-verify modify
Betrieb*
Steuert die Konfiguration der Verifizierungsfunktion für mehrere Administratoren.
-
security multi-admin-verify approval-group
Betrieb*
Steuern Sie die Mitgliedschaft im Administratorensatz mit Anmeldeinformationen für die Überprüfung mehrerer Administratoren.
-
security multi-admin-verify rule
Betrieb*
Steuern Sie die Befehlssatz, für die eine Multi-Admin-Überprüfung erforderlich ist.
-
security multi-admin-verify request
BetriebKontrollieren Sie den Genehmigungsprozess.
Regelgeschützte Befehle
Zusätzlich zu systemdefinierten Vorgängen sind die folgenden Befehle standardmäßig geschützt, wenn die Verifizierung mehrerer Administratoren aktiviert ist. Sie können die Regeln jedoch ändern, um den Schutz für diese Befehle zu entfernen.
-
security login password
-
security login unlock
-
set
Jede ONTAP Version bietet mehr Befehle, die Sie durch Verifizierungsregeln für mehrere Administratoren schützen können. Wählen Sie Ihre ONTAP-Version aus, um eine vollständige Liste der zum Schutz verfügbaren Befehle zu erhalten.
-
cluster date modify
3 -
cluster log-forwarding create
3 -
cluster log-forwarding delete
3 -
cluster log-forwarding modify
3 -
cluster peer delete
-
cluster time-service ntp server create
3 -
cluster time-service ntp server delete
3 -
cluster time-service ntp server key create
3 -
cluster time-service ntp server key delete
3 -
cluster time-service ntp server key modify
3 -
cluster time-service ntp server modify
3 -
event config modify
-
lun delete
3 -
security anti-ransomware volume attack clear-suspect
1 -
security anti-ransomware volume disable
1 -
security anti-ransomware volume event-log modify
2 -
security anti-ransomware volume pause
1 -
security anti-ransomware vserver event-log modify
2 -
security audit modify
3 -
security ipsec config modify
3 -
security ipsec policy create
3 -
security ipsec policy delete
3 -
security ipsec policy modify
3 -
security login create
-
security login delete
-
security login modify
-
security key-manager onboard update-passphrase
3 -
security saml-sp create
3 -
security saml-sp delete
3 -
security saml-sp modify
3 -
snaplock legal-hold end
3 -
storage aggregate delete
3 -
storage aggregate offline
4 -
storage encryption disk destroy
3 -
storage encryption disk modify
3 -
storage encryption disk revert-to-original-state
3 -
storage encryption disk sanitize
3 -
system bridge run-cli
3 -
system controller flash-cache secure-erase run
3 -
system controller service-event delete
3 -
system health alert delete
3 -
system health alert modify
3 -
system health policy definition modify
3 -
system node autosupport modify
3 -
system node autosupport trigger modify
3 -
system node coredump delete
3 -
system node coredump delete-all
3 -
system node hardware nvram-encryption modify
3 -
system node run
-
system node systemshell
-
system script delete
3 -
system service-processor ssh add-allowed-addresses
3 -
system service-processor ssh remove-allowed-addresses
3 -
system smtape restore
3 -
system switch ethernet log disable-collection
3 -
system switch ethernet log modify
3 -
timezone
3 -
volume create
3 -
volume delete
-
volume encryption conversion start
4 -
volume encryption rekey start
4 -
volume file privileged-delete
3 -
volume flexcache delete
-
volume modify
3 -
volume recovery-queue modify
2 -
volume recovery-queue purge
2 -
volume recovery-queue purge-all
2 -
volume snaplock modify
1 -
volume snapshot autodelete modify
-
volume snapshot create
3 -
volume snapshot delete
-
volume snapshot modify
3 -
volume snapshot policy add-schedule
-
volume snapshot policy create
-
volume snapshot policy delete
-
volume snapshot policy modify
-
volume snapshot policy modify-schedule
