Skip to main content
Hay disponible una nueva versión de este producto.
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Seguridad

Colaboradores

Existen varias tareas relacionadas que puede realizar como parte de la protección de una puesta en marcha de ONTAP Select.

Cambie la contraseña del administrador de despliegue

Puede cambiar la contraseña de la cuenta de administrador de la máquina virtual de implementación según sea necesario mediante la interfaz de usuario web.

Pasos
  1. Inicie sesión en la interfaz de usuario web de la utilidad de implementación mediante la cuenta de administrador.

  2. Haga clic en el icono de figura situado en la parte superior derecha de la página y seleccione Cambiar contraseña.

  3. Introduzca la contraseña actual y la nueva según se le solicite y haga clic en Enviar.

Agregue una cuenta de servidor de gestión

Puede agregar una cuenta del servidor de gestión a la base de datos del almacén de credenciales de despliegue.

Antes de empezar

Debe estar familiarizado con los tipos de credenciales y con cómo se utilizan en la implementación de ONTAP Select.

Pasos
  1. Inicie sesión en la interfaz de usuario web de la utilidad de implementación mediante la cuenta de administrador.

  2. Haga clic en la ficha Administración situada en la parte superior de la página.

  3. Haga clic en servidores de administración y, a continuación, haga clic en Agregar vCenter.

  4. Introduzca la siguiente información y haga clic en Agregar.

    En este campo… Haga lo siguiente …

    Nombre/dirección IP

    Proporcione el nombre de dominio o la dirección IP de vCenter Server.

    Nombre de usuario

    Introduzca el nombre de usuario de la cuenta para acceder a vCenter.

    Contraseña

    Introduzca la contraseña del nombre de usuario asociado.

  5. Después de agregar el nuevo servidor de gestión, puede hacer clic opcionalmente Opcionesy seleccionar una de las siguientes opciones:

    • Actualizar las credenciales

    • Verificar credenciales

    • Quitar el servidor de gestión

Configurar MFA

ONTAP Select implementa el inicio de sesión MFA de la CLI mediante la autenticación PIV o FIDO2 de YubiKey

YubiKey PIV

Configure el PIN YubiKey y genere o importe la clave privada y el certificado del Agente de soporte remoto (RSA) o el Algoritmo de firma digital de curva elíptica (ECDSA) con los pasos descritos en "TR-4647: Autenticación multifactor en ONTAP".

  • Para Windows: La sección YubiKey PIV Client configuration for Windows del informe técnico.

  • Para macOS: La sección de configuración del cliente YubiKey PIV para MAC OS y Linux del informe técnico.

FIDO2

Si elige optar por la autenticación YubiKey FIDO2, configure el PIN YubiKey FIDO2 usando el Administrador YubiKey y genere la clave FIDO2 con una PuTTY-CAC (Common Access Card) para Windows o ssh-keygen para macOS. Los pasos para hacerlo están en el informe técnico "TR-4647: Autenticación multifactor en ONTAP".

  • Para Windows: La sección de configuración del cliente YubiKey FIDO2 para Windows del informe técnico.

  • Para macOS: La sección de configuración del cliente YubiKey FIDO2 para Mac OS y Linux del informe técnico.

Obtenga la clave pública YubiKey PIV o FIDO2

La obtención de la clave pública depende de si eres un cliente de Windows o macOS y de si utilizas PIV o FIDO2.

Para Windows:
  • Exporte la clave pública PIV utilizando la función Copiar al portapapeles bajo el certificado SSH → como se describe en la sección Configuración del cliente SSH PuTTY-CAC de Windows para la autenticación PIV YubiKey en la página 16 de TR-4647.

  • Exporte la clave pública FIDO2 usando la función Copiar al portapapeles bajo el certificado SSH → como se describe en la sección Configuración del cliente SSH PuTTY-CAC de Windows para la autenticación YubiKey FIDO2 en la página 30 de TR-4647.

Para macOS:
  • La clave pública PIV debe exportarse usando el ssh-keygen -e comando como se describe en la sección Configurar el cliente SSH de Mac OS o Linux para la autenticación PIV YubiKey en la página 24 de TR-4647.

  • La clave pública FIDO2 está en el id_ecdsa_sk.pub archivo o id_edd519_sk.pub archivo, dependiendo de si usa ECDSA o EDD519, como se describe en la sección Configurar el cliente MAC OS o Linux SSH para la autenticación YubiKey FIDO2 en la página 39 de TR-4647.

Configure la clave pública en ONTAP Select Deploy

La cuenta de administrador utiliza SSH para el método de autenticación de clave pública. El comando utilizado es el mismo si el método de autenticación es la autenticación de clave pública SSH estándar o la autenticación YubiKey PIV o FIDO2.

