Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Gestione el servicio de mediación de ONTAP

Colaboradores
PDF

Gestione el servicio ONTAP Mediator, incluido el cambio de credenciales de usuario, la detención y reactivación del servicio, la verificación de su estado y la instalación o desinstalación de SCST para el mantenimiento del host. También es posible gestionar certificados, como regenerar certificados autofirmados, reemplazarlos por certificados de terceros de confianza y solucionar problemas relacionados con los certificados.

Cambie el nombre de usuario

Puede cambiar el nombre de usuario mediante el siguiente procedimiento.

Acerca de esta tarea

Realice esta tarea en el host Linux en el que está instalado el servicio ONTAP Mediator.

Si no puede alcanzar este comando, puede que deba ejecutar el comando con la ruta completa como se muestra en el ejemplo siguiente:

/usr/local/bin/mediator_username

Pasos

Cambie el nombre de usuario eligiendo una de las siguientes opciones:

  • Opción (A): Ejecuta el comando mediator_change_user y responda a las indicaciones como se muestra en el siguiente ejemplo:

     [root@mediator-host ~]# mediator_change_user
 Modify the Mediator API username by entering the following values:
     Mediator API User Name: mediatoradmin
                   Password:
 New Mediator API User Name: mediator
 The account username has been modified successfully.
 [root@mediator-host ~]#

  • Opción (b): Ejecuta el siguiente comando:

    MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user
 The account username has been modified successfully.
 [root@mediator-host ~]#

Cambie la contraseña

Puede cambiar la contraseña mediante el siguiente procedimiento.

Acerca de esta tarea

Realice esta tarea en el host Linux en el que está instalado el servicio ONTAP Mediator.

Si no puede alcanzar este comando, puede que deba ejecutar el comando con la ruta completa como se muestra en el ejemplo siguiente:

/usr/local/bin/mediator_change_password

Pasos

Cambie la contraseña eligiendo una de las siguientes opciones:

  • Opción (A): Ejecuta el mediator_change_password y responda a las indicaciones como se muestra en el ejemplo siguiente:

     [root@mediator-host ~]# mediator_change_password
 Change the Mediator API password by entering the following values:
    Mediator API User Name: mediatoradmin
              Old Password:
              New Password:
          Confirm Password:
 The password has been updated successfully.
 [root@mediator-host ~]#

  • Opción (b): Ejecuta el siguiente comando:

    MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password

    El ejemplo muestra que la contraseña se cambia de “mediator1” a “mediator2”.

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password
 The password has been updated successfully.
 [root@mediator-host ~]#

Detenga el servicio ONTAP Mediator

Para detener el servicio ONTAP Mediator, realice los siguientes pasos:

Pasos

  1. Detenga el Mediador ONTAP:

    systemctl stop ontap_mediator

  2. Detener SCST:

    systemctl stop mediator-scst

  3. Desactive ONTAP Mediator y SCST:

    systemctl diable ontap_mediator mediator-scst

Vuelva a habilitar el servicio ONTAP Mediator

Para volver a activar el servicio ONTAP Mediator, realice los siguientes pasos:

Pasos

  1. Active el Mediador ONTAP y SCST:

    systemctl enable ontap_mediator mediator-scst

  2. Iniciar SCST:

    systemctl start mediator-scst

  3. Iniciar Mediador ONTAP:

    systemctl start ontap_mediator

Compruebe que el mediador ONTAP está en buen estado

Después de instalar ONTAP Mediator, debe verificar que los servicios de ONTAP Mediator se están ejecutando.

Pasos

  1. Ver el estado de los servicios de mediador de ONTAP:

    1. systemctl status ontap_mediator

      [root@scspr1915530002 ~]# systemctl status ontap_mediator

 ontap_mediator.service - ONTAP Mediator
Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled)
Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago
Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS)
Main PID: 286712 (uwsgi)
Status: "uWSGI is ready"
Tasks: 3 (limit: 49473)
Memory: 139.2M
CGroup: /system.slice/ontap_mediator.service
      ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini

[root@scspr1915530002 ~]#

    2. systemctl status mediator-scst

      [root@scspr1915530002 ~]# systemctl status mediator-scst
   Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled)
   Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago
  Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS)
 Main PID: 286662 (iscsi-scstd)
    Tasks: 1 (limit: 49473)
   Memory: 1.2M
   CGroup: /system.slice/mediator-scst.service
           └─286662 /usr/local/sbin/iscsi-scstd

[root@scspr1915530002 ~]#

  2. Confirme los puertos que utiliza el servicio ONTAP Mediator:

    netstat

    [root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784'

         tcp   0   0 0.0.0.0:31784   0.0.0.0:*      LISTEN

         tcp   0   0 0.0.0.0:3260    0.0.0.0:*      LISTEN

         tcp6  0   0 :::3260         :::*           LISTEN

Desinstale manualmente SCST para realizar el mantenimiento del host

Para desinstalar SCST, necesita el paquete tar de SCST que se utiliza para la versión instalada de ONTAP Mediator.

