Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar Cisco Duo 2FA para inicios de sesión SSH de ONTAP

Colaboradores
PDF

A partir de ONTAP 9.14.1, puede configurar ONTAP para que use Cisco Duo para la autenticación de dos factores (2FA) durante los inicios de sesión SSH. Se configura Duo a nivel de clúster y se aplica a todas las cuentas de usuario de forma predeterminada. También puede configurar Duo a nivel del equipo virtual de almacenamiento (anteriormente denominado Vserver), en cuyo caso sólo se aplica a los usuarios para dicho equipo virtual de almacenamiento. Si habilita y configura DUO, sirve como un método de autenticación adicional, que complementa los métodos existentes para todos los usuarios.

Si habilita la autenticación Duo para los inicios de sesión SSH, los usuarios tendrán que inscribir un dispositivo la próxima vez que inicien sesión con SSH. Para obtener información sobre la inscripción, consulte Cisco DUO "documentación de inscripción".

Puede utilizar la interfaz de línea de comandos de ONTAP para realizar las siguientes tareas con Cisco Duo:

Configurar Cisco Duo

Puede crear una configuración de Cisco Duo para todo el clúster o para un equipo virtual de almacenamiento específico (conocido como Vserver en la CLI de ONTAP) mediante security login duo create el comando. Cuando hace esto, Cisco Duo se habilita para inicios de sesión SSH para este clúster o máquina virtual de almacenamiento. Obtenga más información sobre security login duo create en el "Referencia de comandos del ONTAP".

Pasos

  1. Inicie sesión en el panel de administración de Cisco Duo.

  2. Vaya a Aplicaciones > Aplicación UNIX.

  3. Registre la clave de integración, la clave secreta y el nombre de host de la API.

  4. Inicie sesión en su cuenta de ONTAP con SSH.

  5. Habilite la autenticación de Cisco Duo para esta VM de almacenamiento, sustituyendo la información de su entorno por los valores entre paréntesis:

    security login duo create \
-vserver <STORAGE_VM_NAME> \
-integration-key <INTEGRATION_KEY> \
-secret-key <SECRET_KEY> \
-apihost <API_HOSTNAME>

Cambie la configuración de Cisco Duo

Puede cambiar la forma en que Cisco Duo autentica a los usuarios (por ejemplo, cuántas peticiones de datos de autenticación se dan o qué proxy HTTP se utiliza). Si necesita cambiar la configuración de Cisco Duo para una máquina virtual de almacenamiento (conocida como Vserver en la CLI de ONTAP), puede utilizar security login duo modify el comando. Obtenga más información sobre security login duo modify en el "Referencia de comandos del ONTAP".

Pasos

  1. Inicie sesión en el panel de administración de Cisco Duo.

  2. Vaya a Aplicaciones > Aplicación UNIX.

  3. Registre la clave de integración, la clave secreta y el nombre de host de la API.

  4. Inicie sesión en su cuenta de ONTAP con SSH.

  5. Cambie la configuración de Cisco Duo para esta máquina virtual de almacenamiento, sustituyendo la información actualizada de su entorno por los valores entre paréntesis:

    security login duo modify \
-vserver <STORAGE_VM_NAME> \
-integration-key <INTEGRATION_KEY> \
-secret-key <SECRET_KEY> \
-apihost <API_HOSTNAME> \
-pushinfo true|false \
-http-proxy <HTTP_PROXY_URL> \
-autopush true|false \
-max-prompts 1|2|3 \
-is-enabled true|false \
-fail-mode safe|secure

Elimine la configuración de Cisco Duo

Puede eliminar la configuración de Cisco Duo, que eliminará la necesidad de que los usuarios de SSH se autentiquen mediante Duo al iniciar sesión. Para eliminar la configuración de Cisco Duo para una máquina virtual de almacenamiento (conocida como Vserver en la CLI de ONTAP), puede utilizar security login duo delete el comando. Obtenga más información sobre security login duo delete en el "Referencia de comandos del ONTAP".

Pasos

  1. Inicie sesión en su cuenta de ONTAP con SSH.

  2. Elimine la configuración de Cisco Duo para esta máquina virtual de almacenamiento y sustituya el nombre de la máquina virtual de almacenamiento para <STORAGE_VM_NAME>:

    security login duo delete  -vserver <STORAGE_VM_NAME>

    De este modo se elimina de forma permanente la configuración de Cisco Duo para este equipo virtual de almacenamiento.

Vea la configuración de Cisco Duo

Puede ver la configuración existente de Cisco Duo para una máquina virtual de almacenamiento (denominada Vserver en la CLI de ONTAP) mediante security login duo show el comando. Obtenga más información sobre security login duo show en el "Referencia de comandos del ONTAP".

