Seguridad
Existen varias tareas relacionadas que puede realizar como parte de la protección de una puesta en marcha de ONTAP Select.
Cambie la contraseña del administrador de despliegue
Puede cambiar la contraseña de la cuenta de administrador de la máquina virtual de implementación según sea necesario mediante la interfaz de usuario web.
-
Inicie sesión en la interfaz de usuario web de la utilidad de implementación mediante la cuenta de administrador.
-
Haga clic en el icono de figura situado en la parte superior derecha de la página y seleccione Cambiar contraseña.
-
Introduzca la contraseña actual y la nueva según se le solicite y haga clic en Enviar.
Agregue una cuenta de servidor de gestión
Puede agregar una cuenta del servidor de gestión a la base de datos del almacén de credenciales de despliegue.
Debe estar familiarizado con los tipos de credenciales y con cómo se utilizan en la implementación de ONTAP Select.
-
Inicie sesión en la interfaz de usuario web de la utilidad de implementación mediante la cuenta de administrador.
-
Haga clic en la ficha Administración situada en la parte superior de la página.
-
Haga clic en servidores de administración y, a continuación, haga clic en Agregar vCenter.
-
Introduzca la siguiente información y haga clic en Agregar.
En este campo… Haga lo siguiente … Nombre/dirección IP
Proporcione el nombre de dominio o la dirección IP de vCenter Server.
Nombre de usuario
Introduzca el nombre de usuario de la cuenta para acceder a vCenter.
Contraseña
Introduzca la contraseña del nombre de usuario asociado.
-
Después de agregar el nuevo servidor de gestión, puede hacer clic opcionalmente y seleccionar una de las siguientes opciones:
-
Actualizar las credenciales
-
Verificar credenciales
-
Quitar el servidor de gestión
-
Configurar MFA
A partir de la versión 9.13.1 de ONTAP Select, se admite la autenticación multifactor (MFA) para la cuenta de administrador de ONTAP Select Deploy:
ONTAP Select implementa el inicio de sesión MFA de la CLI mediante la autenticación PIV o FIDO2 de YubiKey
YubiKey PIV
Configure el PIN YubiKey y genere o importe la clave privada y el certificado del Agente de soporte remoto (RSA) o el Algoritmo de firma digital de curva elíptica (ECDSA) con los pasos descritos en "TR-4647: Autenticación multifactor en ONTAP".
-
Para Windows: La sección YubiKey PIV Client configuration for Windows del informe técnico.
-
Para macOS: La sección de configuración del cliente YubiKey PIV para MAC OS y Linux del informe técnico.
FIDO2
Si elige optar por la autenticación YubiKey FIDO2, configure el PIN YubiKey FIDO2 usando el Administrador YubiKey y genere la clave FIDO2 con una PuTTY-CAC (Common Access Card) para Windows o ssh-keygen para macOS. Los pasos para hacerlo están en el informe técnico "TR-4647: Autenticación multifactor en ONTAP".
-
Para Windows: La sección de configuración del cliente YubiKey FIDO2 para Windows del informe técnico.
-
Para macOS: La sección de configuración del cliente YubiKey FIDO2 para Mac OS y Linux del informe técnico.
Obtenga la clave pública YubiKey PIV o FIDO2
La obtención de la clave pública depende de si eres un cliente de Windows o macOS y de si utilizas PIV o FIDO2.
-
Exporte la clave pública PIV utilizando la función Copiar al portapapeles bajo el certificado SSH → como se describe en la sección Configuración del cliente SSH PuTTY-CAC de Windows para la autenticación PIV YubiKey en la página 16 de TR-4647.
-
Exporte la clave pública FIDO2 usando la función Copiar al portapapeles bajo el certificado SSH → como se describe en la sección Configuración del cliente SSH PuTTY-CAC de Windows para la autenticación YubiKey FIDO2 en la página 30 de TR-4647.
-
La clave pública PIV debe exportarse usando el
ssh-keygen -e
comando como se describe en la sección Configurar el cliente SSH de Mac OS o Linux para la autenticación PIV YubiKey en la página 24 de TR-4647. -
La clave pública FIDO2 está en el
id_ecdsa_sk.pub
archivo oid_edd519_sk.pub
archivo, dependiendo de si usa ECDSA o EDD519, como se describe en la sección Configurar el cliente MAC OS o Linux SSH para la autenticación YubiKey FIDO2 en la página 39 de TR-4647.