Pasos

  1. Descargue el paquete SCST adecuado (como se muestra en la siguiente tabla) y desmóntelo.

    Para esta versión…​

    Usar este paquete tar…​

    Mediador ONTAP 1,8

    scst-3,8.0.tar.bz2

    Mediador ONTAP 1,7

    scst-3,7.0.tar.bz2

    Mediador ONTAP 1,6

    scst-3,7.0.tar.bz2

    Mediador ONTAP 1,5

    scst-3,6.0.tar.bz2

    Mediador ONTAP 1,4

    scst-3,6.0.tar.bz2

    Mediador ONTAP 1,3

    scst-3,5.0.tar.bz2

    Mediador ONTAP 1,1

    scst-3,4.0.tar.bz2

    Mediador ONTAP 1,0

    scst-3,3.0.tar.bz2

  2. Emita los siguientes comandos en el directorio scst:

    1. systemctl stop mediator-scst

    2. make scstadm_uninstall

    3. make iscsi_uninstall

    4. make usr_uninstall

    5. make scst_uninstall

    6. depmod

Instale manualmente SCST para realizar el mantenimiento del host

Para instalar manualmente SCST, necesita el paquete tar de SCST que se utiliza para la versión instalada de ONTAP Mediator (consulte la tabla anterior).

  1. Emita los siguientes comandos en el directorio scst:

    1. make 2release

    2. make scst_install

    3. make usr_install

    4. make iscsi_install

    5. make scstadm_install

    6. depmod

    7. cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/.

    8. cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/.

    9. patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch

  2. Opcionalmente, si Secure Boot está activado, antes de reiniciar, realice los siguientes pasos:

    1. Determine cada nombre de archivo para los módulos «scst_vdisk», «scst» e «iscsi_scst»:

      [root@localhost ~]# modinfo -n scst_vdisk
[root@localhost ~]# modinfo -n scst
[root@localhost ~]# modinfo -n iscsi_scst

    2. Determine la versión del kernel:

      [root@localhost ~]# uname -r

    3. Firmar cada archivo con el núcleo:

      [root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \
_module-filename_

    4. Instale la clave correcta con el firmware UEFI.

      Las instrucciones para instalar la clave UEFI se encuentran en:

      /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing

      La clave UEFI generada se encuentra en:

    /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der

  3. Realice un reinicio:

    reboot

Desinstale el servicio Mediator de ONTAP

Si es necesario, puede eliminar el servicio Mediador ONTAP.

Antes de empezar

El Mediador de ONTAP debe estar desconectado de ONTAP antes de eliminar el servicio Mediador de ONTAP.

Acerca de esta tarea

Debe realizar esta tarea en el host Linux en el que está instalado el servicio ONTAP Mediator.

Si no puede alcanzar este comando, puede que deba ejecutar el comando con la ruta completa como se muestra en el ejemplo siguiente:

/usr/local/bin/uninstall_ontap_mediator

Paso

  1. Desinstale el servicio Mediator de ONTAP:

    uninstall_ontap_mediator

     [root@mediator-host ~]# uninstall_ontap_mediator

 ONTAP Mediator: Self Extracting Uninstaller

 + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log)
 + Remove successful.
 [root@mediator-host ~]#

Vuelva a generar un certificado autofirmado temporal

Puede volver a generar un certificado autofirmado temporal mediante el siguiente procedimiento.

Acerca de esta tarea

  • Esta tarea se realiza en el host Linux en el que está instalado el servicio ONTAP Mediator.

  • Puede realizar esta tarea solo si los certificados autofirmados generados se han vuelto obsoletos debido a cambios en el nombre de host o la dirección IP del host después de instalar ONTAP Mediator.

  • Una vez que el certificado autofirmado temporal ha sido reemplazado por un certificado de terceros de confianza, NOT use esta tarea para regenerar un certificado. La ausencia de un certificado autofirmado provocará que falle este procedimiento.

Paso

Para regenerar un nuevo certificado autofirmado temporal para el host actual, realice el siguiente paso:

  1. Reinicie el servicio ONTAP Mediator:

    ./make_self_signed_certs.sh overwrite

    [root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite

Adding Subject Alternative Names to the self-signed server certificate
#
# OpenSSL example configuration file.
Generating self-signed certificates
Generating RSA private key, 4096 bit long modulus (2 primes)
..................................................................................................................................................................++++
........................................................++++
e is 65537 (0x010001)
Generating a RSA private key
................................................++++
.............................................................................................................................................++++
writing new private key to 'ontap_mediator_server.key'
-----
Signature ok
subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com
Getting CA Private Key

Sustituya los certificados autofirmados por certificados de terceros de confianza

Es posible reemplazar certificados autofirmados por certificados de terceros de confianza.