Pasos

  1. Inicie sesión en su cuenta de ONTAP con SSH.

  2. Muestre la configuración de Cisco Duo para esta máquina virtual de almacenamiento. De manera opcional, se puede usar el vserver parámetro para especificar una máquina virtual de almacenamiento, sustituyendo el nombre de máquina virtual de almacenamiento por <STORAGE_VM_NAME>:

    security login duo show -vserver <STORAGE_VM_NAME>

    Debería ver una salida similar a la siguiente:

    Vserver: testcluster
Enabled: true

Status: ok
INTEGRATION-KEY: DI89811J9JWMJCCO7IOH
SKEY SHA Fingerprint:
b79ffa4b1c50b1c747fbacdb34g671d4814
API Host: api-host.duosecurity.com
Autopush: true
Push info: true
Failmode: safe
Http-proxy: 192.168.0.1:3128
Prompts: 1
Comments: -

Cree un grupo Duo

Puede indicar a Cisco Duo que incluya solo los usuarios de un determinado Active Directory, LDAP o grupo de usuarios local en el proceso de autenticación Duo. Si crea un grupo Duo, sólo se solicita la autenticación Duo a los usuarios de ese grupo. Puede crear un grupo Duo mediante el security login duo group create comando. Al crear un grupo, opcionalmente puede excluir usuarios específicos de ese grupo del proceso de autenticación Duo. Obtenga más información sobre security login duo group create en el "Referencia de comandos del ONTAP".

Pasos

  1. Inicie sesión en su cuenta de ONTAP con SSH.

  2. Cree el grupo DUO, sustituyendo la información del entorno por los valores entre paréntesis. Si omite el -vserver parámetro, el grupo se crea en el nivel de clúster:

    security login duo group create -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -excluded-users <USER1, USER2>

    El nombre del grupo Duo debe coincidir con un directorio activo, LDAP o grupo local. Los usuarios que especifique con el -excluded-users parámetro opcional no se incluirán en el proceso de autenticación Duo.

Ver grupos Duo

Puede ver las entradas de grupo existentes de Cisco Duo mediante el security login duo group show comando. Obtenga más información sobre security login duo group show en el "Referencia de comandos del ONTAP".

Pasos

  1. Inicie sesión en su cuenta de ONTAP con SSH.

  2. Muestra las entradas del grupo Duo, sustituyendo la información del entorno por los valores entre paréntesis. Si omite el -vserver parámetro, el grupo se muestra a nivel de clúster:

    security login duo group show -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -excluded-users <USER1, USER2>

    El nombre del grupo Duo debe coincidir con un directorio activo, LDAP o grupo local. Los usuarios que especifique con el -excluded-users parámetro opcional no se mostrarán.

Eliminar un grupo Duo

Puede eliminar una entrada de grupo Duo con el security login duo group delete comando. Si elimina un grupo, los usuarios de ese grupo ya no se incluirán en el proceso de autenticación Duo. Obtenga más información sobre security login duo group delete en el "Referencia de comandos del ONTAP".

Pasos

  1. Inicie sesión en su cuenta de ONTAP con SSH.

  2. Elimine la entrada de grupo Duo, sustituyendo la información de su entorno por los valores entre paréntesis. Si omite -vserver el parámetro, el grupo se elimina en el nivel de clúster:

    security login duo group delete -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME>

    El nombre del grupo Duo debe coincidir con un directorio activo, LDAP o grupo local.

Omitir autenticación Duo para usuarios

Puede excluir a todos los usuarios o usuarios específicos del proceso de autenticación Duo SSH.

Excluir todos los usuarios de DUO

Puede deshabilitar la autenticación SSH de Cisco Duo para todos los usuarios.

Pasos

  1. Inicie sesión en su cuenta de ONTAP con SSH.

  2. Desactive la autenticación Cisco Duo para usuarios SSH, sustituyendo el nombre Vserver por <STORAGE_VM_NAME>:

    security login duo modify -vserver <STORAGE_VM_NAME> -is-enabled false

Excluir usuarios del grupo DUO

Puede excluir ciertos usuarios que forman parte de un grupo Duo del proceso de autenticación Duo SSH.

Pasos

  1. Inicie sesión en su cuenta de ONTAP con SSH.

  2. Desactive la autenticación de Cisco Duo para usuarios específicos de un grupo. Sustituya el nombre de grupo y la lista de usuarios para excluir los valores entre paréntesis:

    security login duo group modify -group-name <GROUP_NAME> -excluded-users <USER1, USER2>

    El nombre del grupo Duo debe coincidir con un directorio activo, LDAP o grupo local. Los usuarios que especifique con el -excluded-users parámetro no se incluirán en el proceso de autenticación Duo.

    Obtenga más información sobre security login duo group modify en el "Referencia de comandos del ONTAP".

Excluir usuarios locales de DUO

Puede excluir a usuarios locales específicos del uso de la autenticación Duo mediante el panel de administración de Cisco Duo. Para obtener instrucciones, consulte la "Documentación de Cisco Duo".