Skip to main content
ONTAP Select
Hay disponible una nueva versión de este producto.
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Asegure una implementación de ONTAP Select

PDF

Hay varias tareas relacionadas que puede realizar como parte de la protección de una implementación de ONTAP Select .

Cambiar la contraseña del administrador de implementación

Puede cambiar la contraseña de la cuenta de administrador de la máquina virtual Deploy según sea necesario mediante la interfaz de usuario web.

Pasos

  1. Sign in en la interfaz de usuario web de la utilidad de implementación utilizando la cuenta de administrador.

  2. Haga clic en el ícono de la figura en la parte superior derecha de la página y seleccione Cambiar contraseña.

  3. Proporcione la contraseña actual y la nueva cuando se le solicite y haga clic en Enviar.

Agregar una cuenta de servidor de administración

Puede agregar una cuenta de servidor de administración a la base de datos del almacén de credenciales de implementación.

Antes de empezar

Debe estar familiarizado con los tipos de credenciales y cómo las utiliza ONTAP Select Deploy.

Pasos

  1. Sign in en la interfaz de usuario web de la utilidad de implementación utilizando la cuenta de administrador.

  2. Haga clic en la pestaña Administración en la parte superior de la página.

  3. Haga clic en Servidores de administración y luego haga clic en Agregar vCenter.

  4. Ingrese la siguiente información y haga clic en Agregar.

    En este campo… Haz lo siguiente…

    Nombre/Dirección IP

    Proporcione el nombre de dominio o la dirección IP del servidor vCenter.

    Nombre de usuario

    Ingrese el nombre de usuario de la cuenta para acceder a vCenter.

    Password

    Introduzca la contraseña para el nombre de usuario asociado.

  5. Después de agregar el nuevo servidor de administración, puede hacer clic opcionalmente Opciones y seleccione una de las siguientes:

    • Actualizar credenciales

    • Verificar credenciales

    • Eliminar el servidor de administración

Configurar MFA

A partir de ONTAP Select 9.13.1, la autenticación multifactor (MFA) es compatible con la cuenta de administrador de ONTAP Select Deploy:

Implementar inicio de sesión CLI MFA de ONTAP Select mediante autenticación YubiKey PIV o FIDO2

YubiKey PIV

Configure el PIN de YubiKey y genere o importe la clave privada y el certificado del Agente de Soporte Remoto (RSA) o Algoritmo de Firma Digital de Curva Elíptica (ECDSA) con los pasos que se indican a continuación. "TR-4647: Autenticación multifactor en ONTAP" .

  • Para Windows: la sección Configuración del cliente YubiKey PIV para Windows del informe técnico.

  • Para MacOS: la sección Configuración del cliente YubiKey PIV para MAC OS y Linux del informe técnico.

FIDO2

Si opta por la autenticación YubiKey FIDO2, configure el PIN de YubiKey FIDO2 mediante el Administrador de YubiKey y genere la clave FIDO2 con PuTTY-CAC (Tarjeta de Acceso Común) para Windows o ssh-keygen para macOS. Los pasos para ello se encuentran en el informe técnico. "TR-4647: Autenticación multifactor en ONTAP" .

  • Para Windows: la sección Configuración del cliente YubiKey FIDO2 para Windows del informe técnico.

  • Para MacOS: la sección Configuración del cliente YubiKey FIDO2 para Mac OS y Linux del informe técnico.

Obtenga la clave pública YubiKey PIV o FIDO2

La obtención de la clave pública depende de si eres un cliente de Windows o MacOS y si estás usando PIV o FIDO2.

Para Windows:

  • Exporte la clave pública PIV utilizando la función Copiar al portapapeles en SSH → Certificado como se describe en la sección Configuración del cliente SSH PuTTY-CAC de Windows para la autenticación PIV de YubiKey en la página 16 de TR-4647.

  • Exporte la clave pública FIDO2 utilizando la función Copiar al portapapeles en SSH → Certificado como se describe en la sección Configuración del cliente SSH PuTTY-CAC de Windows para la autenticación FIDO2 de YubiKey en la página 30 de TR-4647.

Para MacOS:

  • La clave pública PIV debe exportarse utilizando el ssh-keygen -e comando como se describe en la sección Configurar el cliente SSH de Mac OS o Linux para la autenticación PIV de YubiKey en la página 24 de TR-4647.

