Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Hojas de trabajo para la autenticación de administrador de ONTAP y la configuración de RBAC

Colaboradores netapp-mwallis netapp-aaron-holt netapp-thomi netapp-aoife netapp-dbagwell netapp-barbe netapp-forry netapp-aherbin netapp-bhouser netapp-ahibbard
PDF

Antes de crear cuentas de inicio de sesión y configurar el control de acceso basado en roles (RBAC), debe recopilar información para cada elemento de las hojas de cálculo de configuración.

Obtenga más información sobre los comandos descritos en este procedimiento en el "Referencia de comandos del ONTAP".

Crear o modificar cuentas de inicio de sesión

Estos valores se deben proporcionar con el security login create comando cuando se habilitan cuentas de inicio de sesión para acceder a una máquina virtual de almacenamiento. Obtenga más información sobre security login create en el "Referencia de comandos del ONTAP".

Con el security login modify comando se proporcionan los mismos valores cuando se modifica la forma en que una cuenta accede a una máquina virtual de almacenamiento. Obtenga más información sobre security login modify en el "Referencia de comandos del ONTAP".

Campo

Descripción

Su valor

-vserver

El nombre de la máquina virtual de almacenamiento a la que accede la cuenta. El valor predeterminado es el nombre de la máquina virtual de almacenamiento de administrador para el clúster.

-user-or-group-name

El nombre de usuario o el nombre de grupo de la cuenta. La especificación de un nombre de grupo permite el acceso a cada usuario del grupo. Puede asociar un nombre de usuario o un nombre de grupo con varias aplicaciones.

-application

La aplicación que se utiliza para acceder a la VM de almacenamiento:

  • http

  • ontapi

  • snmp

  • ssh

-authmethod

El método que se utiliza para autenticar la cuenta:

  • cert Para la autenticación de certificados SSL

  • domain Para la autenticación de Active Directory

  • nsswitch Para autenticación LDAP o NIS

  • password para la autenticación de contraseña de usuario

  • publickey para la autenticación de clave pública

  • community Para las cadenas de comunidad SNMP

  • usm Para el modelo de seguridad de usuario SNMP

  • saml Para la autenticación del lenguaje de marcado de aserción de seguridad (SAML)

-remote-switch-ipaddress

La dirección IP del switch remoto. El conmutador remoto puede ser un conmutador de clúster supervisado por el monitor de estado del conmutador de clúster (CSHM) o un conmutador Fibre Channel (FC) supervisado por el monitor de estado MetroCluster (MCC-HM). Esta opción solo se aplica cuando la aplicación es snmp y el método de autenticación es usm.

-role

El rol de control de acceso que se asigna a la cuenta:

  • Para el clúster (la VM de almacenamiento del administrador), el valor predeterminado es admin.

  • Para una máquina virtual de almacenamiento de datos, el valor predeterminado es vsadmin.

-comment

(Opcional) texto descriptivo para la cuenta. El texto debe escribirse entre comillas dobles (").

-is-ns-switch-group

Si la cuenta es una cuenta de grupo LDAP o una cuenta de grupo NIS (yes`o `no).

-second-authentication-method

Segundo método de autenticación en caso de autenticación multifactor:

  • none si no se utiliza la autenticación multifactor, el valor predeterminado

  • publickey para la autenticación de clave pública cuando authmethod es contraseña o nsswitch

  • password para la autenticación de contraseña de usuario cuando la authmethod es clave pública

  • nsswitch para la autenticación de contraseña de usuario cuando authmethod es publickey

El orden de autenticación es siempre la clave pública seguida de la contraseña.

-is-ldap-fastbind

A partir de ONTAP 9.11.1, cuando se establece en true, habilita el enlace rápido LDAP para la autenticación nsswitch; el valor predeterminado es false. Para utilizar el enlace rápido de LDAP, el -authentication-method valor se debe definir en nsswitch. "Utilice el enlace rápido LDAP para la autenticación nsswitch para SVM NFS de ONTAP".

