Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilite la autenticación multifactor

Colaboradores
PDF

La autenticación multifactor (MFA) permite mejorar la seguridad al requerir que los usuarios proporcionen dos métodos de autenticación para iniciar sesión en un administrador o una SVM de datos.

Acerca de esta tarea

  • Para realizar esta tarea, debe ser un administrador de clústeres.

  • Si no está seguro de la función de control de acceso que desea asignar a la cuenta de inicio de sesión, puede usar la security login modify comando para añadir el rol más adelante.

    "Modificar el rol asignado a un administrador"

  • Si utiliza una clave pública para la autenticación, debe asociar la clave pública con la cuenta para que la cuenta pueda acceder a la SVM.

    "Asociar una clave pública a una cuenta de usuario"

    Puede realizar esta tarea antes o después de habilitar el acceso a la cuenta.

  • A partir de ONTAP 9.12.1, puede usar dispositivos de autenticación de hardware Yubikey para la MFA del cliente SSH mediante los estándares de autenticación FIDO2 (Fast Identity Online) o de verificación de identidad personal (PIV).

Habilite MFA con clave pública SSH y contraseña de usuario

A partir de ONTAP 9,3, un administrador de clúster puede configurar cuentas de usuario locales para iniciar sesión con MFA mediante una clave pública SSH y una contraseña de usuario.

  1. Habilite MFA en cuenta de usuario local con clave pública SSH y contraseña de usuario:

    security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method <password|publickey> -role admin -second-authentication-method <password|publickey>

    El siguiente comando requiere la cuenta de administrador de SVM admin2 con los predefinidos admin Rol que desea iniciar sesión en la SVMengData1 Con una clave pública SSH y una contraseña de usuario:

    cluster-1::> security login create -vserver engData1 -user-or-group-name admin2 -application ssh -authentication-method publickey -role admin -second-authentication-method password

Please enter a password for user 'admin2':
Please enter it again:
Warning: To use public-key authentication, you must create a public key for user "admin2".

Habilite MFA con TOTP

A partir de ONTAP 9.13.1, puede mejorar la seguridad al requerir que los usuarios locales inicien sesión en un administrador o una SVM de datos con una clave pública SSH o una contraseña de usuario y una contraseña de un solo uso basada en un tiempo (TOTP). Después de habilitar la cuenta para MFA con TOTP, el usuario local debe iniciar sesión en "complete la configuración".

TOTP es un algoritmo informático que utiliza la hora actual para generar una contraseña de un solo uso. Si se utiliza TOTP, siempre es la segunda forma de autenticación después de la clave pública SSH o la contraseña de usuario.

Antes de empezar

Debe ser un administrador de almacenamiento para realizar estas tareas.

Pasos

Puede configurar MFA con una contraseña de usuario o una clave pública SSH como primer método de autenticación y TOTP como segundo método de autenticación.

Habilite MFA con contraseña de usuario y TOTP

  1. Habilite una cuenta de usuario para la autenticación multifactor con una contraseña de usuario y TOTP.

    Para nuevas cuentas de usuario

    security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>

    Para cuentas de usuario existentes

    security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>

  2. Compruebe que MFA con TOTP está activado:

    security login show
Habilite MFA con clave pública SSH y TOTP

  1. Habilite una cuenta de usuario para la autenticación multifactor con una clave pública SSH y TOTP.

    Para nuevas cuentas de usuario

    security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>

    Para cuentas de usuario existentes

    security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>

  2. Compruebe que MFA con TOTP está activado:

    security login show
Después de terminar
Información relacionada

Más información acerca de "Autenticación multifactor en ONTAP 9 (TR-4647)".