Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar la elevación de privilegios JIT en ONTAP

Colaboradores netapp-bhouser netapp-aaron-holt
PDF

A partir de ONTAP 9.17.1, los administradores de clústeres pueden configurar la elevación de privilegios Just-In-Time (JIT) para permitir que los usuarios de ONTAP eleven temporalmente sus privilegios para realizar ciertas tareas. Cuando se configura JIT para un usuario, este puede…​ "elevar sus privilegios" A un rol con los permisos necesarios para realizar una tarea. Una vez finalizada la sesión, el usuario recupera su nivel de acceso original.

Los administradores de clústeres pueden configurar el tiempo durante el cual un usuario puede acceder a la elevación JIT. Por ejemplo, se puede configurar el acceso de los usuarios a la elevación JIT con un límite de 30 minutos por sesión (el período de validez de la sesión) durante un período de 30 días (el período de validez de la sesión). Durante este período, el usuario puede elevar sus privilegios tantas veces como necesite, pero cada sesión está limitada a 30 minutos.

La elevación de privilegios JIT se basa en el principio de privilegios mínimos, lo que permite a los usuarios realizar tareas que requieren privilegios elevados sin que se les otorguen permanentemente. Esto ayuda a reducir el riesgo de acceso no autorizado o cambios accidentales en el sistema. Los siguientes ejemplos describen algunos casos de uso comunes para la elevación de privilegios JIT:

  • Permitir acceso temporal a la security login create y security login delete Comandos para habilitar la incorporación y salida de usuarios.

  • Permitir acceso temporal a system node image update y system node upgrade-revert Durante una ventana de actualización. Una vez completada la actualización, se revoca el acceso al comando.

  • Permitir acceso temporal a cluster add-node , cluster remove-node , y cluster modify Para habilitar la expansión o reconfiguración del clúster. Una vez completados los cambios en el clúster, se revoca el acceso a los comandos.

  • Permitir acceso temporal a volume snapshot restore Para habilitar las operaciones de restauración y la gestión de destinos de copia de seguridad. Una vez completada la restauración o configuración, se revoca el acceso a los comandos.

  • Permitir acceso temporal a security audit log show para permitir la revisión y exportación del registro de auditoría durante una verificación de cumplimiento.

consulte Casos de uso comunes de JIT .

Los administradores de clúster pueden configurar el acceso JIT para los usuarios de ONTAP y configurar los períodos de validez JIT predeterminados a nivel global en el clúster o para SVM específicos.

Acerca de esta tarea

  • La elevación de privilegios JIT solo está disponible para usuarios que acceden a ONTAP mediante SSH. Estos privilegios solo están disponibles dentro de la sesión SSH actual del usuario, pero pueden elevarse en tantas sesiones SSH simultáneas como sea necesario.

  • La elevación de privilegios JIT solo es compatible con usuarios que usan contraseña, nsswitch o autenticación de dominio para iniciar sesión. La autenticación multifactor (MFA) no es compatible con la elevación de privilegios JIT.

Antes de empezar

  • Debe ser un administrador del clúster ONTAP en el admin nivel de privilegio para realizar las siguientes tareas.

Modificar la configuración global de JIT

Puede modificar la configuración JIT predeterminada globalmente en todo el clúster de ONTAP o para una SVM específica. Esta configuración determina el periodo de validez de la sesión predeterminado y el periodo máximo de validez JIT para los usuarios configurados para el acceso JIT.

Acerca de esta tarea

  • El valor predeterminado default-session-validity-period El valor es de una hora. Esta configuración determina durante cuánto tiempo un usuario puede acceder a privilegios elevados en una sesión JIT antes de tener que volver a elevarlos.

  • El valor predeterminado max-jit-validity-period El valor es de 90 días. Esta configuración determina el periodo máximo durante el cual un usuario puede acceder a la elevación JIT después de la fecha de inicio configurada. Puede configurar el periodo de validez de JIT para usuarios individuales, pero no puede superar el periodo máximo de validez de JIT.

Pasos

  1. Compruebe la configuración JIT actual:

    security jit-privilege show -vserver <svm_name>

    -vserver Es opcional. Si no se especifica una SVM, el comando muestra la configuración JIT global.

  2. Modificar la configuración JIT globalmente o para un SVM:

    security jit-privilege modify -vserver <svm_name> -default-session-validity-period <period> -max-jit-validity-period <period>

    Si no se especifica una SVM, el comando modifica la configuración global de JIT. El siguiente ejemplo establecerá la duración predeterminada de la sesión JIT en 45 minutos y la duración máxima en 30 días para SVM. svm1 :
    security jit-privilege modify -vserver svm1 -default-session-validity-period 45m -max-jit-validity-period 30d

    En este ejemplo, los usuarios podrán acceder a la elevación JIT durante 45 minutos a la vez y podrán iniciar sesiones JIT durante un máximo de 30 días después de su fecha de inicio configurada.

Configurar el acceso de elevación de privilegios JIT para un usuario

Puede asignar acceso de elevación de privilegios JIT a los usuarios de ONTAP .

Pasos

  1. Comprobar el acceso JIT actual de un usuario:

    security jit-privilege user show -username <username>

    -username Es opcional. Si no se especifica un nombre de usuario, el comando muestra el acceso JIT para todos los usuarios.

