Skip to main content
ONTAP Select
Hay disponible una nueva versión de este producto.
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Protege una implementación de ONTAP Select

PDF

Existen varias tareas relacionadas que puedes realizar como parte de asegurar una implementación de ONTAP Select.

Cambiar la contraseña del administrador de Deploy

Puedes cambiar la contraseña de la cuenta de administrador de la máquina virtual Deploy según sea necesario usando la interfaz de usuario web.

Pasos

  1. Inicia sesión en la interfaz web de la utilidad Deploy usando la cuenta de administrador.

  2. Haz clic en el icono de la figura en la parte superior derecha de la página y selecciona Cambiar contraseña.

  3. Proporciona la contraseña actual y la nueva cuando se te solicite y haz clic en Enviar.

Agregar una cuenta de servidor de administración

Puedes agregar una cuenta de servidor de administración a la base de datos del almacén de credenciales de Deploy.

Antes de empezar

Deberías estar familiarizado con los tipos de credenciales y cómo los utiliza ONTAP Select Deploy.

Pasos

  1. Inicia sesión en la interfaz web de la utilidad Deploy usando la cuenta de administrador.

  2. Haz clic en la pestaña Administración en la parte superior de la página.

  3. Haz clic en Servidores de administración y luego en Agregar vCenter.

  4. Ingresa la siguiente información y haz clic en Agregar.

    En este campo… Haz lo siguiente…

    Nombre/Dirección IP

    Proporciona el nombre de dominio o la dirección IP del servidor vCenter.

    Nombre de usuario

    Ingresa el nombre de usuario de la cuenta para acceder a vCenter.

    Password

    Introduce la contraseña correspondiente al nombre de usuario.

  5. Después de agregar el nuevo servidor de administración, puedes hacer clic en Opciones y seleccionar una de las siguientes opciones:

    • Actualizar credenciales

    • Verificar credenciales

    • Eliminar el servidor de administración

Configura MFA

A partir de ONTAP Select 9.13.1, se admite la autenticación multifactor (MFA) para la cuenta de administrador de ONTAP Select Deploy:

Inicio de sesión MFA en la CLI de ONTAP Select Deploy usando YubiKey PIV o autenticación FIDO2

YubiKey PIV

Configura el PIN de YubiKey y genera o importa la clave privada y el certificado del Remote Support Agent (RSA) o del Elliptic Curve Digital Signature Algorithm (ECDSA) con los pasos en "TR-4647: Autenticación multifactor en ONTAP".

  • Para Windows: La sección YubiKey PIV Client configuration for Windows del informe técnico.

  • Para MacOS: la sección YubiKey PIV client configuration For MAC OS and Linux del informe técnico.

FIDO2

Si eliges la autenticación FIDO2 con YubiKey, configura el PIN FIDO2 de YubiKey usando el YubiKey Manager y genera la clave FIDO2 con PuTTY-CAC (Common Access Card) para Windows o ssh-keygen para MacOS. Los pasos para hacerlo están en el informe técnico "TR-4647: Autenticación multifactor en ONTAP".

  • Para Windows: La sección YubiKey FIDO2 client configuration for Windows del informe técnico.

  • Para MacOS: La sección YubiKey configuración del cliente FIDO2 para Mac OS y Linux del informe técnico.

Obtén la clave pública PIV o FIDO2 de la YubiKey

La obtención de la clave pública depende de si eres un cliente Windows o MacOS, y de si estás utilizando PIV o FIDO2.

Para Windows:

  • Exporta la clave pública PIV usando la función Copiar al portapapeles en SSH → Certificado, como se describe en la sección Configuring the Windows PuTTY-CAC SSH Client for YubiKey PIV Authentication en la página 16 de TR-4647.

  • Exporta la clave pública FIDO2 usando la función Copiar al portapapeles en SSH → Certificado, como se describe en la sección Configuring the Windows PuTTY-CAC SSH Client for YubiKey FIDO2 Authentication en la página 30 de TR-4647.

Para MacOS:

  • La clave pública PIV debe exportarse usando el comando ssh-keygen -e como se describe en la sección Configurar el cliente SSH de Mac OS o Linux para la autenticación PIV de YubiKey en la página 24 de TR-4647.

  • La clave pública FIDO2 se encuentra en el archivo id_ecdsa_sk.pub o en el archivo id_edd519_sk.pub, dependiendo de si usas ECDSA o EDD519, como se describe en la sección Configure the MAC OS or Linux SSH client for YubiKey FIDO2 authentication en la página 39 de TR-4647.

