Asegure una implementación de ONTAP Select
Hay varias tareas relacionadas que puede realizar como parte de la protección de una implementación de ONTAP Select .
Cambiar la contraseña del administrador de implementación
Puede cambiar la contraseña de la cuenta de administrador de la máquina virtual Deploy según sea necesario mediante la interfaz de usuario web.
-
Sign in en la interfaz de usuario web de la utilidad de implementación utilizando la cuenta de administrador.
-
Haga clic en el ícono de la figura en la parte superior derecha de la página y seleccione Cambiar contraseña.
-
Proporcione la contraseña actual y la nueva cuando se le solicite y haga clic en Enviar.
Agregar una cuenta de servidor de administración
Puede agregar una cuenta de servidor de administración a la base de datos del almacén de credenciales de implementación.
Debe estar familiarizado con los tipos de credenciales y cómo las utiliza ONTAP Select Deploy.
-
Sign in en la interfaz de usuario web de la utilidad de implementación utilizando la cuenta de administrador.
-
Haga clic en la pestaña Administración en la parte superior de la página.
-
Haga clic en Servidores de administración y luego haga clic en Agregar vCenter.
-
Ingrese la siguiente información y haga clic en Agregar.
En este campo… Haz lo siguiente… Nombre/Dirección IP
Proporcione el nombre de dominio o la dirección IP del servidor vCenter.
Nombre de usuario
Ingrese el nombre de usuario de la cuenta para acceder a vCenter.
Password
Introduzca la contraseña para el nombre de usuario asociado.
-
Después de agregar el nuevo servidor de administración, puede hacer clic opcionalmente
y seleccione una de las siguientes:
-
Actualizar credenciales
-
Verificar credenciales
-
Eliminar el servidor de administración
-
Configurar MFA
A partir de ONTAP Select 9.13.1, la autenticación multifactor (MFA) es compatible con la cuenta de administrador de ONTAP Select Deploy:
Implementar inicio de sesión CLI MFA de ONTAP Select mediante autenticación YubiKey PIV o FIDO2
YubiKey PIV
Configure el PIN de YubiKey y genere o importe la clave privada y el certificado del Agente de Soporte Remoto (RSA) o Algoritmo de Firma Digital de Curva Elíptica (ECDSA) con los pasos que se indican a continuación. "TR-4647: Autenticación multifactor en ONTAP" .
-
Para Windows: la sección Configuración del cliente YubiKey PIV para Windows del informe técnico.
-
Para MacOS: la sección Configuración del cliente YubiKey PIV para MAC OS y Linux del informe técnico.
FIDO2
Si opta por la autenticación YubiKey FIDO2, configure el PIN de YubiKey FIDO2 mediante el Administrador de YubiKey y genere la clave FIDO2 con PuTTY-CAC (Tarjeta de Acceso Común) para Windows o ssh-keygen para macOS. Los pasos para ello se encuentran en el informe técnico. "TR-4647: Autenticación multifactor en ONTAP" .
-
Para Windows: la sección Configuración del cliente YubiKey FIDO2 para Windows del informe técnico.
-
Para MacOS: la sección Configuración del cliente YubiKey FIDO2 para Mac OS y Linux del informe técnico.
Obtenga la clave pública YubiKey PIV o FIDO2
La obtención de la clave pública depende de si eres un cliente de Windows o MacOS y si estás usando PIV o FIDO2.
-
Exporte la clave pública PIV utilizando la función Copiar al portapapeles en SSH → Certificado como se describe en la sección Configuración del cliente SSH PuTTY-CAC de Windows para la autenticación PIV de YubiKey en la página 16 de TR-4647.
-
Exporte la clave pública FIDO2 utilizando la función Copiar al portapapeles en SSH → Certificado como se describe en la sección Configuración del cliente SSH PuTTY-CAC de Windows para la autenticación FIDO2 de YubiKey en la página 30 de TR-4647.
-
La clave pública PIV debe exportarse utilizando el
ssh-keygen -e
comando como se describe en la sección Configurar el cliente SSH de Mac OS o Linux para la autenticación PIV de YubiKey en la página 24 de TR-4647. -
La clave pública FIDO2 está en la
id_ecdsa_sk.pub
archivo oid_edd519_sk.pub
archivo, dependiendo de si utiliza ECDSA o EDD519, como se describe en la sección Configurar el cliente SSH de MAC OS o Linux para la autenticación YubiKey FIDO2 en la página 39 de TR-4647.
