Cree claves de autenticación en ONTAP 9.6 y versiones posteriores
Sugerir cambios
PDF
Puede utilizar el security key-manager key create Comando para crear las claves de autenticación de un nodo y almacenarlas en los servidores KMIP configurados.
Si la configuración de seguridad requiere el uso de claves diferentes para la autenticación de datos y la autenticación FIPS 140-2-2, debe crear una clave independiente para cada una. Si este no es el caso, puede usar la misma clave de autenticación para el cumplimiento de FIPS que utiliza para el acceso a los datos.
ONTAP crea claves de autenticación para todos los nodos del clúster.
-
Este comando no es compatible cuando el gestor de claves incorporado está habilitado. Sin embargo, se crean automáticamente dos claves de autenticación cuando se habilita el gestor de claves incorporado. Las teclas se pueden ver con el siguiente comando:
security key-manager key query -key-type NSE-AK -
Recibe una advertencia si los servidores de gestión de claves configurados ya almacenan más de 128 claves de autenticación.
-
Puede utilizar el
security key-manager key deletecomando para eliminar las claves no utilizadas. Lasecurity key-manager key deleteEl comando falla si ONTAP utiliza actualmente la clave proporcionada. (Debe tener privilegios superiores a «'admin'» para utilizar este comando).
En un entorno de MetroCluster, antes de eliminar una clave, debe asegurarse de que la clave no se esté utilizando en el clúster de partners. Puede utilizar los siguientes comandos en el clúster de partners para comprobar que la clave no esté en uso:
-
storage encryption disk show -data-key-id key-id -
storage encryption disk show -fips-key-id key-id
-
Para realizar esta tarea, debe ser un administrador de clústeres.
-
Cree las claves de autenticación para los nodos del clúster:
security key-manager key create -key-tag passphrase_label -prompt-for-key true|false
Ajuste
prompt-for-key=truehace que el sistema solicite al administrador del clúster la clave de acceso que se usará en la autenticación de unidades cifradas. De lo contrario, el sistema genera automáticamente una frase de acceso de 32 bytes. Lasecurity key-manager key createel comando sustituye alsecurity key-manager create-keycomando. Para obtener una sintaxis de comando completa, consulte la página man.En el siguiente ejemplo se crean las claves de autenticación para
cluster1, generar automáticamente una frase de paso de 32 bytes:cluster1::> security key-manager key create Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000
-
Compruebe que se han creado las claves de autenticación:
security key-manager key query -node node
La
security key-manager key queryel comando sustituye alsecurity key-manager query keycomando. Para obtener una sintaxis de comando completa, consulte la página man. El ID de clave que se muestra en el resultado es un identificador que se utiliza para hacer referencia a la clave de autenticación. No es la clave de autenticación real ni la clave de cifrado de datos.El ejemplo siguiente verifica para qué se han creado claves de autenticación
cluster1:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: external Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node1 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000 Vserver: cluster1 Key Manager: external Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node2 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node2 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000