Configure la clave pública en ONTAP Select Deploy
La cuenta de administrador utiliza SSH para el método de autenticación de clave pública. El comando utilizado es el mismo si el método de autenticación es la autenticación de clave pública SSH estándar o la autenticación YubiKey PIV o FIDO2.
Para la MFA de SSH basada en hardware, los factores de autenticación además de la clave pública configurada en la puesta en marcha de ONTAP Select son los siguientes:
-
PIN PIV o FIDO2
-
Posesión del dispositivo de hardware YubiKey. Para FIDO2, esto se confirma tocando físicamente el YubiKey durante el proceso de autenticación.
Establezca la clave pública PIV o FIDO2 que está configurada para YubiKey. El comando CLI de implementación de ONTAP Select security publickey add -key
es el mismo para PIV o FIDO2 y la cadena de clave pública es diferente.
La clave pública se obtiene de:
-
La función Copy to Clipboard para PuTTY-CAC para PIV y FIDO2 (Windows)
-
Exportación de la clave pública en un formato compatible con SSH mediante
ssh-keygen -e
el comando para PIV -
El archivo de clave pública ubicado en el
~/.ssh/id_***_sk.pub
archivo para FIDO2 (macOS)
-
Busque la clave generada en el
.ssh/id_***.pub
archivo. -
Agregue la clave generada a ONTAP Select Deploy con el
security publickey add -key <key>
comando.(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
Habilite la autenticación MFA con
security multifactor authentication enable
el comando.(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
Inicie sesión en la implementación de ONTAP Select mediante la autenticación PIV de YubiKey a través de SSH
Puede iniciar sesión en ONTAP Select Deploy con la autenticación PIV de YubiKey a través de SSH.
-
Después de configurar el token YubiKey, el cliente SSH y la implementación de ONTAP Select, puede usar la autenticación PIV YubiKey MFA a través de SSH.
-
Inicie sesión en ONTAP Select Deploy. Si está utilizando el cliente SSH PuTTY-CAC de Windows, aparecerá un cuadro de diálogo que le pedirá que introduzca su PIN YubiKey.
-
Inicie sesión desde su dispositivo con el YubiKey conectado.
login as: admin Authenticating with public key "<public_key>" Further authentication required <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
ONTAP Select Implemente el inicio de sesión MFA de la CLI mediante ssh-keygen
El ssh-keygen
comando es una herramienta para crear nuevos pares de claves de autenticación para SSH. Los pares de claves se utilizan para automatizar inicios de sesión, inicio de sesión único y para autenticar hosts.
`ssh-keygen`El comando admite varios algoritmos de clave pública para las claves de autenticación.
-
El algoritmo se selecciona con
-t
la opción -
El tamaño de la clave se selecciona con la
-b
opción
ssh-keygen -t ecdsa -b 521 ssh-keygen -t ed25519 ssh-keygen -t ecdsa
-
Busque la clave generada en el
.ssh/id_***.pub
archivo. -
Agregue la clave generada a ONTAP Select Deploy con el
security publickey add -key <key>
comando.(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
Habilite la autenticación MFA con
security multifactor authentication enable
el comando.(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
-
Inicie sesión en el sistema ONTAP Select Deploy después de habilitar MFA. Debería recibir una salida similar al ejemplo siguiente.
[<user ID> ~]$ ssh <admin> Authenticated with partial success. <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
Migre de MFA a la autenticación de factor único
La MFA se puede deshabilitar para la cuenta de administrador de despliegue mediante los siguientes métodos:
-
Si puede iniciar sesión en la CLI de Despliegue como administrador mediante Secure Shell (SSH), deshabilite MFA ejecutando el
security multifactor authentication disable
comando desde la CLI de Despliegue.(ONTAPdeploy) security multifactor authentication disable MFA disabled Successfully
-
Si no puede iniciar sesión en la CLI de despliegue como administrador mediante SSH:
-
Conéctese a la consola de vídeo de la máquina virtual (VM) de puesta en marcha a través de vCenter o vSphere.
-
Inicie sesión en la interfaz de línea de comandos de despliegue con la cuenta de administrador.
-
Ejecute
security multifactor authentication disable
el comando.Debian GNU/Linux 11 <user ID> tty1 <hostname> login: admin Password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy) security multifactor authentication disable MFA disabled successfully (ONTAPdeploy)
-
-
El administrador puede suprimir la clave pública con:
security publickey delete -key