Configurar la clave pública en ONTAP Select Deploy
La cuenta de administrador utiliza SSH para la autenticación de clave pública. El comando es el mismo, independientemente de si el método de autenticación es la autenticación de clave pública SSH estándar, la autenticación YubiKey PIV o FIDO2.
Para la MFA SSH basada en hardware, los factores de autenticación además de la clave pública configurada en ONTAP Select Deploy son los siguientes:
-
El PIN PIV o FIDO2
-
Posesión del dispositivo físico YubiKey. En el caso de FIDO2, esto se confirma tocando físicamente la YubiKey durante el proceso de autenticación.
Establezca la clave pública PIV o FIDO2 configurada para YubiKey. El comando de la CLI de ONTAP Select Deploy security publickey add -key
Es lo mismo para PIV o FIDO2 y la cadena de clave pública es diferente.
La clave pública se obtiene de:
-
La función Copiar al portapapeles para PuTTY-CAC para PIV y FIDO2 (Windows)
-
Exportar la clave pública en un formato compatible con SSH utilizando el
ssh-keygen -e
comando para PIV -
El archivo de clave pública ubicado en el
~/.ssh/id_***_sk.pub
archivo para FIDO2 (MacOS)
-
Encuentra la clave generada en el
.ssh/id_***.pub
archivo. -
Agregue la clave generada a ONTAP Select Deploy usando el
security publickey add -key <key>
dominio.(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
Habilite la autenticación MFA con el
security multifactor authentication enable
dominio.(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
Inicie sesión en ONTAP Select Deploy usando la autenticación PIV de YubiKey a través de SSH
Puede iniciar sesión en ONTAP Select Deploy mediante la autenticación YubiKey PIV a través de SSH.
-
Una vez configurados el token YubiKey, el cliente SSH y ONTAP Select Deploy, puede utilizar la autenticación MFA YubiKey PIV a través de SSH.
-
Inicie sesión en ONTAP Select Implementar. Si utiliza el cliente SSH PuTTY-CAC de Windows, aparecerá un cuadro de diálogo que le solicitará que ingrese su PIN de YubiKey.
-
Inicie sesión desde su dispositivo con la YubiKey conectada.
login as: admin Authenticating with public key "<public_key>" Further authentication required <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
Implementar inicio de sesión CLI MFA de ONTAP Select usando ssh-keygen
El ssh-keygen
El comando es una herramienta para crear nuevos pares de claves de autenticación para SSH. Estos pares de claves se utilizan para automatizar inicios de sesión, inicios de sesión únicos y la autenticación de hosts.
El ssh-keygen
El comando admite varios algoritmos de clave pública para claves de autenticación.
-
El algoritmo se selecciona con el
-t
opción -
El tamaño de la clave se selecciona con el
-b
opción
ssh-keygen -t ecdsa -b 521 ssh-keygen -t ed25519 ssh-keygen -t ecdsa
-
Encuentra la clave generada en el
.ssh/id_***.pub
archivo. -
Agregue la clave generada a ONTAP Select Deploy usando el
security publickey add -key <key>
dominio.(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
Habilite la autenticación MFA con el
security multifactor authentication enable
dominio.(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
-
Inicie sesión en el sistema ONTAP Select Deploy después de habilitar MFA. Debería obtener un resultado similar al del siguiente ejemplo.
[<user ID> ~]$ ssh <admin> Authenticated with partial success. <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
Migrar de MFA a la autenticación de un solo factor
Se puede desactivar MFA para la cuenta de administrador de Deploy mediante los siguientes métodos:
-
Si puede iniciar sesión en la CLI de implementación como administrador mediante Secure Shell (SSH), deshabilite MFA ejecutando el comando
security multifactor authentication disable
comando desde la CLI de implementación.(ONTAPdeploy) security multifactor authentication disable MFA disabled Successfully
-
Si no puede iniciar sesión en la CLI de implementación como administrador mediante SSH:
-
Conéctese a la consola de video de implementación de la máquina virtual (VM) a través de vCenter o vSphere.
-
Inicie sesión en la CLI de implementación utilizando la cuenta de administrador.
-
Ejecutar el
security multifactor authentication disable
dominio.Debian GNU/Linux 11 <user ID> tty1 <hostname> login: admin Password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy) security multifactor authentication disable MFA disabled successfully (ONTAPdeploy)
-
-
El administrador puede eliminar la clave pública con:
security publickey delete -key