Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Zugriff auf einen ONTAP-Cluster mithilfe von SSH-Anforderungen

Beitragende netapp-mwallis netapp-aherbin netapp-dbagwell netapp-sumathi netapp-aaron-holt netapp-barbe netapp-ahibbard netapp-thomi
Änderungen vorschlagen
PDFs

Sie können SSH-Anforderungen an ein ONTAP-Cluster ausgeben, um administrative Aufgaben auszuführen. SSH ist standardmäßig aktiviert.

Bevor Sie beginnen

  • Sie müssen über ein Benutzerkonto verfügen, das für die Verwendung ssh als Zugriffsmethode konfiguriert ist.

    Der -application Parameter der security login Befehle gibt die Zugriffsmethode für ein Benutzerkonto an. Erfahren Sie mehr über security login in der "ONTAP-Befehlsreferenz".

  • Wenn Sie ein Active Directory (AD)-Domänenbenutzerkonto für den Zugriff auf das Cluster verwenden, muss ein Authentifizierungstunnel für das Cluster über eine CIFS-fähige Storage-VM eingerichtet worden sein ssh domain, und Ihr AD-Domänenbenutzerkonto muss ebenfalls mit als Zugriffsmethode und als Authentifizierungsmethode zum Cluster hinzugefügt worden sein.

Über diese Aufgabe

  • Sie müssen einen OpenSSH 5.7 oder höher -Client verwenden.

  • Nur das SSH v2-Protokoll wird unterstützt; SSH v1 wird nicht unterstützt.

  • ONTAP unterstützt maximal 64 gleichzeitige SSH-Sitzungen pro Node.

    Wenn sich die Cluster-Management-LIF auf dem Node befindet, wird dieses Limit zusammen mit der Node-Management-LIF verwendet.

    Falls die Rate der eingehenden Verbindungen mehr als 10 pro Sekunde ist, wird der Dienst vorübergehend für 60 Sekunden deaktiviert.

  • ONTAP unterstützt nur die Verschlüsselungsalgorithmen AES und 3DES für SSH (auch bekannt als Chiffers).

    AES wird mit 128, 192 und 256 Bit in Schlüssellänge unterstützt. 3DES ist 56 Bit in Schlüssellänge wie im Original DES, wird aber dreimal wiederholt.

  • Wenn der FIPS-Modus aktiviert ist, sollten SSH-Clients mit den öffentlichen Schlüssel-Algorithmen des Elliptic Curve Digital Signature Algorithm (ECDSA) verhandeln, damit die Verbindung erfolgreich hergestellt werden kann.

  • Wenn Sie von einem Windows-Host aus auf die ONTAP-CLI zugreifen möchten, können Sie ein Dienstprogramm eines Drittanbieters wie z. B. PuTTY verwenden.

  • Wenn Sie einen Windows AD-Benutzernamen verwenden, um sich bei ONTAP anzumelden, sollten Sie dieselben Groß- oder Kleinbuchstaben verwenden, die beim Erstellen des AD-Benutzernamens und des Domänennamens in ONTAP verwendet wurden.

    BEI AD-Benutzernamen und -Domain-Namen wird die Groß-/Kleinschreibung nicht beachtet. Bei ONTAP-Benutzernamen muss die Groß-/Kleinschreibung beachtet werden. Eine Diskrepanz zwischen dem in ONTAP erstellten Benutzernamen und dem in AD erstellten Benutzernamen führt zu einem Anmeldefehler.

SSH-Authentifizierungsoptionen

  • Ab ONTAP 9.3 können Sie "Aktivieren Sie SSH-Multi-Faktor-Authentifizierung"lokale Administratorkonten einrichten.

    Wenn die Multi-Faktor-Authentifizierung mittels SSH aktiviert ist, werden Benutzer mit einem öffentlichen Schlüssel und einem Passwort authentifiziert.

  • Ab ONTAP 9.4 können Sie "Aktivieren Sie SSH-Multi-Faktor-Authentifizierung"LDAP- und NIS-Remote-Benutzer verwenden.

  • Ab ONTAP 9.13.1 können Sie optional die Zertifikatsvalidierung zum SSH-Authentifizierungsprozess hinzufügen, um die Anmeldesicherheit zu erhöhen. Dazu "Verknüpfen Sie ein X.509-Zertifikat mit dem öffentlichen Schlüssel" das ein Konto verwendet, überprüfen. Wenn Sie sich per SSH mit sowohl einem öffentlichen SSH-Schlüssel als auch einem X.509-Zertifikat anmelden, prüft ONTAP die Gültigkeit des X.509-Zertifikats, bevor mit dem öffentlichen SSH-Schlüssel authentifiziert wird. Die SSH-Anmeldung wird verweigert, wenn dieses Zertifikat abgelaufen oder widerrufen ist, und der öffentliche SSH-Schlüssel wird automatisch deaktiviert.

  • Ab ONTAP 9.14.1 können ONTAP-Administratoren "Fügen Sie der SSH-Authentifizierung die zwei-Faktor-Authentifizierung des Cisco Duo hinzu" die Anmeldesicherheit erhöhen. Nach der Aktivierung der Cisco Duo Authentifizierung müssen Benutzer beim ersten Anmelden ein Gerät als Authentifikator für SSH-Sitzungen registrieren.

  • Ab ONTAP 9.15.1 können Administratoren "Dynamische Autorisierung konfigurieren" zusätzliche adaptive Authentifizierung für SSH-Benutzer basierend auf dem Vertrauenswert des Benutzers bereitstellen.

Schritte

  1. Geben Sie den ssh Befehl von einem Host mit Zugriff auf das Netzwerk des ONTAP Clusters in eines der folgenden Formate ein:

    • ssh username@hostname_or_IP [command]

    • ssh -l username hostname_or_IP [command]

Wenn Sie ein AD-Domain-Benutzerkonto verwenden, müssen Sie username das Format domainname\\AD_accountname (mit doppelten Backslashes nach dem Domänennamen) oder "domainname\AD_accountname" (in doppelte Anführungszeichen und mit einem einzigen Backslash nach dem Domänennamen) angeben.

hostname_or_IP Ist der Host-Name oder die IP-Adresse der Cluster-Management-LIF oder eine Node-Management-LIF. Es wird empfohlen, die Cluster-Management-LIF zu verwenden. Sie können eine IPv4- oder IPv6-Adresse verwenden.

command Ist für SSH-interaktive Sitzungen nicht erforderlich.

Beispiele für SSH-Anforderungen

Die folgenden Beispiele zeigen, wie das Benutzerkonto mit dem Namen „joe“ eine SSH-Anforderung für den Zugriff auf ein Cluster ausgeben kann, dessen Cluster-Management-LIF 10.72.137.28 ist:

$ ssh joe@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

Die folgenden Beispiele zeigen, wie das Benutzerkonto „john“ aus der Domäne „DOMAIN1“ eine SSH-Anforderung für den Zugriff auf einen Cluster ausgeben kann, dessen Cluster-Management-LIF 10.72.137.28 ist:

$ ssh DOMAIN1\\john@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

Das folgende Beispiel zeigt, wie das Benutzerkonto mit dem Namen „joe“ eine SSH MFA-Anforderung für den Zugriff auf ein Cluster ausgeben kann, dessen Cluster-Management-LIF 10.72.137.32 ist:

$ ssh joe@10.72.137.32
Authenticated with partial success.
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
Verwandte Informationen

"Administratorauthentifizierung und RBAC"