Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Hojas de cálculo para la autenticación del administrador y la configuración de RBAC

Colaboradores
PDF

Antes de crear cuentas de inicio de sesión y configurar el control de acceso basado en roles (RBAC), debe recopilar información para cada elemento de las hojas de cálculo de configuración.

Crear o modificar cuentas de inicio de sesión

Se deben proporcionar estos valores con el security login create Comando cuando habilita las cuentas de inicio de sesión para acceder a una máquina virtual de almacenamiento. Se proporcionan los mismos valores con security login modify Comando al modificar la forma en que una cuenta accede a una máquina virtual de almacenamiento.

Campo

Descripción

Su valor

-vserver

El nombre de la máquina virtual de almacenamiento a la que accede la cuenta. El valor predeterminado es el nombre de la máquina virtual de almacenamiento de administrador para el clúster.

-user-or-group-name

El nombre de usuario o el nombre de grupo de la cuenta. La especificación de un nombre de grupo permite el acceso a cada usuario del grupo. Puede asociar un nombre de usuario o un nombre de grupo con varias aplicaciones.

-application

La aplicación que se utiliza para acceder a la VM de almacenamiento:

  • http

  • ontapi

  • snmp

  • ssh

-authmethod

El método que se utiliza para autenticar la cuenta:

  • cert Para la autenticación de certificados SSL

  • domain Para la autenticación de Active Directory

  • nsswitch Para la autenticación LDAP o NIS

  • password para autenticación de contraseña de usuario

  • publickey para la autenticación de claves públicas

  • community Para cadenas de comunidad SNMP

  • usm Para el modelo de seguridad de usuario SNMP

  • saml Para la autenticación del lenguaje de marcado de aserción de seguridad (SAML)

-remote-switch-ipaddress

La dirección IP del switch remoto. El conmutador remoto puede ser un conmutador de clúster supervisado por el monitor de estado del conmutador de clúster (CSHM) o un conmutador Fibre Channel (FC) supervisado por el monitor de estado MetroCluster (MCC-HM). Esta opción sólo se aplica cuando la aplicación está snmp y el método de autenticación es usm.

-role

El rol de control de acceso que se asigna a la cuenta:

  • Para el clúster (la VM de almacenamiento del administrador), el valor predeterminado es admin.

  • Para una máquina virtual de almacenamiento de datos, el valor predeterminado es vsadmin.

-comment

(Opcional) texto descriptivo para la cuenta. El texto debe escribirse entre comillas dobles (").

-is-ns-switch-group

Si la cuenta es una cuenta de grupo LDAP o una cuenta de grupo NIS (yes o. no).

-second-authentication-method

Segundo método de autenticación en caso de autenticación multifactor:

  • none si no utiliza la autenticación multifactor, valor predeterminado

  • publickey para la autenticación de claves públicas cuando el authmethod es la contraseña o nsswitch

  • password para la autenticación de contraseña de usuario cuando el authmethod es clave pública

  • nsswitch para la autenticación de contraseña de usuario cuando authmethod es publickey

El orden de autenticación es siempre la clave pública seguida de la contraseña.

-is-ldap-fastbind

A partir de ONTAP 9.11.1, cuando se establece en true, habilita el enlace rápido LDAP para la autenticación nsswitch; el valor predeterminado es false. Para utilizar el enlace rápido LDAP, el -authentication-method el valor se debe establecer en nsswitch. "Obtenga información acerca de ldap fastbind para la autenticación nsswitch."

Configurar la información de seguridad de Cisco Duo

Se deben proporcionar estos valores con el security login duo create Comando cuando se habilita la autenticación de dos factores Cisco Duo con inicios de sesión SSH para una máquina virtual de almacenamiento.

Campo

Descripción

Su valor

-vserver

El equipo virtual de almacenamiento (denominado Vserver en la CLI de ONTAP) al que se aplica la configuración de autenticación Duo.

-integration-key

Su clave de integración, obtenida al registrar su aplicación SSH con Duo.

-secret-key

Su clave secreta, obtenida al registrar su aplicación SSH con Duo.

-api-host

El nombre de host de la API, obtenido al registrar su aplicación SSH con Duo. Por ejemplo:

api-<HOSTNAME>.duosecurity.com

-fail-mode

En los errores de servicio o configuración que impiden la autenticación Duo, se produce un error safe (permitir acceso) o. secure (denegar acceso). El valor predeterminado es safe, Lo que significa que la autenticación DUO se omite si falla debido a errores como el servidor Duo API no es accesible.

-http-proxy

Utilice el proxy HTTP especificado. Si el proxy HTTP requiere autenticación, incluya las credenciales en la URL del proxy. Por ejemplo:

http-proxy=http://username:password@proxy.example.org:8080

-autopush

Uno de los dos true o. false. El valor predeterminado es false. Si true, Duo envía automáticamente una solicitud de inicio de sesión push al teléfono del usuario, volviendo a una llamada telefónica si no está disponible push. Tenga en cuenta que esto desactiva efectivamente la autenticación de contraseña. Si false, se le pide al usuario que elija un método de autenticación.