-
volume snapshot policy remove-schedule
-
volume snapshot rename
3 -
volume snapshot restore
-
vserver audit create
3 -
vserver audit delete
3 -
vserver audit disable
3 -
vserver audit modify
3 -
vserver audit rotate-log
3 -
vserver create
2 -
vserver consistency-group create
4 -
vserver consistency-group delete
4 -
vserver consistency-group modify
4 -
vserver consistency-group snapshot create
4 -
vserver consistency-group snapshot delete
4 -
vserver delete
3 -
vserver modify
2 -
vserver object-store-server audit create
3 -
vserver object-store-server audit delete
3 -
vserver object-store-server audit disable
3 -
vserver object-store-server audit modify
3 -
vserver object-store-server audit rotate-log
3 -
vserver options
3 -
vserver peer delete
-
vserver security file-directory apply
3 -
vserver security file-directory remove-slag
3 -
vserver stop
4 -
vserver vscan disable
3 -
vserver vscan on-access-policy create
3 -
vserver vscan on-access-policy delete
3 -
vserver vscan on-access-policy disable
3 -
vserver vscan on-access-policy modify
3 -
vserver vscan scanner-pool create
3 -
vserver vscan scanner-pool delete
3 -
vserver vscan scanner-pool modify
3
-
cluster date modify
3 -
cluster log-forwarding create
3 -
cluster log-forwarding delete
3 -
cluster log-forwarding modify
3 -
cluster peer delete
-
cluster time-service ntp server create
3 -
cluster time-service ntp server delete
3 -
cluster time-service ntp server key create
3 -
cluster time-service ntp server key delete
3 -
cluster time-service ntp server key modify
3 -
cluster time-service ntp server modify
3 -
event config modify
-
lun delete
3 -
security anti-ransomware volume attack clear-suspect
1 -
security anti-ransomware volume disable
1 -
security anti-ransomware volume event-log modify
2 -
security anti-ransomware volume pause
1 -
security anti-ransomware vserver event-log modify
2 -
security audit modify
3 -
security ipsec config modify
3 -
security ipsec policy create
3 -
security ipsec policy delete
3 -
security ipsec policy modify
3 -
security login create
-
security login delete
-
security login modify
-
security key-manager onboard update-passphrase
3 -
security saml-sp create
3 -
security saml-sp delete
3 -
security saml-sp modify
3 -
snaplock legal-hold end
3 -
storage aggregate delete
3 -
storage encryption disk destroy
3 -
storage encryption disk modify
3 -
storage encryption disk revert-to-original-state
3 -
storage encryption disk sanitize
3 -
system bridge run-cli
3 -
system controller flash-cache secure-erase run
3 -
system controller service-event delete
3 -
system health alert delete
3 -
system health alert modify
3 -
system health policy definition modify
3 -
system node autosupport modify
3 -
system node autosupport trigger modify
3 -
system node coredump delete
3 -
system node coredump delete-all
3 -
system node hardware nvram-encryption modify
3 -
system node run
-
system node systemshell
-
system script delete
3 -
system service-processor ssh add-allowed-addresses
3 -
system service-processor ssh remove-allowed-addresses
3 -
system smtape restore
3 -
system switch ethernet log disable-collection
3 -
system switch ethernet log modify
3 -
timezone
3 -
volume create
3 -
volume delete
-
volume file privileged-delete
3 -
volume flexcache delete
-
volume modify
3 -
volume recovery-queue modify
2 -
volume recovery-queue purge
2 -
volume recovery-queue purge-all
2 -
volume snaplock modify
1 -
volume snapshot autodelete modify
-
volume snapshot create
3 -
volume snapshot delete
-
volume snapshot modify
3 -
volume snapshot policy add-schedule
-
volume snapshot policy create
-
volume snapshot policy delete
-
volume snapshot policy modify
