Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Rollen, Applikationen und Authentifizierung

Beitragende
PDFs

ONTAP bietet sicherheitsbewussten Unternehmen die Möglichkeit, verschiedenen Administratoren anhand verschiedener Anmeldeanwendungen und -Methoden granularen Zugriff zu gewähren. So können Kunden ein datenorientiertes Zero-Trust-Modell aufbauen.

Dies sind die Rollen, die Administratoren von Administratoren und Storage Virtual Machines zur Verfügung stehen. Die Methoden der Anmeldeanwendung und die Methoden der Anmeldeauthentifizierung werden angegeben.

Rollen

Dank rollenbasierter Zugriffssteuerung (Role Based Access Control, RBAC) haben Benutzer nur Zugriff auf die Systeme und Optionen, die für ihre Rollen und Funktionen erforderlich sind. Die RBAC-Lösung in ONTAP beschränkt den administrativen Zugriff der Benutzer auf das Niveau, das für ihre Rolle festgelegt wurde. Administratoren können so Benutzer anhand der zugewiesenen Rolle managen. ONTAP bietet mehrere vordefinierte Rollen. Operatoren und Administratoren können benutzerdefinierte Zugriffskontrollrollen erstellen, ändern oder löschen und Kontobeschränkungen für bestimmte Rollen festlegen.

Vordefinierte Rollen für Cluster-Administratoren

Diese Rolle…​

Verfügt über diese Zugriffsebene…​

Zu den folgenden Befehlen oder Befehlsverzeichnissen

admin

Alle

Alle Befehlsverzeichnisse (DEFAULT)

admin-no-fsa (Verfügbar ab ONTAP 9.12.1)

Lese-/Schreibzugriff

  • Alle Befehlsverzeichnisse (DEFAULT)

  • security login rest-role

  • security login role

Schreibgeschützt

  • security login rest-role create

  • security login rest-role delete

  • security login rest-role modify

  • security login rest-role show

  • security login role create

  • security login role create

  • security login role delete

  • security login role modify

  • security login role show

  • volume activity-tracking

  • volume analytics

Keine

volume file show-disk-usage

autosupport

Alle

  • set

  • system node autosupport

Keine

Alle anderen Befehlsverzeichnisse (DEFAULT)

backup

Alle

vserver services ndmp

Schreibgeschützt

volume

Keine

Alle anderen Befehlsverzeichnisse (DEFAULT)

readonly

Alle

  • security login password

    Nur zur Verwaltung des eigenen Benutzerkontos mit lokalem Passwort und Schlüsselinformationen

  • set

Keine

security

Schreibgeschützt

Alle anderen Befehlsverzeichnisse (DEFAULT)

none
Hinweis Die autosupport Rolle wird dem vordefinierten autosupport Konto zugewiesen, das von AutoSupport OnDemand verwendet wird. ONTAP verhindert autosupport, dass Sie das Konto ändern oder löschen. ONTAP hindert Sie auch daran, die autosupport Rolle anderen Benutzerkonten zuzuweisen.

Vordefinierte Rollen für SVM-Administratoren (Storage Virtual Machine

Rollenname

Sorgen

vsadmin

  • Verwalten Sie Ihr eigenes Benutzerkonto mit lokalen Kennwörtern und Schlüsselinformationen

  • Verwalten von Volumes, mit Ausnahme von Volume-Verschiebungen

  • Managen von Kontingenten, qtrees, Snapshot Kopien und Dateien

  • LUNs managen

  • Führen Sie SnapLock-Vorgänge aus, mit Ausnahme von privilegiertem Löschen

  • Konfigurationsprotokolle: NFS, SMB, iSCSI, FC, FCoE, NVMe/FC und NVMe/TCP

  • Services konfigurieren: DNS, LDAP und NIS

  • Überwachen von Jobs

  • Überwachen von Netzwerkverbindungen und Netzwerkschnittstellen

  • Monitoring des Systemzustands der SVM

vsadmin-volume

  • Verwalten Sie Ihr eigenes Benutzerkonto mit lokalen Kennwörtern und Schlüsselinformationen

  • Managen von Volumes, einschließlich Volume-Verschiebungen

  • Managen von Kontingenten, qtrees, Snapshot Kopien und Dateien

  • LUNs managen

  • Konfigurationsprotokolle: NFS, SMB, iSCSI, FC, FCoE, NVMe/FC und NVMe/TCP

  • Services konfigurieren: DNS, LDAP und NIS

  • Überwachung der Netzwerkschnittstelle

  • Monitoring des Systemzustands der SVM

vsadmin-protocol

  • Verwalten Sie Ihr eigenes Benutzerkonto mit lokalen Kennwörtern und Schlüsselinformationen

  • Konfigurationsprotokolle: NFS, SMB, iSCSI, FC, FCoE, NVMe/FC und NVMe/TCP

  • Services konfigurieren: DNS, LDAP und NIS

  • LUNs managen

  • Überwachung der Netzwerkschnittstelle

  • Monitoring des Systemzustands der SVM

vsadmin-backup

  • Verwalten Sie Ihr eigenes Benutzerkonto mit lokalen Kennwörtern und Schlüsselinformationen