Configurar la información de seguridad de Cisco Duo

Se proporcionan estos valores con security login duo create el comando cuando se habilita la autenticación de dos factores Cisco Duo con inicios de sesión SSH para una máquina virtual de almacenamiento. Obtenga más información sobre security login duo create en el "Referencia de comandos del ONTAP".

Campo

Descripción

Su valor

-vserver

El equipo virtual de almacenamiento (denominado Vserver en la CLI de ONTAP) al que se aplica la configuración de autenticación Duo.

-integration-key

Su clave de integración, obtenida al registrar su aplicación SSH con Duo.

-secret-key

Su clave secreta, obtenida al registrar su aplicación SSH con Duo.

-api-host

El nombre de host de la API, obtenido al registrar su aplicación SSH con Duo. Por ejemplo:

api-<HOSTNAME>.duosecurity.com

-fail-mode

En los errores de servicio o configuración que impiden la autenticación Duo, fallan safe (permitir acceso) o secure (denegar acceso). El valor por defecto es safe, lo que significa que la autenticación Duo se omite si falla debido a errores como el acceso al servidor API Duo.

-http-proxy

Utilice el proxy HTTP especificado. Si el proxy HTTP requiere autenticación, incluya las credenciales en la URL del proxy. Por ejemplo:

http-proxy=http://username:password@proxy.example.org:8080

-autopush

 
`true`O `false`. El valor por defecto es `false`.  `true`Si , Duo envía automáticamente una solicitud de inicio de sesión push al teléfono del usuario, volviendo a una llamada telefónica si no está disponible la inserción. Tenga en cuenta que esto desactiva efectivamente la autenticación de contraseña.  `false`Si , se le solicita al usuario que elija un método de autenticación.

Cuando se configura con autopush = true, se recomienda establecer max-prompts = 1.

-max-prompts

Si un usuario no se autentica con un segundo factor, Duo solicita al usuario que se autentique de nuevo. Esta opción establece el número máximo de peticiones de datos que Duo muestra antes de denegar el acceso. Debe ser 1 2 , o 3. El valor predeterminado es 1.

Por ejemplo, cuando max-prompts = 1, el usuario necesita autenticarse correctamente en la primera petición de datos, mientras que max-prompts = 2 si , el usuario introduce información incorrecta en la petición de datos inicial, se le pedirá que vuelva a autenticarse.

Cuando se configura con autopush = true, se recomienda establecer max-prompts = 1.

Para la mejor experiencia, un usuario con solo autenticación publickey siempre tendrá max-prompts establecido en 1.

-enabled

Active la autenticación de dos factores Duo. Establecido en true de forma predeterminada. Cuando está activada, la autenticación de dos factores Duo se aplica durante el inicio de sesión SSH de acuerdo con los parámetros configurados. Cuando Duo está desactivado (establecido en false), la autenticación Duo se ignora.

-pushinfo

Esta opción proporciona información adicional en la notificación push, como el nombre de la aplicación o el servicio al que se accede. Esto ayuda a los usuarios a verificar que están iniciando sesión en el servicio correcto y proporciona una capa adicional de seguridad.

Definir funciones personalizadas

Estos valores se proporcionan con el security login role create comando al definir un rol personalizado. Obtenga más información sobre security login role create en el "Referencia de comandos del ONTAP".

Campo

Descripción

Su valor

-vserver

(Opcional) Nombre del equipo virtual de almacenamiento (denominado Vserver en la CLI de ONTAP) asociado al rol.

-role

El nombre del rol.

-cmddirname

El comando o el directorio de comandos al que tiene acceso el rol. Debe escribir los nombres de subdirectorio de comandos entre comillas dobles ("). Por ejemplo, "volume snapshot". Debe introducir DEFAULT para especificar todos los directorios de comandos.

-access

(Opcional) el nivel de acceso del rol. Para directorios de comandos:

  • none (el valor predeterminado para los roles personalizados) deniega el acceso a los comandos del directorio de comandos

  • readonly otorga acceso a los show comandos en el directorio de comandos y sus subdirectorios

  • all otorga acceso a todos los comandos del directorio de comandos y sus subdirectorios

Para comandos nonintrinsic (comandos que no terminan en create, , , modify delete o show):

  • none (el valor predeterminado para los roles personalizados) deniega el acceso al comando

  • readonly no es aplicable

  • all otorga acceso al comando

Para conceder o denegar el acceso a comandos intrínsecos, debe especificar el directorio de comandos.