  • La clave pública FIDO2 está en la id_ecdsa_sk.pub archivo o id_edd519_sk.pub archivo, dependiendo de si utiliza ECDSA o EDD519, como se describe en la sección Configurar el cliente SSH de MAC OS o Linux para la autenticación YubiKey FIDO2 en la página 39 de TR-4647.

Configurar la clave pública en ONTAP Select Deploy

La cuenta de administrador utiliza SSH para la autenticación de clave pública. El comando es el mismo, independientemente de si el método de autenticación es la autenticación de clave pública SSH estándar, la autenticación YubiKey PIV o FIDO2.

Para la MFA SSH basada en hardware, los factores de autenticación además de la clave pública configurada en ONTAP Select Deploy son los siguientes:

  • El PIN PIV o FIDO2

  • Posesión del dispositivo físico YubiKey. En el caso de FIDO2, esto se confirma tocando físicamente la YubiKey durante el proceso de autenticación.

Antes de empezar

Establezca la clave pública PIV o FIDO2 configurada para YubiKey. El comando de la CLI de ONTAP Select Deploy security publickey add -key Es lo mismo para PIV o FIDO2 y la cadena de clave pública es diferente.

La clave pública se obtiene de:

  • La función Copiar al portapapeles para PuTTY-CAC para PIV y FIDO2 (Windows)

  • Exportar la clave pública en un formato compatible con SSH utilizando el ssh-keygen -e comando para PIV

  • El archivo de clave pública ubicado en el ~/.ssh/id_***_sk.pub archivo para FIDO2 (MacOS)

Pasos

  1. Encuentra la clave generada en el .ssh/id_***.pub archivo.

  2. Agregue la clave generada a ONTAP Select Deploy usando el security publickey add -key <key> dominio.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Habilite la autenticación MFA con el security multifactor authentication enable dominio.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

Inicie sesión en ONTAP Select Deploy usando la autenticación PIV de YubiKey a través de SSH

Puede iniciar sesión en ONTAP Select Deploy mediante la autenticación YubiKey PIV a través de SSH.

Pasos

  1. Una vez configurados el token YubiKey, el cliente SSH y ONTAP Select Deploy, puede utilizar la autenticación MFA YubiKey PIV a través de SSH.

  2. Inicie sesión en ONTAP Select Implementar. Si utiliza el cliente SSH PuTTY-CAC de Windows, aparecerá un cuadro de diálogo que le solicitará que ingrese su PIN de YubiKey.

  3. Inicie sesión desde su dispositivo con la YubiKey conectada.

Ejemplo de salida
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

Implementar inicio de sesión CLI MFA de ONTAP Select usando ssh-keygen

El ssh-keygen El comando es una herramienta para crear nuevos pares de claves de autenticación para SSH. Estos pares de claves se utilizan para automatizar inicios de sesión, inicios de sesión únicos y la autenticación de hosts.

El ssh-keygen El comando admite varios algoritmos de clave pública para claves de autenticación.

  • El algoritmo se selecciona con el -t opción

  • El tamaño de la clave se selecciona con el -b opción

Ejemplo de salida
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
Pasos

  1. Encuentra la clave generada en el .ssh/id_***.pub archivo.

  2. Agregue la clave generada a ONTAP Select Deploy usando el security publickey add -key <key> dominio.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Habilite la autenticación MFA con el security multifactor authentication enable dominio.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

  4. Inicie sesión en el sistema ONTAP Select Deploy después de habilitar MFA. Debería obtener un resultado similar al del siguiente ejemplo.

    [<user ID> ~]$ ssh <admin>
Authenticated with partial success.
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

Migrar de MFA a la autenticación de un solo factor

Se puede desactivar MFA para la cuenta de administrador de Deploy mediante los siguientes métodos:

  • Si puede iniciar sesión en la CLI de implementación como administrador mediante Secure Shell (SSH), deshabilite MFA ejecutando el comando security multifactor authentication disable comando desde la CLI de implementación.

    (ONTAPdeploy) security multifactor authentication disable
MFA disabled Successfully

  • Si no puede iniciar sesión en la CLI de implementación como administrador mediante SSH:

    1. Conéctese a la consola de video de implementación de la máquina virtual (VM) a través de vCenter o vSphere.

    2. Inicie sesión en la CLI de implementación utilizando la cuenta de administrador.

    3. Ejecutar el security multifactor authentication disable dominio.

      Debian GNU/Linux 11 <user ID> tty1

<hostname> login: admin
Password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy) security multifactor authentication disable
MFA disabled successfully

(ONTAPdeploy)

  • El administrador puede eliminar la clave pública con:
    security publickey delete -key