Cuando se configura con autopush = true, recomendamos el ajuste max-prompts = 1.

-max-prompts

Si un usuario no se autentica con un segundo factor, Duo solicita al usuario que se autentique de nuevo. Esta opción establece el número máximo de peticiones de datos que Duo muestra antes de denegar el acceso. Debe ser 1, 2, o. 3. El valor predeterminado es 1.

Por ejemplo, cuando max-prompts = 1, el usuario debe autenticarse correctamente en la primera petición de datos, mientras que si max-prompts = 2, si el usuario introduce información incorrecta en el prompt inicial, se le pedirá que se autentique de nuevo.

Cuando se configura con autopush = true, recomendamos el ajuste max-prompts = 1.

Para la mejor experiencia, un usuario con solo autenticación publickey siempre tendrá max-prompts establezca en 1.

-enabled

Active la autenticación de dos factores Duo. Establezca en true de forma predeterminada. Cuando está activada, la autenticación de dos factores Duo se aplica durante el inicio de sesión SSH de acuerdo con los parámetros configurados. Cuando Duo está desactivado (establecido en false), se ignora la autenticación Duo.

-pushinfo

Esta opción proporciona información adicional en la notificación push, como el nombre de la aplicación o el servicio al que se accede. Esto ayuda a los usuarios a verificar que están iniciando sesión en el servicio correcto y proporciona una capa adicional de seguridad.

Definir funciones personalizadas

Se deben proporcionar estos valores con el security login role create comando al definir un rol personalizado.

Campo

Descripción

Su valor

-vserver

(Opcional) Nombre del equipo virtual de almacenamiento (denominado Vserver en la CLI de ONTAP) asociado al rol.

-role

El nombre del rol.

-cmddirname

El comando o el directorio de comandos al que tiene acceso el rol. Debe escribir los nombres de subdirectorio de comandos entre comillas dobles ("). Por ejemplo: "volume snapshot". Debe entrar DEFAULT para especificar todos los directorios de comandos.

-access

(Opcional) el nivel de acceso del rol. Para directorios de comandos:

  • none (el valor predeterminado para las funciones personalizadas) niega el acceso a los comandos del directorio de comandos

  • readonly concede acceso a show comandos del directorio de comandos y sus subdirectorios

  • all concede acceso a todos los comandos del directorio de comandos y sus subdirectorios

Para comandos no intrínsecos (comandos que no terminan en create, modify, delete, o. show):

  • none (el valor predeterminado para los roles personalizados) niega el acceso al comando

  • readonly no es aplicable

  • all concede acceso al comando

Para conceder o denegar el acceso a comandos intrínsecos, debe especificar el directorio de comandos.

-query

(Opcional) el objeto de consulta que se utiliza para filtrar el nivel de acceso, que se especifica en forma de una opción válida para el comando o para un comando en el directorio de comandos. El objeto de consulta debe escribirse entre comillas dobles ("). Por ejemplo, si el directorio de comandos es volume, el objeto de consulta "-aggr aggr0" habilitará el acceso para el aggr0 solo agregados.

Asociar una clave pública a una cuenta de usuario

Se deben proporcionar estos valores con el security login publickey create Cuando asocia una clave pública SSH a una cuenta de usuario.

Campo

Descripción

Su valor

-vserver

(Opcional) Nombre de la máquina virtual de almacenamiento a la que accede la cuenta.

-username

El nombre de usuario de la cuenta. El valor predeterminado, admin, que es el nombre predeterminado del administrador del clúster.

-index

El número de índice de la clave pública. El valor predeterminado es 0 si la clave es la primera clave que se crea para la cuenta; de lo contrario, el valor predeterminado es uno más que el número de índice más alto existente para la cuenta.

-publickey

La clave pública de OpenSSH. La clave debe escribirse entre comillas dobles (").

-role

El rol de control de acceso que se asigna a la cuenta.

-comment

(Opcional) texto descriptivo para la clave pública. El texto debe escribirse entre comillas dobles (").

-x509-certificate

(Opcional) A partir de ONTAP 9.13.1, le permite gestionar la asociación de certificados X,509 con la clave pública SSH.

Cuando asocia un certificado X,509 a la clave pública SSH, ONTAP comprueba el inicio de sesión SSH para ver si este certificado es válido. Si ha caducado o se ha revocado, el inicio de sesión no está permitido y la clave pública SSH asociada está deshabilitada. Los posibles valores son los siguientes:

  • install: Instale el certificado X,509 codificado PEM especificado y asócielo a la clave pública SSH. Incluya el texto completo del certificado que desea instalar.