-query

(Opcional) el objeto de consulta que se utiliza para filtrar el nivel de acceso, que se especifica en forma de una opción válida para el comando o para un comando en el directorio de comandos. El objeto de consulta debe escribirse entre comillas dobles ("). Por ejemplo, si el directorio de comandos es volume, el objeto de consulta "-aggr aggr0" habilitaría el acceso aggr0 sólo para el agregado.

Asociar una clave pública a una cuenta de usuario

Proporciona estos valores con security login publickey create el comando al asociar una clave pública SSH a una cuenta de usuario. Obtenga más información sobre security login publickey create en el "Referencia de comandos del ONTAP".

Campo

Descripción

Su valor

-vserver

(Opcional) Nombre de la máquina virtual de almacenamiento a la que accede la cuenta.

-username

El nombre de usuario de la cuenta. El valor por defecto admin , que es el nombre por defecto del administrador del cluster.

-index

El número de índice de la clave pública. El valor predeterminado es 0 si la clave es la primera clave que se crea para la cuenta; de lo contrario, el valor predeterminado es uno más que el número de índice más alto existente para la cuenta.

-publickey

La clave pública de OpenSSH. La clave debe escribirse entre comillas dobles (").

-role

El rol de control de acceso que se asigna a la cuenta.

-comment

(Opcional) texto descriptivo para la clave pública. El texto debe escribirse entre comillas dobles (").

-x509-certificate

(Opcional) A partir de ONTAP 9.13.1, le permite gestionar la asociación de certificados X,509 con la clave pública SSH.

Cuando asocia un certificado X,509 a la clave pública SSH, ONTAP comprueba el inicio de sesión SSH para ver si este certificado es válido. Si ha caducado o se ha revocado, el inicio de sesión no está permitido y la clave pública SSH asociada está deshabilitada. Los posibles valores son los siguientes:

  • install: Instale el certificado X,509 codificado PEM especificado y asócielo a la clave pública SSH. Incluya el texto completo del certificado que desea instalar.

  • modify: Actualizar el certificado X,509 con codificación PEM existente con el certificado especificado y asociarlo con la clave pública SSH. Incluya el texto completo para el nuevo certificado.

  • delete: Eliminar la asociación de certificados X,509 existente con la clave pública SSH.

Configure los valores globales de autorización dinámica

A partir de ONTAP 9.15,1, proporcione estos valores con el security dynamic-authorization modify comando. Obtenga más información sobre security dynamic-authorization modify en el "Referencia de comandos del ONTAP".

Campo

Descripción

Su valor

-vserver

Nombre de la máquina virtual de almacenamiento para la que se debe modificar la configuración de puntuación de confianza. Si omite este parámetro, se usará la configuración de nivel del clúster.

-state

El modo de autorización dinámica. Los posibles valores son los siguientes:

  • disabled: (Predeterminado) La autorización dinámica está desactivada.

  • visibility: Este modo es útil para probar la autorización dinámica. En este modo, la puntuación de confianza se comprueba con cada actividad restringida, pero no se aplica. Sin embargo, se registra cualquier actividad que hubiera sido denegada o sujeta a problemas de autenticación adicionales.

  • enforced: Destinado para su uso después de haber completado las pruebas con visibility MODE. En este modo, la puntuación de confianza se comprueba con cada actividad restringida y las restricciones de actividad se aplican si se cumplen las condiciones de restricción. El intervalo de supresión también se aplica, lo que evita problemas de autenticación adicionales dentro del intervalo especificado.

-suppression-interval

Evita problemas de autenticación adicionales dentro del intervalo especificado. El intervalo está en formato ISO-8601 y acepta valores de 1 minuto a 1 hora inclusive. Si se establece en 0, el intervalo de supresión se desactiva y el usuario siempre se le solicita una comprobación de autenticación si es necesario.

-lower-challenge-boundary

El límite inferior del porcentaje de desafío de autenticación multifactor (MFA). El rango válido es de 0 a 99. El valor 100 no es válido, ya que esto hace que se rechacen todas las solicitudes. El valor predeterminado es 0.