  2. Asignar nuevo acceso JIT para un usuario:

    security jit-privilege create -username <username> -vserver <svm_name> -role <rbac_role> -session-validity-period <period> -jit-validity-period <period> -start-time <date>

    • Si -vserver no se especifica, el acceso JIT se asigna a nivel de clúster.

    • -role es el rol RBAC al que se elevará el usuario. Si no se especifica, -role El valor predeterminado es admin .

    • -session-validity-period Es el tiempo durante el cual el usuario puede acceder al rol elevado antes de tener que iniciar una nueva sesión JIT. Si no se especifica, el valor global o SVM default-session-validity-period se utiliza

    • -jit-validity-period es la duración máxima durante la cual un usuario puede iniciar sesiones JIT después de la fecha de inicio configurada. Si no se especifica, session-validity-period Se utiliza. Este parámetro no puede exceder el valor global o SVM. max-jit-validity-period .

    • -start-time Es la fecha y hora a partir de las cuales el usuario puede iniciar sesiones JIT. Si no se especifica, se utiliza la fecha y hora actuales.

      El siguiente ejemplo permitirá ontap_user para acceder a la admin rol durante 1 hora antes de tener que iniciar una nueva sesión JIT. ontap_user Podrán iniciar sesiones JIT por un período de 60 días a partir de la 1:00 p. m. del 1 de julio de 2025:
      security jit-privilege user create -username ontap_user -role admin -session-validity-period 1h -jit-validity-period 60d -start-time "7/1/25 13:00:00"

  3. Si es necesario, revoque el acceso JIT de un usuario:

    security jit-privilege user delete -username <username> -vserver <svm_name>

    Este comando revocará el acceso JIT de un usuario, incluso si su acceso no ha expirado. Si -vserver Si no se especifica, el acceso JIT se revoca a nivel de clúster. Si el usuario está en una sesión JIT activa, esta se cerrará.

Casos de uso comunes de JIT

La siguiente tabla contiene casos de uso comunes para la elevación de privilegios JIT. Para cada caso, se debe configurar un rol RBAC para proporcionar acceso a los comandos relevantes. Cada comando enlaza con la referencia de comandos de ONTAP , con más información sobre el comando y sus parámetros.

Caso de uso Comandos Detalles

Gestión de usuarios y roles

  • security login create

  • security login delete

Elevar temporalmente para agregar o eliminar usuarios o cambiar roles durante la incorporación o salida.

Gestión de certificados

  • security certificate create

  • security certificate install

Otorgar acceso a corto plazo para la instalación o renovación del certificado.

Control de acceso SSH/CLI

  • security login create -application ssh

Otorgar acceso SSH temporalmente para resolución de problemas o soporte del proveedor.

Gestión de licencias

  • system license add

  • system license delete

Otorgar derechos para agregar o eliminar licencias durante la activación o desactivación de funciones.

Actualizaciones y parches del sistema

  • system node image update

  • system node upgrade-revert

Elevar durante la ventana de actualización y luego revocar.

Configuración de seguridad de red

  • security login role create

  • security login role modify

Permitir cambios temporales en los roles de seguridad relacionados con la red.

Gestión de clústeres

  • cluster add-node

  • cluster remove-node

  • cluster modify

Elevate para expansión o reconfiguración del clúster.

Gestión de SVM

  • vserver create

  • vserver delete

  • vserver modify

Otorgar temporalmente derechos de administrador a un SVM para aprovisionamiento o desmantelamiento.

Gestión del volumen

  • volume create

  • volume delete

  • volume modify

Elevate para aprovisionamiento, cambio de tamaño o eliminación de volumen.

Gestión de instantáneas

  • volume snapshot create

  • volume snapshot delete

  • volume snapshot restore

Elevar para eliminar o restaurar instantáneas durante la recuperación.

Configuración de red

  • network interface create

  • network port vlan create

Otorgar derechos para realizar cambios en la red durante las ventanas de mantenimiento.

Gestión de discos/agregados

  • storage disk assign

  • storage aggregate create

  • storage aggregate add-disks

Elevate para agregar o quitar discos o administrar agregados.

Protección de datos

  • snapmirror create

  • snapmirror modify

  • snapmirror restore

Elevar temporalmente para configurar o restaurar relaciones de SnapMirror .

Ajuste del rendimiento

  • qos policy-group create

  • qos policy-group modify

Elevate para solucionar problemas de rendimiento o realizar ajustes.

Acceso al registro de auditoría

  • security audit log show

Elevar temporalmente para revisión o exportación del registro de auditoría durante las verificaciones de cumplimiento.

Gestión de eventos y alertas

  • event notification create

  • event notification modify

Elevate para configurar o probar notificaciones de eventos o trampas SNMP.

Acceso a datos impulsado por el cumplimiento

  • volume show

  • security audit log show

Otorgar acceso temporal de solo lectura a los auditores para revisar datos o registros confidenciales.

Reseñas de acceso privilegiado

  • security login show

  • security login role show

Elevar temporalmente para revisar e informar sobre el acceso privilegiado. Otorgar acceso elevado de solo lectura por tiempo limitado.
Información relacionada