Verwalten von Regeln für geschützte Vorgänge
-
PDF dieser Dokumentationssite
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Datensicherung mit der CLI
- Managen Sie die SnapMirror Volume-Replizierung
-
Datensicherung mit der CLI
Sammlung separater PDF-Dokumente
Creating your file...
Sie erstellen MAV-Regeln (Multi-Admin Verification), um Vorgänge zu bestimmen, die genehmigt werden müssen. Sobald ein Vorgang initiiert wird, werden geschützte Vorgänge abgefangen und eine Anfrage zur Genehmigung generiert.
Regeln können erstellt werden, bevor sie MAV durch einen beliebigen Administrator mit entsprechenden RBAC-Funktionen aktivieren. Sobald MAV aktiviert ist, ist bei jeder Änderung der Regelsammlung die Genehmigung durch MAV erforderlich.
Regelgeschützte Befehle
Ab ONTAP 9.11.1 können Sie Regeln zum Schutz der folgenden Befehle erstellen.
|
|
Sie können Regeln erstellen, um die folgenden Befehle ab ONTAP 9.13.1 zu schützen:
-
volume snaplock modify
-
security anti-ransomware volume attack clear-suspect
-
security anti-ransomware volume disable
-
security anti-ransomware volume pause
Sie können Regeln erstellen, um die folgenden Befehle ab ONTAP 9.14.1 zu schützen:
-
volume recovery-query modify
-
volume recovery-query purge
-
volume recovery-query purge-all
-
vserver modify
Die Regeln für MAV-System-default-Befehle, die security multi-admin-verify
"Befehle", Kann nicht geändert werden.
Zusätzlich zu den systemdefinierten Befehlen sind die folgenden Befehle standardmäßig geschützt, wenn die Multi-Admin-Überprüfung aktiviert ist. Sie können jedoch die Regeln ändern, um den Schutz für diese Befehle zu entfernen.
-
security login password
-
security login unlock
-
set
Beim Erstellen einer Regel können Sie optional die angeben -query
Option, um die Anforderung auf einen Teil der Befehlsfunktion zu beschränken. Beispiel: Im Befehl „Default set“ -query
Ist auf festgelegt -privilege diag
, Das bedeutet, dass eine Anforderung für den Befehl set nur dann erzeugt wird, wenn -privilege diag
Wird angegeben.
smci-vsim20::> security multi-admin-verify rule show Required Approval Vserver Operation Approvers Groups ------- -------------------------------------- --------- ------------- vs01 set - - Query: -privilege diagnostic
Standardmäßig wird durch Regeln ein entsprechendes festgelegt security multi-admin-verify request create “protected_operation”
Der Befehl wird automatisch generiert, wenn ein geschützter Vorgang eingegeben wird. Sie können diese Standardeinstellung so ändern, dass sie den erfordert request create
Befehl separat eingegeben werden.
Standardmäßig erben Regeln die folgenden globalen MAV-Einstellungen, obwohl regelspezifische Ausnahmen angegeben werden können:
-
Erforderliche Anzahl der Genehmiger
-
Genehmigungsgruppen
-
Ablauffrist der Genehmigung
-
Ablauffrist der Ausführung
System Manager Verfahren
Wenn Sie zum ersten Mal eine Regel für geschützte Vorgänge hinzufügen möchten, lesen Sie die Verfahren zu System Manager nach "Aktivieren Sie die Verifizierung für mehrere Administratoren."
So ändern Sie den vorhandenen Regelsatz:
-
Wählen Sie Cluster > Einstellungen.
-
Wählen Sie Neben Multi-Admin-Genehmigung im Abschnitt Sicherheit.
-
Wählen Sie Zum Hinzufügen von mindestens einer Regel können Sie auch vorhandene Regeln ändern oder löschen.
-
Operation – Wählen Sie einen unterstützten Befehl aus der Liste aus.
-
Abfrage – Geben Sie alle gewünschten Befehlsoptionen und Werte ein.
-
Optionale Parameter: Lassen Sie das Feld leer, um globale Einstellungen anzuwenden, oder weisen Sie einen anderen Wert für bestimmte Regeln zu, um die globalen Einstellungen zu überschreiben.
-
Erforderliche Anzahl an Genehmigern
-
Genehmigungsgruppen
-
-
CLI-Verfahren
Alle security multi-admin-verify rule Befehle erfordern vor der Ausführung eine Genehmigung des MAV-Administrators außer security multi-admin-verify rule show .
|
Wenn Sie… wollen | Geben Sie diesen Befehl ein |
---|---|
Erstellen Sie eine Regel |
|
Ändern der Anmeldeinformationen aktueller Administratoren |
Beispiel: Die folgende Regel erfordert die Genehmigung, um das Root-Volume zu löschen.
|
Regel ändern |
|
Löschen Sie eine Regel |
|
Regeln anzeigen |
|
Details zur Befehlssyntax finden Sie im security multi-admin-verify rule
Man-Pages.