Para la MFA de SSH basada en hardware, los factores de autenticación además de la clave pública configurada en la puesta en marcha de ONTAP Select son los siguientes:

  • PIN PIV o FIDO2

  • Posesión del dispositivo de hardware YubiKey. Para FIDO2, esto se confirma tocando físicamente el YubiKey durante el proceso de autenticación.

Antes de empezar

Establezca la clave pública PIV o FIDO2 que está configurada para YubiKey. El comando CLI de implementación de ONTAP Select security publickey add -key es el mismo para PIV o FIDO2 y la cadena de clave pública es diferente.

La clave pública se obtiene de:

  • La función Copy to Clipboard para PuTTY-CAC para PIV y FIDO2 (Windows)

  • Exportación de la clave pública en un formato compatible con SSH mediante ssh-keygen -e el comando para PIV

  • El archivo de clave pública ubicado en el ~/.ssh/id_***_sk.pub archivo para FIDO2 (macOS)

Pasos
  1. Busque la clave generada en el .ssh/id_***.pub archivo.

  2. Agregue la clave generada a ONTAP Select Deploy con el security publickey add -key <key> comando.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
  3. Habilite la autenticación MFA con security multifactor authentication enable el comando.

    (ONTAPdeploy) security multifactor authentication enable
    MFA enabled Successfully

Inicie sesión en la implementación de ONTAP Select mediante la autenticación PIV de YubiKey a través de SSH

Puede iniciar sesión en ONTAP Select Deploy con la autenticación PIV de YubiKey a través de SSH.

Pasos
  1. Después de configurar el token YubiKey, el cliente SSH y la implementación de ONTAP Select, puede usar la autenticación PIV YubiKey MFA a través de SSH.

  2. Inicie sesión en ONTAP Select Deploy. Si está utilizando el cliente SSH PuTTY-CAC de Windows, aparecerá un cuadro de diálogo que le pedirá que introduzca su PIN YubiKey.

  3. Inicie sesión desde su dispositivo con el YubiKey conectado.

Resultado de ejemplo
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

ONTAP Select Implemente el inicio de sesión MFA de la CLI mediante ssh-keygen

El ssh-keygen comando es una herramienta para crear nuevos pares de claves de autenticación para SSH. Los pares de claves se utilizan para automatizar inicios de sesión, inicio de sesión único y para autenticar hosts.

`ssh-keygen`El comando admite varios algoritmos de clave pública para las claves de autenticación.
  • El algoritmo se selecciona con -t la opción

  • El tamaño de la clave se selecciona con la -b opción

Resultado de ejemplo
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
Pasos
  1. Busque la clave generada en el .ssh/id_***.pub archivo.

  2. Agregue la clave generada a ONTAP Select Deploy con el security publickey add -key <key> comando.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
  3. Habilite la autenticación MFA con security multifactor authentication enable el comando.

    (ONTAPdeploy) security multifactor authentication enable
    MFA enabled Successfully
  4. Inicie sesión en el sistema ONTAP Select Deploy después de habilitar MFA. Debería recibir una salida similar al ejemplo siguiente.

    [<user ID> ~]$ ssh <admin>
    Authenticated with partial success.
    <admin>'s password:
    
    NetApp ONTAP Select Deploy Utility.
    Copyright (C) NetApp Inc.
    All rights reserved.
    
    Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09
    
    (ONTAPdeploy)

Migre de MFA a la autenticación de factor único

La MFA se puede deshabilitar para la cuenta de administrador de despliegue mediante los siguientes métodos:

  • Si puede iniciar sesión en la CLI de Despliegue como administrador mediante Secure Shell (SSH), deshabilite MFA ejecutando el security multifactor authentication disable comando desde la CLI de Despliegue.

    (ONTAPdeploy) security multifactor authentication disable
    MFA disabled Successfully
  • Si no puede iniciar sesión en la CLI de despliegue como administrador mediante SSH:

    1. Conéctese a la consola de vídeo de la máquina virtual (VM) de puesta en marcha a través de vCenter o vSphere.

    2. Inicie sesión en la interfaz de línea de comandos de despliegue con la cuenta de administrador.

    3. Ejecute security multifactor authentication disable el comando.

      Debian GNU/Linux 11 <user ID> tty1
      
      <hostname> login: admin
      Password:
      
      NetApp ONTAP Select Deploy Utility.
      Copyright (C) NetApp Inc.
      All rights reserved.
      
      Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09
      
      (ONTAPdeploy) security multifactor authentication disable
      MFA disabled successfully
      
      (ONTAPdeploy)
  • El administrador puede suprimir la clave pública con:
    security publickey delete -key