Configura la clave pública en ONTAP Select Deploy

SSH es utilizado por la cuenta de administrador para el método de autenticación de clave pública. El comando utilizado es el mismo si el método de autenticación es la autenticación de clave pública SSH estándar o YubiKey PIV o autenticación FIDO2.

Para SSH MFA basado en hardware, los factores de autenticación además de la clave pública configurada en ONTAP Select Deploy son los siguientes:

  • El PIN PIV o FIDO2

  • Posesión del dispositivo de hardware YubiKey. Para FIDO2, esto se confirma tocando físicamente el YubiKey durante el proceso de autenticación.

Antes de empezar

Establece la clave pública PIV o FIDO2 que está configurada para YubiKey. El comando CLI de ONTAP Select Deploy security publickey add -key es el mismo para PIV o FIDO2 y la cadena de clave pública es diferente.

La clave pública se obtiene de:

  • La función Copiar al portapapeles de PuTTY-CAC para PIV y FIDO2 (Windows)

  • Exportar la clave pública en un formato compatible con SSH usando el comando ssh-keygen -e para PIV

  • El archivo de clave pública ubicado en el archivo ~/.ssh/id_***_sk.pub para FIDO2 (MacOS)

Pasos

  1. Busca la clave generada en el archivo .ssh/id_***.pub.

  2. Agrega la clave generada a ONTAP Select Deploy usando el comando security publickey add -key <key>.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Habilita la autenticación MFA con el comando security multifactor authentication enable.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

Inicia sesión en ONTAP Select Deploy usando la autenticación PIV de YubiKey por SSH

Puedes iniciar sesión en ONTAP Select Deploy usando YubiKey PIV Authentication over SSH.

Pasos

  1. Una vez configurados el token YubiKey, el cliente SSH y ONTAP Select Deploy, puedes usar la autenticación MFA YubiKey PIV a través de SSH.

  2. Inicia sesión en ONTAP Select Deploy. Si estás usando el cliente Windows PuTTY-CAC SSH, aparecerá un cuadro de diálogo pidiéndote que ingreses tu PIN de YubiKey.

  3. Inicia sesión desde tu dispositivo con el YubiKey conectado.

Ejemplo de salida
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

ONTAP Select Deploy CLI inicio de sesión MFA usando ssh-keygen

El comando ssh-keygen es una herramienta para crear nuevos pares de claves de autenticación para SSH. Los pares de claves se utilizan para automatizar los inicios de sesión, el inicio de sesión único y para autenticar hosts.

El comando ssh-keygen admite varios algoritmos de clave pública para las claves de autenticación.

  • El algoritmo se selecciona con la opción -t

  • El tamaño de la clave se selecciona con la opción -b

Ejemplo de salida
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
Pasos

  1. Busca la clave generada en el archivo .ssh/id_***.pub.

  2. Agrega la clave generada a ONTAP Select Deploy usando el comando security publickey add -key <key>.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Habilita la autenticación MFA con el comando security multifactor authentication enable.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

  4. Inicia sesión en el sistema ONTAP Select Deploy después de activar MFA. Deberías recibir una salida similar al siguiente ejemplo.

    [<user ID> ~]$ ssh <admin>
Authenticated with partial success.
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

Migra de MFA a autenticación de factor único

MFA puede desactivarse para la cuenta de administrador de Deploy utilizando los siguientes métodos:

  • Si puedes iniciar sesión en Deploy CLI como administrador usando Secure Shell (SSH), desactiva MFA ejecutando el comando security multifactor authentication disable desde Deploy CLI.

    (ONTAPdeploy) security multifactor authentication disable
MFA disabled Successfully

  • Si no puedes iniciar sesión en Deploy CLI como administrador mediante SSH:

    1. Conéctate a la videoconsola de la máquina virtual (VM) Deploy a través de vCenter o vSphere.

    2. Inicia sesión en Deploy CLI con la cuenta de administrador.

    3. Ejecuta el comando security multifactor authentication disable.

      Debian GNU/Linux 11 <user ID> tty1

<hostname> login: admin
Password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy) security multifactor authentication disable
MFA disabled successfully

(ONTAPdeploy)

  • El administrador puede eliminar la clave pública con:
    security publickey delete -key