  • modify: Actualizar el certificado X,509 con codificación PEM existente con el certificado especificado y asociarlo con la clave pública SSH. Incluya el texto completo para el nuevo certificado.

  • delete: Eliminar la asociación de certificados X,509 existente con la clave pública SSH.

Configure los valores globales de autorización dinámica

A partir de ONTAP 9.15.1, debe proporcionar estos valores con el security dynamic-authorization modify comando. Para obtener más información sobre la configuración de autorización dinámica, consulte "descripción general de autorización dinámica".

Campo

Descripción

Su valor

-vserver

Nombre de la máquina virtual de almacenamiento para la que se debe modificar la configuración de puntuación de confianza. Si omite este parámetro, se usará la configuración de nivel del clúster.

-state

El modo de autorización dinámica. Los posibles valores son los siguientes:

  • disabled: (Predeterminado) La autorización dinámica está desactivada.

  • visibility: Este modo es útil para probar la autorización dinámica. En este modo, la puntuación de confianza se comprueba con cada actividad restringida, pero no se aplica. Sin embargo, se registra cualquier actividad que hubiera sido denegada o sujeta a problemas de autenticación adicionales.

  • enforced: Destinado para su uso después de haber completado la prueba con visibility modo. En este modo, la puntuación de confianza se comprueba con cada actividad restringida y las restricciones de actividad se aplican si se cumplen las condiciones de restricción. El intervalo de supresión también se aplica, lo que evita problemas de autenticación adicionales dentro del intervalo especificado.

-suppression-interval

Evita problemas de autenticación adicionales dentro del intervalo especificado. El intervalo está en formato ISO-8601 y acepta valores de 1 minuto a 1 hora inclusive. Si se establece en 0, el intervalo de supresión se desactiva y el usuario siempre se le solicita una comprobación de autenticación si es necesario.

-lower-challenge-boundary

El límite inferior del porcentaje de desafío de autenticación multifactor (MFA). El rango válido es de 0 a 99. El valor 100 no es válido, ya que esto hace que se rechacen todas las solicitudes. El valor predeterminado es 0.

-upper-challenge-boundary

Límite superior del porcentaje de comprobación de MFA. El rango válido es de 0 a 100. Debe ser igual o mayor que el valor del límite inferior. Un valor de 100 significa que cada solicitud será denegada o sujeta a un desafío de autenticación adicional; no hay solicitudes que se permitan sin un desafío. El valor predeterminado es 90.

Instale un certificado digital de servidor firmado por CA

Se deben proporcionar estos valores con el security certificate generate-csr Comando cuando se genera una solicitud de firma de certificación digital (CSR) para utilizarla en la autenticación de una máquina virtual de almacenamiento como un servidor SSL.

Campo

Descripción

Su valor

-common-name

El nombre del certificado, que es un nombre de dominio completo (FQDN) o un nombre común personalizado.

-size

El número de bits de la clave privada. Cuanto mayor sea el valor, más segura será la clave. El valor predeterminado es 2048. Los valores posibles son 512, 1024, 1536, y. 2048.

-country

El país de la máquina virtual de almacenamiento, en un código de dos letras. El valor predeterminado es US. Consulte las páginas de manual para obtener una lista de códigos.

-state

El estado o la provincia de la máquina virtual de almacenamiento.

-locality

La localidad de la máquina virtual de almacenamiento.

-organization

La organización de la máquina virtual de almacenamiento.

-unit

La unidad de la organización de la máquina virtual de almacenamiento.

-email-addr

La dirección de correo electrónico del administrador de contacto para la máquina virtual de almacenamiento.

-hash-function

Función de hash criptográfico para firmar el certificado. El valor predeterminado es SHA256. Los valores posibles son SHA1, SHA256, y. MD5.

Se deben proporcionar estos valores con el security certificate install Comando cuando instala un certificado digital firmado por CA para utilizarlo en la autenticación del clúster o de la máquina virtual de almacenamiento como un servidor SSL. En la siguiente tabla solo se muestran las opciones relevantes para la configuración de la cuenta.

Campo

Descripción

Su valor

-vserver

Nombre de la máquina virtual de almacenamiento en la que se va a instalar el certificado.

-type

El tipo de certificado:

  • server para los certificados de servidor y los certificados intermedios

  • client-ca Para el certificado de clave pública de la CA raíz del cliente SSL

  • server-ca Para el certificado de clave pública de la CA raíz del servidor SSL del que ONTAP es un cliente

  • client Para un certificado digital autofirmado o firmado por CA y una clave privada para ONTAP como cliente SSL

Configurar el acceso al controlador de dominio de Active Directory

Se deben proporcionar estos valores con el security login domain-tunnel create Comando cuando ya configuró un servidor SMB para una máquina virtual de almacenamiento de datos y desea configurar la máquina virtual de almacenamiento como una puerta de enlace o tunnel para el acceso de la controladora de dominio de Active Directory al clúster.

