Greifen Sie über SSH auf den Cluster zu
-
PDF dieser Dokumentationssite
- ONTAP einrichten, aktualisieren und zurücksetzen
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
Sie können SSH-Anforderungen an ein ONTAP-Cluster ausgeben, um administrative Aufgaben auszuführen. SSH ist standardmäßig aktiviert.
-
Sie müssen über ein Benutzerkonto verfügen, das für die Verwendung konfiguriert ist
ssh
Als Zugriffsmethode.Der
-application
Parameter vonsecurity login
Befehle gibt die Zugriffsmethode für ein Benutzerkonto an. Dersecurity login
"Man-Pages" Enthalten zusätzliche Informationen. -
Wenn Sie ein Active Directory (AD)-Domänenbenutzerkonto für den Zugriff auf das Cluster verwenden, muss ein Authentifizierungstunnel für das Cluster über eine CIFS-fähige Storage-VM eingerichtet worden sein, und Ihr AD-Domänenbenutzerkonto muss ebenfalls mit dem Cluster hinzugefügt worden sein
ssh
Als Zugriffsmethode unddomain
Als Authentifizierungsmethode.
-
Sie müssen einen OpenSSH 5.7 oder höher -Client verwenden.
-
Nur das SSH v2-Protokoll wird unterstützt; SSH v1 wird nicht unterstützt.
-
ONTAP unterstützt maximal 64 gleichzeitige SSH-Sitzungen pro Node.
Wenn sich die Cluster-Management-LIF auf dem Node befindet, wird dieses Limit zusammen mit der Node-Management-LIF verwendet.
Falls die Rate der eingehenden Verbindungen mehr als 10 pro Sekunde ist, wird der Dienst vorübergehend für 60 Sekunden deaktiviert.
-
ONTAP unterstützt nur die Verschlüsselungsalgorithmen AES und 3DES für SSH (auch bekannt als Chiffers).
AES wird mit 128, 192 und 256 Bit in Schlüssellänge unterstützt. 3DES ist 56 Bit in Schlüssellänge wie im Original DES, wird aber dreimal wiederholt.
-
Wenn der FIPS-Modus aktiviert ist, sollten SSH-Clients mit den öffentlichen Schlüssel-Algorithmen des Elliptic Curve Digital Signature Algorithm (ECDSA) verhandeln, damit die Verbindung erfolgreich hergestellt werden kann.
-
Wenn Sie von einem Windows-Host aus auf die ONTAP-CLI zugreifen möchten, können Sie ein Dienstprogramm eines Drittanbieters wie z. B. PuTTY verwenden.
-
Wenn Sie einen Windows AD-Benutzernamen verwenden, um sich bei ONTAP anzumelden, sollten Sie dieselben Groß- oder Kleinbuchstaben verwenden, die beim Erstellen des AD-Benutzernamens und des Domänennamens in ONTAP verwendet wurden.
BEI AD-Benutzernamen und -Domain-Namen wird die Groß-/Kleinschreibung nicht beachtet. Bei ONTAP-Benutzernamen muss die Groß-/Kleinschreibung beachtet werden. Eine Diskrepanz zwischen dem in ONTAP erstellten Benutzernamen und dem in AD erstellten Benutzernamen führt zu einem Anmeldefehler.
-
Ab ONTAP 9.3 ist dies möglich "Aktivieren Sie SSH-Multi-Faktor-Authentifizierung" Für lokale Administratorkonten.
Wenn die Multi-Faktor-Authentifizierung mittels SSH aktiviert ist, werden Benutzer mit einem öffentlichen Schlüssel und einem Passwort authentifiziert.
-
Ab ONTAP 9.4 ist dies möglich "Aktivieren Sie SSH-Multi-Faktor-Authentifizierung" Für LDAP- und NIS-Remote-Benutzer.
-
Ab ONTAP 9.13.1 können Sie optional der SSH-Authentifizierung eine Zertifikatsüberprüfung hinzufügen, um die Anmeldesicherheit zu erhöhen. Um dies zu tun, "Verknüpfen Sie ein X.509-Zertifikat mit dem öffentlichen Schlüssel" Die ein Konto verwendet. Wenn Sie sich mit SSH sowohl mit einem öffentlichen SSH-Schlüssel als auch mit einem X.509-Zertifikat anmelden, überprüft ONTAP die Gültigkeit des X.509-Zertifikats, bevor Sie sich mit dem öffentlichen SSH-Schlüssel authentifizieren. Die SSH-Anmeldung wird abgelehnt, wenn das Zertifikat abgelaufen ist oder widerrufen wurde und der öffentliche SSH-Schlüssel automatisch deaktiviert wird.
-
Ab ONTAP 9.14.1 sind ONTAP Administratoren bei diesen Aufgaben ebenso problemlos möglich "Fügen Sie der SSH-Authentifizierung die zwei-Faktor-Authentifizierung des Cisco Duo hinzu" Zur Verbesserung der Anmeldesicherheit. Nach der ersten Anmeldung, nachdem Sie die Cisco Duo-Authentifizierung aktiviert haben, müssen Benutzer ein Gerät registrieren, das als Authentifikator für SSH-Sitzungen dient.
-
Ab ONTAP 9.15.1 ist dies für Administratoren möglich "Dynamische Autorisierung konfigurieren" So stellen Sie SSH-Benutzern zusätzliche adaptive Authentifizierung basierend auf der Vertrauensbewertung des Benutzers bereit.
-
Geben Sie von einem Host mit Zugriff auf das Netzwerk des ONTAP-Clusters den ein
ssh
Befehl in einem der folgenden Formate:-
ssh username@hostname_or_IP [command]
-
ssh -l username hostname_or_IP [command]
-
Wenn Sie ein AD-Domänenbenutzerkonto verwenden, müssen Sie angeben username
Im Format von domainname\\AD_accountname
(Mit doppelten umgekehrten Schrägstrichen nach dem Domain-Namen) oder "domainname\AD_accountname"
(Eingeschlossen in doppelte Anführungszeichen und mit einem einzelnen umgekehrten Schrägstrich nach dem Domainnamen).
hostname_or_IP
Ist der Host-Name oder die IP-Adresse der Cluster-Management-LIF oder eine Node-Management-LIF. Es wird empfohlen, die Cluster-Management-LIF zu verwenden. Sie können eine IPv4- oder IPv6-Adresse verwenden.
command
Ist für SSH-interaktive Sessions nicht erforderlich.
Die folgenden Beispiele zeigen, wie das Benutzerkonto mit dem Namen „joe
“ eine SSH-Anforderung für den Zugriff auf ein Cluster ausgeben kann, dessen Cluster-Management-LIF 10.72.137.28 ist:
$ ssh joe@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
Die folgenden Beispiele zeigen, wie das Benutzerkonto „john
“ aus der Domäne „DOMAIN1
“ eine SSH-Anforderung für den Zugriff auf einen Cluster ausgeben kann, dessen Cluster-Management-LIF 10.72.137.28 ist:
$ ssh DOMAIN1\\john@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
Das folgende Beispiel zeigt, wie das Benutzerkonto mit dem Namen „joe
“ eine SSH MFA-Anforderung für den Zugriff auf ein Cluster ausgeben kann, dessen Cluster-Management-LIF 10.72.137.32 ist:
$ ssh joe@10.72.137.32 Authenticated with partial success. Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.