Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Greifen Sie über SSH auf das Cluster zu

Beitragende
PDFs

Sie können SSH-Anforderungen an das Cluster ausgeben, um administrative Aufgaben durchzuführen. SSH ist standardmäßig aktiviert.

Was Sie benötigen

  • Sie müssen über ein Benutzerkonto verfügen, das für die Verwendung konfiguriert ist ssh Als Zugriffsmethode.

    Der -application Parameter von security login Befehle gibt die Zugriffsmethode für ein Benutzerkonto an. Der security login "Man-Pages" Enthalten zusätzliche Informationen.

  • Wenn Sie ein Active Directory (AD)-Domänenbenutzerkonto für den Zugriff auf das Cluster verwenden, muss ein Authentifizierungstunnel für das Cluster über eine CIFS-fähige Storage-VM eingerichtet worden sein, und Ihr AD-Domänenbenutzerkonto muss ebenfalls mit dem Cluster hinzugefügt worden sein ssh Als Zugriffsmethode und domain Als Authentifizierungsmethode.

  • Wenn Sie IPv6-Verbindungen verwenden, muss IPv6 bereits auf dem Cluster konfiguriert und aktiviert sein. Firewallrichtlinien müssen bereits mit IPv6-Adressen konfiguriert sein.

    Der network options ipv6 show Der Befehl zeigt an, ob IPv6 aktiviert ist. Der system services firewall policy show Befehl zeigt Firewallrichtlinien an.

Über diese Aufgabe

  • Sie müssen einen OpenSSH 5.7 oder höher -Client verwenden.

  • Nur das SSH v2-Protokoll wird unterstützt; SSH v1 wird nicht unterstützt.

  • ONTAP unterstützt maximal 64 gleichzeitige SSH-Sitzungen pro Node.

    Wenn sich die Cluster-Management-LIF auf dem Node befindet, wird dieses Limit zusammen mit der Node-Management-LIF verwendet.

    Falls die Rate der eingehenden Verbindungen mehr als 10 pro Sekunde ist, wird der Dienst vorübergehend für 60 Sekunden deaktiviert.

  • ONTAP unterstützt nur die Verschlüsselungsalgorithmen AES und 3DES für SSH (auch bekannt als Chiffers).

    AES wird mit 128, 192 und 256 Bit in Schlüssellänge unterstützt. 3DES ist 56 Bit in Schlüssellänge wie im Original DES, wird aber dreimal wiederholt.

  • Wenn der FIPS-Modus aktiviert ist, sollten SSH-Clients mit den öffentlichen Schlüssel-Algorithmen des Elliptic Curve Digital Signature Algorithm (ECDSA) verhandeln, damit die Verbindung erfolgreich hergestellt werden kann.

  • Wenn Sie von einem Windows-Host aus auf die ONTAP-CLI zugreifen möchten, können Sie ein Dienstprogramm eines Drittanbieters wie z. B. PuTTY verwenden.

  • Wenn Sie einen Windows AD-Benutzernamen verwenden, um sich bei ONTAP anzumelden, sollten Sie dieselben Groß- oder Kleinbuchstaben verwenden, die beim Erstellen des AD-Benutzernamens und des Domänennamens in ONTAP verwendet wurden.

    BEI AD-Benutzernamen und -Domain-Namen wird die Groß-/Kleinschreibung nicht beachtet. Bei ONTAP-Benutzernamen muss die Groß-/Kleinschreibung beachtet werden. Eine Diskrepanz zwischen dem in ONTAP erstellten Benutzernamen und dem in AD erstellten Benutzernamen führt zu einem Anmeldefehler.

SSH-Authentifizierungsoptionen

  • Ab ONTAP 9.3 ist dies möglich "Aktivieren Sie SSH-Multi-Faktor-Authentifizierung" Für lokale Administratorkonten.

    Wenn die Multi-Faktor-Authentifizierung mittels SSH aktiviert ist, werden Benutzer mit einem öffentlichen Schlüssel und einem Passwort authentifiziert.

  • Ab ONTAP 9.4 ist dies möglich "Aktivieren Sie SSH-Multi-Faktor-Authentifizierung" Für LDAP- und NIS-Remote-Benutzer.

  • Ab ONTAP 9.13.1 können Sie optional der SSH-Authentifizierung eine Zertifikatsüberprüfung hinzufügen, um die Anmeldesicherheit zu erhöhen. Um dies zu tun, "Verknüpfen Sie ein X.509-Zertifikat mit dem öffentlichen Schlüssel" Die ein Konto verwendet. Wenn Sie sich mit SSH sowohl mit einem öffentlichen SSH-Schlüssel als auch mit einem X.509-Zertifikat anmelden, überprüft ONTAP die Gültigkeit des X.509-Zertifikats, bevor Sie sich mit dem öffentlichen SSH-Schlüssel authentifizieren. Die SSH-Anmeldung wird abgelehnt, wenn das Zertifikat abgelaufen ist oder widerrufen wurde und der öffentliche SSH-Schlüssel automatisch deaktiviert wird.

  • Ab ONTAP 9.14.1 können Sie optional die zwei-Faktor-Authentifizierung von Cisco Duo zur SSH-Authentifizierung hinzufügen, um die Anmeldesicherheit zu erhöhen. Nach der ersten Anmeldung, nachdem Sie die Cisco Duo-Authentifizierung aktiviert haben, müssen Benutzer ein Gerät registrieren, das als Authentifikator für SSH-Sitzungen dient. Siehe "Konfigurieren Sie Cisco Duo 2FA für SSH-Anmeldungen" Weitere Informationen zur Konfiguration der Cisco Duo SSH-Authentifizierung für ONTAP.

Schritte

  1. Geben Sie von einem Administrationshost das ein ssh Befehl in einem der folgenden Formate:

    • ssh username@hostname_or_IP [command]

    • ssh -l username hostname_or_IP [command]

Wenn Sie ein AD-Domänenbenutzerkonto verwenden, müssen Sie angeben username Im Format von domainname\\AD_accountname (Mit doppelten umgekehrten Schrägstrichen nach dem Domain-Namen) oder "domainname\AD_accountname" (Eingeschlossen in doppelte Anführungszeichen und mit einem einzelnen umgekehrten Schrägstrich nach dem Domainnamen).

hostname_or_IP Ist der Host-Name oder die IP-Adresse der Cluster-Management-LIF oder eine Node-Management-LIF. Es wird empfohlen, die Cluster-Management-LIF zu verwenden. Sie können eine IPv4- oder IPv6-Adresse verwenden.

command Ist für SSH-interaktive Sessions nicht erforderlich.

Beispiele für SSH-Anforderungen

Die folgenden Beispiele zeigen, wie das Benutzerkonto mit dem Namen „joe“ eine SSH-Anforderung für den Zugriff auf ein Cluster ausgeben kann, dessen Cluster-Management-LIF 10.72.137.28 ist:

$ ssh joe@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

Die folgenden Beispiele zeigen, wie das Benutzerkonto „john“ aus der Domäne „DOMAIN1“ eine SSH-Anforderung für den Zugriff auf einen Cluster ausgeben kann, dessen Cluster-Management-LIF 10.72.137.28 ist:

$ ssh DOMAIN1\\john@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

Das folgende Beispiel zeigt, wie das Benutzerkonto mit dem Namen „joe“ eine SSH MFA-Anforderung für den Zugriff auf ein Cluster ausgeben kann, dessen Cluster-Management-LIF 10.72.137.32 ist:

$ ssh joe@10.72.137.32
Authenticated with partial success.
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
Verwandte Informationen

"Administratorauthentifizierung und RBAC"