  • Management von NDMP-Vorgängen

  • Lese-/Schreibzugriff auf ein wiederhergestelltes Volume erstellen

  • Management von SnapMirror Beziehungen und Snapshot Kopien

  • Anzeigen von Volumes und Netzwerkinformationen

vsadmin-snaplock

  • Verwalten Sie Ihr eigenes Benutzerkonto mit lokalen Kennwörtern und Schlüsselinformationen

  • Verwalten von Volumes, mit Ausnahme von Volume-Verschiebungen

  • Managen von Kontingenten, qtrees, Snapshot Kopien und Dateien

  • Führen Sie SnapLock-Vorgänge durch, einschließlich privilegiertem Löschen

  • Protokolle konfigurieren: NFS und SMB

  • Services konfigurieren: DNS, LDAP und NIS

  • Überwachen von Jobs

  • Überwachen von Netzwerkverbindungen und Netzwerkschnittstellen

vsadmin-readonly

  • Verwalten Sie Ihr eigenes Benutzerkonto mit lokalen Kennwörtern und Schlüsselinformationen

  • Monitoring des Systemzustands der SVM

  • Überwachung der Netzwerkschnittstelle

  • Zeigen Sie Volumes und LUNs an

  • Services und Protokolle anzeigen

Anwendungsmethoden

Die Anwendungsmethode gibt den Zugriffstyp der Anmeldemethode an. Mögliche Werte sind console, http, ontapi, rsh, snmp, service-processor, ssh, und telnet.

Durch Festlegen dieses Parameters wird service-processor dem Benutzer Zugriff auf den Service-Prozessor gewährt. Wenn dieser Parameter auf festgelegt service-processor`ist, muss der `-authentication-method Parameter auf festgelegt werden password , da der Service Processor nur die Authentifizierung unterstützt password . SVM-Benutzerkonten können nicht auf den Service-Prozessor zugreifen. Daher können Operatoren und Administratoren den Parameter nicht verwenden -vserver , wenn dieser Parameter auf eingestellt ist service-processor.

Um den Zugriff auf das weiter einzuschränken service-processor , verwenden Sie den Befehl system service-processor ssh add-allowed-addresses. Mit dem Befehl system service-processor api-service können die Konfigurationen und Zertifikate aktualisiert werden.

Aus Sicherheitsgründen sind Telnet und Remote Shell (RSH) standardmäßig deaktiviert, da NetApp Secure Shell (SSH) für sicheren Remote-Zugriff empfiehlt. Wenn Telnet oder RSH erforderlich ist oder nur einmalig benötigt wird, müssen diese aktiviert sein.

Mit dem security protocol modify Befehl wird die vorhandene Cluster-weite Konfiguration von RSH und Telnet geändert. Aktivieren Sie RSH und Telnet im Cluster, indem Sie das Feld aktiviert auf einstellen true.

Authentifizierungsmethoden

Der Parameter für die Authentifizierungsmethode gibt die Authentifizierungsmethode an, die für Anmeldungen verwendet wird.

Authentifizierungsmethode Beschreibung

cert

SSL-Zertifikatauthentifizierung

community

SNMP-Community-Zeichenfolgen

domain

Active Directory-Authentifizierung

nsswitch

LDAP- oder NIS-Authentifizierung

password

Passwort

publickey

Authentifizierung über öffentlichen Schlüssel

usm

SNMP-Benutzersicherheitsmodell
Hinweis Die Verwendung von NIS wird aufgrund von Schwachstellen bei der Protokollsicherheit nicht empfohlen.

Ab ONTAP 9.3 steht für lokale SSH-Konten verkettete zwei-Faktor-Authentifizierung mit und als die beiden Authentifizierungsmethoden zur Verfügung admin publickey password . Zusätzlich zum Feld im Befehl wurde ein neues Feld mit dem -authentication-method security login Namen -second-authentication-method hinzugefügt. Entweder publickey oder password kann als oder als angegeben werden -authentication-method -second-authentication-method. Während der SSH-Authentifizierung erfolgt die Reihenfolge jedoch immer publickey mit teilweiser Authentifizierung, gefolgt von der Passwortaufforderung zur vollständigen Authentifizierung.

[user@host01 ~]$ ssh ontap.netapp.local
Authenticated with partial success.
Password:
cluster1::>

Ab ONTAP 9.4 nsswitch kann als zweite Authentifizierungsmethode mit verwendet werden publickey.

Ab ONTAP 9.12.1 kann FIDO2 auch für die SSH-Authentifizierung über ein YubiKey oder andere mit FIDO2 kompatible Geräte genutzt werden.

Ab ONTAP 9.13.1:

  • domain Konten können als zweite Authentifizierungsmethode mit verwendet werden publickey.

  • Time-Based One-time password (totp) ist ein temporärer Passcode, der von einem Algorithmus generiert wird, der die aktuelle Tageszeit als einen seiner Authentifizierungsfaktoren für die zweite Authentifizierungsmethode verwendet.

  • Public Key Revocation wird mit SSH publickeys sowie Zertifikaten unterstützt, die während SSH auf Ablauf/Widerruf überprüft werden.

Weitere Informationen zur Multi-Faktor-Authentifizierung (MFA) für ONTAP System Manager, Active IQ Unified Manager und SSH finden Sie unter "TR-4647: Multifaktor-Authentifizierung in ONTAP 9".