Campo

Descripción

Su valor

-vserver

El nombre de la máquina virtual de almacenamiento para la que se configuró el servidor SMB.

Se deben proporcionar estos valores con el vserver active-directory create Comando cuando no configuró un servidor SMB y desea crear una cuenta de equipo virtual de almacenamiento en el dominio de Active Directory.

Campo

Descripción

Su valor

-vserver

Nombre de la máquina virtual de almacenamiento para la que desea crear una cuenta de equipo de Active Directory.

-account-name

Nombre NetBIOS de la cuenta de equipo.

-domain

El nombre de dominio completo (FQDN).

-ou

La unidad organizativa del dominio. El valor predeterminado es CN=Computers. ONTAP agrega este valor al nombre de dominio para producir el nombre distintivo de Active Directory.

Configurar el acceso a servidores LDAP o NIS

Se deben proporcionar estos valores con el vserver services name-service ldap client create Comando cuando crea una configuración de cliente LDAP para la máquina virtual de almacenamiento.

En la tabla siguiente solo se muestran las opciones relevantes para la configuración de la cuenta:

Campo

Descripción

Su valor

-vserver

El nombre de la máquina virtual de almacenamiento para la configuración del cliente.

-client-config

El nombre de la configuración del cliente.

-ldap-servers

Lista separada por comas de direcciones IP y nombres de host para los servidores LDAP a los que se conecta el cliente.

-schema

Esquema que utiliza el cliente para realizar consultas LDAP.

-use-start-tls

Si el cliente utiliza Start TLS para cifrar la comunicación con el servidor LDAP (true o. false).

Nota

Start TLS solo es compatible para el acceso a las máquinas virtuales de almacenamiento de datos. No se admite para el acceso a las máquinas virtuales de almacenamiento de administradores.

Se deben proporcionar estos valores con el vserver services name-service ldap create Comando cuando se asocia una configuración de cliente LDAP a la máquina virtual de almacenamiento.

Campo

Descripción

Su valor

-vserver

Nombre de la máquina virtual de almacenamiento a la que se asociará la configuración del cliente.

-client-config

El nombre de la configuración del cliente.

-client-enabled

Si la máquina virtual de almacenamiento puede usar la configuración de clientes LDAP (true o. false).

Se deben proporcionar estos valores con el vserver services name-service nis-domain create Comando cuando se crea una configuración de dominio NIS en una máquina virtual de almacenamiento.

Campo

Descripción

Su valor

-vserver

Nombre de la máquina virtual de almacenamiento en la que se creará la configuración del dominio.

-domain

El nombre del dominio.

-servers

ONTAP 9.0, 9.1: Lista separada por comas de direcciones IP para los servidores NIS que se utilizan en la configuración de dominio.

-nis-servers

Lista separada por comas de direcciones IP y nombres de host para los servidores NIS que utiliza la configuración de dominio.

Se deben proporcionar estos valores con el vserver services name-service ns-switch create al especificar el orden de búsqueda para fuentes de servicio de nombres.

Campo

Descripción

Su valor

-vserver

Nombre de la máquina virtual de almacenamiento en la que se va a configurar el orden de consulta del servicio de nombres.

-database

La base de datos del servicio de nombres:

  • hosts Para los archivos y los servicios de nombres DNS

  • group Para archivos, LDAP y servicios de nombres NIS

  • passwd Para archivos, LDAP y servicios de nombres NIS

  • netgroup Para archivos, LDAP y servicios de nombres NIS

  • namemap Para archivos y servicios de nombres LDAP

-sources

El orden en el que buscar fuentes de servicio de nombres (en una lista separada por comas):

  • files

  • dns

  • ldap

  • nis

Configure el acceso SAML

A partir de ONTAP 9.3, se proporcionan estos valores con el security saml-sp create Comando para configurar la autenticación SAML.

Campo

Descripción

Su valor

-idp-uri

La dirección FTP o la dirección HTTP del host del proveedor de identidades (IDP) desde el que se pueden descargar los metadatos de IDP.

-sp-host

El nombre de host o la dirección IP del host del proveedor de servicios SAML (sistema ONTAP). De manera predeterminada, se utiliza la dirección IP de la LIF de administración del clúster.

-cert-ca y.. -cert-serial, o. -cert-common-name

Los detalles del certificado de servidor del host del proveedor de servicios (sistema ONTAP). Puede introducir la entidad emisora de certificados (CA) del proveedor de servicios y el número de serie del certificado o el nombre común del certificado del servidor.

-verify-metadata-server

Si la identidad del servidor de metadatos de IDP debe validarse true o. false). Lo más recomendable es establecer siempre este valor como true.