-upper-challenge-boundary

Límite superior del porcentaje de comprobación de MFA. El rango válido es de 0 a 100. Debe ser igual o mayor que el valor del límite inferior. Un valor de 100 significa que cada solicitud será denegada o sujeta a un desafío de autenticación adicional; no hay solicitudes que se permitan sin un desafío. El valor predeterminado es 90.

Instale un certificado digital de servidor firmado por CA

Proporciona estos valores con el security certificate generate-csr comando cuando se genera una solicitud de firma de certificación digital (CSR) para su uso en la autenticación de una máquina virtual de almacenamiento como un servidor SSL. Obtenga más información sobre security certificate generate-csr en el "Referencia de comandos del ONTAP".

Campo

Descripción

Su valor

-common-name

El nombre del certificado, que es un nombre de dominio completo (FQDN) o un nombre común personalizado.

-size

El número de bits de la clave privada. Cuanto mayor sea el valor, más segura será la clave. El valor predeterminado es 2048. Los valores posibles son 512, 1024, 1536 y 2048.

-country

El país de la máquina virtual de almacenamiento, en un código de dos letras. El valor predeterminado es US. Para obtener una lista de códigos, consulte la "Referencia de comandos del ONTAP".

-state

El estado o la provincia de la máquina virtual de almacenamiento.

-locality

La localidad de la máquina virtual de almacenamiento.

-organization

La organización de la máquina virtual de almacenamiento.

-unit

La unidad de la organización de la máquina virtual de almacenamiento.

-email-addr

La dirección de correo electrónico del administrador de contacto para la máquina virtual de almacenamiento.

-hash-function

Función de hash criptográfico para firmar el certificado. El valor predeterminado es SHA256. Los valores posibles son SHA1 SHA256 , y MD5.

Proporciona estos valores con security certificate install el comando al instalar un certificado digital firmado por CA para usarlo en la autenticación del clúster o de la máquina virtual de almacenamiento como un servidor SSL. En la siguiente tabla solo se muestran las opciones relevantes para la configuración de la cuenta. Obtenga más información sobre security certificate install en el "Referencia de comandos del ONTAP".

Campo

Descripción

Su valor

-vserver

Nombre de la máquina virtual de almacenamiento en la que se va a instalar el certificado.

-type

El tipo de certificado:

  • server para certificados de servidor y certificados intermedios

  • client-ca Para el certificado de clave pública de la CA raíz del cliente SSL

  • server-ca Para el certificado de clave pública de la CA raíz del servidor SSL del que ONTAP es cliente

  • client Para un certificado digital autofirmado o firmado por CA y una clave privada para ONTAP como cliente SSL

Configurar el acceso al controlador de dominio de Active Directory

Estos valores se proporcionan con el security login domain-tunnel create comando cuando ya se configuró un servidor SMB para una máquina virtual de almacenamiento de datos y se desea configurar la máquina virtual de almacenamiento como una puerta de enlace o túnel para el acceso de la controladora de dominio de Active Directory al clúster. Obtenga más información sobre security login domain-tunnel create en el "Referencia de comandos del ONTAP".

Campo

Descripción

Su valor

-vserver

El nombre de la máquina virtual de almacenamiento para la que se configuró el servidor SMB.

Proporciona estos valores con vserver active-directory create el comando cuando no se configuró un servidor SMB y desea crear una cuenta de equipo virtual de almacenamiento en el dominio de Active Directory. Obtenga más información sobre vserver active-directory create en el "Referencia de comandos del ONTAP".

Campo

Descripción

Su valor

-vserver

Nombre de la máquina virtual de almacenamiento para la que desea crear una cuenta de equipo de Active Directory.

-account-name

Nombre NetBIOS de la cuenta de equipo.

-domain

El nombre de dominio completo (FQDN).

-ou

La unidad organizativa del dominio. El valor predeterminado es CN=Computers. ONTAP agrega este valor al nombre de dominio para producir el nombre distintivo de Active Directory.