-
volume snapshot policy modify-schedule
-
volume snapshot policy remove-schedule
-
volume snapshot rename
3 -
volume snapshot restore
-
vserver audit create
3 -
vserver audit delete
3 -
vserver audit disable
3 -
vserver audit modify
3 -
vserver audit rotate-log
3 -
vserver create
2 -
vserver delete
3 -
vserver modify
2 -
vserver object-store-server audit create
3 -
vserver object-store-server audit delete
3 -
vserver object-store-server audit disable
3 -
vserver object-store-server audit modify
3 -
vserver object-store-server audit rotate-log
3 -
vserver options
3 -
vserver peer delete
-
vserver security file-directory apply
3 -
vserver security file-directory remove-slag
3 -
vserver vscan disable
3 -
vserver vscan on-access-policy create
3 -
vserver vscan on-access-policy delete
3 -
vserver vscan on-access-policy disable
3 -
vserver vscan on-access-policy modify
3 -
vserver vscan scanner-pool create
3 -
vserver vscan scanner-pool delete
3 -
vserver vscan scanner-pool modify
3
-
cluster peer delete
-
event config modify
-
security anti-ransomware volume attack clear-suspect
1 -
security anti-ransomware volume disable
1 -
security anti-ransomware volume event-log modify
2 -
security anti-ransomware volume pause
1 -
security anti-ransomware vserver event-log modify
2 -
security login create
-
security login delete
-
security login modify
-
system node run
-
system node systemshell
-
volume delete
-
volume flexcache delete
-
volume recovery-queue modify
2 -
volume recovery-queue purge
2 -
volume recovery-queue purge-all
2 -
volume snaplock modify
1 -
volume snapshot autodelete modify
-
volume snapshot delete
-
volume snapshot policy add-schedule
-
volume snapshot policy create
-
volume snapshot policy delete
* -
volume snapshot policy modify
-
volume snapshot policy modify-schedule
-
volume snapshot policy remove-schedule
-
volume snapshot restore
-
vserver create
2 -
vserver modify
2 -
vserver peer delete
-
cluster peer delete
-
event config modify
-
security anti-ransomware volume attack clear-suspect
1 -
security anti-ransomware volume disable
1 -
security anti-ransomware volume pause
1 -
security login create
-
security login delete
-
security login modify
-
system node run
-
system node systemshell
-
volume delete
-
volume flexcache delete
-
volume snaplock modify
1 -
volume snapshot autodelete modify
-
volume snapshot delete
-
volume snapshot policy add-schedule
-
volume snapshot policy create
-
volume snapshot policy delete
* -
volume snapshot policy modify
-
volume snapshot policy modify-schedule
-
volume snapshot policy remove-schedule
-
volume snapshot restore
-
vserver peer delete
-
cluster peer delete
-
event config modify
-
security login create
-
security login delete
-
security login modify
-
system node run
-
system node systemshell
-
volume delete
-
volume flexcache delete
-
volume snapshot autodelete modify
-
volume snapshot delete
-
volume snapshot policy add-schedule
-
volume snapshot policy create
-
volume snapshot policy delete
* -
volume snapshot policy modify
-
volume snapshot policy modify-schedule
-
volume snapshot policy remove-schedule
-
volume snapshot restore
-
vserver peer delete
-
Neuer regelgeschützter Befehl für 9.13.1
-
Neuer regelgeschützter Befehl für 9.14.1
-
Neuer regelgeschützter Befehl für 9.15.1
-
Neuer regelgeschützter Befehl für 9.16.1
*Dieser Befehl ist nur mit CLI verfügbar und in einigen Versionen für System Manager nicht verfügbar.
Funktionsweise der Multi-Admin-Genehmigung
Jedes Mal, wenn ein geschützter Vorgang in einem MAV-geschützten Cluster eingegeben wird, wird eine Anfrage zur Ausführung des Vorgangs an die entsprechende MAV-Administratorgruppe gesendet.