Configurar el acceso a servidores LDAP o NIS

Debe proporcionar estos valores con vserver services name-service ldap client create el comando al crear una configuración de cliente LDAP para la máquina virtual de almacenamiento. Obtenga más información sobre vserver services name-service ldap client create en el "Referencia de comandos del ONTAP".

En la tabla siguiente solo se muestran las opciones relevantes para la configuración de la cuenta:

Campo

Descripción

Su valor

-vserver

El nombre de la máquina virtual de almacenamiento para la configuración del cliente.

-client-config

El nombre de la configuración del cliente.

-ldap-servers

Lista separada por comas de direcciones IP y nombres de host para los servidores LDAP a los que se conecta el cliente.

-schema

Esquema que utiliza el cliente para realizar consultas LDAP.

-use-start-tls

Si el cliente utiliza Start TLS para cifrar la comunicación con el servidor LDAP (true`o `false).

Nota

Start TLS solo es compatible para el acceso a las máquinas virtuales de almacenamiento de datos. No se admite para el acceso a las máquinas virtuales de almacenamiento de administradores.

Proporciona estos valores con vserver services name-service ldap create el comando al asociar una configuración de cliente LDAP a la máquina virtual de almacenamiento. Obtenga más información sobre vserver services name-service ldap create en el "Referencia de comandos del ONTAP".

Campo

Descripción

Su valor

-vserver

Nombre de la máquina virtual de almacenamiento a la que se asociará la configuración del cliente.

-client-config

El nombre de la configuración del cliente.

-client-enabled

Si la máquina virtual de almacenamiento puede utilizar la configuración de cliente LDAP (true`o `false).

Estos valores se proporcionan con vserver services name-service nis-domain create el comando al crear una configuración de dominio NIS en una máquina virtual de almacenamiento. Obtenga más información sobre vserver services name-service nis-domain create en el "Referencia de comandos del ONTAP".

Campo

Descripción

Su valor

-vserver

Nombre de la máquina virtual de almacenamiento en la que se creará la configuración del dominio.

-domain

El nombre del dominio.

-nis-servers

Lista separada por comas de direcciones IP y nombres de host para los servidores NIS que utiliza la configuración de dominio.

Estos valores se proporcionan con el vserver services name-service ns-switch create comando cuando se especifica el orden de búsqueda para los orígenes del servicio de nombres. Obtenga más información sobre vserver services name-service ns-switch create en el "Referencia de comandos del ONTAP".

Campo

Descripción

Su valor

-vserver

Nombre de la máquina virtual de almacenamiento en la que se va a configurar el orden de consulta del servicio de nombres.

-database

La base de datos del servicio de nombres:

  • hosts Para archivos y servicios de nombres DNS

  • group Para archivos, LDAP y servicios de nombres NIS

  • passwd Para archivos, LDAP y servicios de nombres NIS

  • netgroup Para archivos, LDAP y servicios de nombres NIS

  • namemap Para los archivos y los servicios de nombres LDAP

-sources

El orden en el que buscar fuentes de servicio de nombres (en una lista separada por comas):

  • files

  • dns

  • ldap

  • nis

Configure el acceso SAML

A partir de ONTAP 9.3, es posible proporcionar estos valores con el security saml-sp create comando para configurar la autenticación SAML. Obtenga más información sobre security saml-sp create en el "Referencia de comandos del ONTAP".

Campo

Descripción

Su valor

-idp-uri

La dirección FTP o la dirección HTTP del host del proveedor de identidades (IDP) desde el que se pueden descargar los metadatos de IDP.

-sp-host

El nombre de host o la dirección IP del host del proveedor de servicios SAML (sistema ONTAP). De manera predeterminada, se utiliza la dirección IP de la LIF de administración del clúster.

-cert-ca y -cert-serial, o. -cert-common-name

Los detalles del certificado de servidor del host del proveedor de servicios (sistema ONTAP). Puede introducir la entidad emisora de certificados (CA) del proveedor de servicios y el número de serie del certificado o el nombre común del certificado del servidor.

-verify-metadata-server

Si la identidad del servidor de metadatos de IdP debe ser validada true o false). Lo mejor es establecer siempre este valor en true.