Sie können Folgendes konfigurieren:
-
Die Namen, Kontaktinformationen und die Anzahl der Administratoren in der MAV-Gruppe.
Ein MAV-Administrator sollte über eine RBAC-Rolle mit Cluster-Administratorrechten verfügen.
-
Die Anzahl der MAV-Administratorgruppen.
-
Für jede Schutzregel wird eine MAV-Gruppe zugewiesen.
-
Für mehrere MAV-Gruppen können Sie konfigurieren, welche MAV-Gruppe eine bestimmte Regel genehmigt.
-
-
Die Anzahl der erforderlichen MAV-Genehmigungen für die Ausführung eines geschützten Vorgangs.
-
Eine Ablauffrist Genehmigung, innerhalb derer ein MAV-Administrator auf eine Genehmigungsanfrage antworten muss.
-
Eine Ablauffrist Ausführung, innerhalb derer der anfragende Administrator den Vorgang abschließen muss.
Sobald diese Parameter konfiguriert sind, muss die MAV-Genehmigung geändert werden.
MAV-Administratoren können ihre eigenen Anforderungen zur Ausführung von geschützten Vorgängen nicht genehmigen. Daher:
-
MAV sollte nicht auf Clustern mit nur einem Administrator aktiviert werden.
-
Wenn nur eine Person in der MAV-Gruppe vorhanden ist, kann der MAV-Administrator keine geschützten Vorgänge initiieren; regelmäßige Administratoren müssen geschützte Vorgänge initiieren, und der MAV-Administrator kann nur genehmigen.
-
Wenn Sie möchten, dass MAV-Administratoren geschützte Vorgänge ausführen können, muss die Anzahl der MAV-Administratoren größer sein als die Anzahl der erforderlichen Genehmigungen. Wenn zum Beispiel zwei Genehmigungen für einen geschützten Vorgang erforderlich sind und Sie möchten, dass MAV-Administratoren diese ausführen, müssen sich drei Personen in der Gruppe MAV-Administratoren befinden.
MAV-Administratoren können Genehmigungsanfragen in E-Mail-Benachrichtigungen (über EMS) erhalten oder die Anforderungswarteschlange abfragen. Wenn sie eine Anfrage erhalten, können sie eine von drei Aktionen durchführen:
-
Genehmigen
-
Ablehnen (Veto)
-
Ignorieren (keine Aktion)
E-Mail-Benachrichtigungen werden an alle Genehmiger gesendet, die einer MAV-Regel zugeordnet sind, wenn:
-
Eine Anfrage wird erstellt.
-
Ein Antrag ist genehmigt oder ein Veto eingelegt.
-
Eine genehmigte Anfrage wird ausgeführt.
Wenn sich der Anforderer in derselben Genehmigungsgruppe für den Vorgang befindet, wird er eine E-Mail erhalten, wenn seine Anfrage genehmigt wird.
Ein Anforderer kann seine eigenen Anfragen nicht genehmigen, selbst wenn er sich in der Genehmigungsgruppe befindet (obwohl er E-Mail-Benachrichtigungen für seine eigenen Anfragen erhalten kann). Anfragesteller, die sich nicht in Genehmigungsgruppen befinden (d. h. nicht MAV-Administratoren), erhalten keine E-Mail-Benachrichtigungen. |
Funktionsweise der geschützten Operation
Wenn die Ausführung für einen geschützten Vorgang genehmigt wird, wird der anfragende Benutzer mit der Operation fortgesetzt, wenn er dazu aufgefordert wird. Wenn der Vorgang ein Vetos hat, muss der anfordernde Benutzer die Anfrage löschen, bevor er fortfahren kann.
MAV-Regeln werden nach RBAC-Berechtigungen evaluiert. Dadurch kann ein Benutzer ohne ausreichende RBAC-Berechtigungen für die Ausführung des Vorgangs den MAV-Anforderungsprozess nicht initiieren.