Acerca de esta tarea

  • Esta tarea se realiza en el host Linux en el que está instalado el servicio ONTAP Mediator.

  • Puede realizar esta tarea si los certificados autofirmados generados deben ser reemplazados por certificados obtenidos de una entidad de certificación (CA) subordinada de confianza. Para lograr esto, debe tener acceso a una autoridad de infraestructura de clave pública (PKI) de confianza.

Paso 1: Obtenga un certificado de un tercero que emita un certificado de CA

Puede obtener un certificado de una autoridad de PKI mediante el siguiente procedimiento.

El siguiente ejemplo demuestra la sustitución de los actores de certificados autofirmados, a saber ca.key, ca.csr, ca.srl, y. ca.crt situado en /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ con los agentes de certificación de terceros.

Nota En el ejemplo, se muestran los criterios necesarios para los certificados necesarios para el servicio de mediador ONTAP. Puede obtener los certificados de una autoridad PKI de una manera que pueda ser diferente a este procedimiento. Ajuste el procedimiento según su necesidad de negocio.
Pasos

  1. Cree una clave privada ca.key y un archivo de configuración openssl_ca.cnf Que consumirá la autoridad PKI para generar un certificado.

    1. Genere la clave privada ca.key:

      ejemplo

    openssl genrsa -aes256 -out ca.key 4096

    1. El archivo de configuración openssl_ca.cnf (ubicado en /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf) define las propiedades que debe tener el certificado generado.

  2. Use la clave privada y el archivo de configuración para crear una solicitud de firma de certificación ca.csr`:

    Ejemplo:

    openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr
Enter pass phrase for ca.key:
[root@scs000216655 server_config]# cat ca.csr
-----BEGIN CERTIFICATE REQUEST-----
MIIE6TCCAtECAQAwgaMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlh
...
erARKhY9z0e8BHPl3g==
-----END CERTIFICATE REQUEST-----

  3. Envíe la solicitud de firma de certificado ca.csr A una autoridad de PKI para su firma.

    La autoridad de PKI verifica la solicitud y firma el .csr, generando el certificado ca.crt.

    Nota Para los clústeres de continuidad del negocio de SnapMirror (SM-BC), debe añadir el certificado ca.crt A un clúster de ONTAP. Consulte "Configure el mediador de ONTAP y los clústeres para SM-BC".

Paso 2: Genere un certificado de servidor firmando con una certificación de CA de terceros

La clave privada debe firmar un certificado de servidor ca.key y el certificado de terceros ca.crt. Además, el archivo de configuración /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf Contiene ciertos atributos que especifican las propiedades necesarias para los certificados de servidor emitidos por OpenSSL.

Los siguientes comandos pueden generar un certificado de servidor.

Paso

Para generar un certificado de servidor, ejecute los siguientes comandos de la carpeta /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config:

openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

-CAcreateserial la opción se utiliza para generar el archivo ca.srl.

Paso 3: Reemplace el nuevo certificado de CA de terceros y el certificado de servidor en la configuración de ONTAP Mediator

La configuración del certificado se proporciona al servicio de mediador de ONTAP en el archivo de configuración ubicado en /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml. El archivo incluye los siguientes atributos:

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'

  • cert_path y.. key_path son variables de certificado del servidor.

  • ca_cert_path, ca_key_path, y. ca_serial_path Son variables de certificado de CA.

Pasos

  1. Sustituya el ca.* archivos con certificados de terceros.

  2. Reinicie el Mediador ONTAP:

    systemctl restart ontap_mediator

Paso 4: Opcionalmente, utilice una ruta o un nombre diferente para sus certificados de terceros

Puede utilizar certificados de terceros con un nombre distinto de ca.* o almacenar los certificados de terceros en una ubicación diferente.

Pasos

  1. Configure el archivo /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml para sustituir los valores de variable predeterminados en la ontap_mediator.config.yaml archivo.

    Por ejemplo, si obtiene intermediate.crt De la autoridad PKI y almacenar su clave privada intermediate.key y la solicitud de firma de certificados intermediate.csr en una ubicación /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config, entonces, el archivo user_config debe tener el siguiente aspecto:

    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml

# This config file can be used to override the default settings in ontap_mediator.config.yaml
# To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
# set the property to the desired value. e.g.,
#
# The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
#
# To override this value with 6 mailboxes per target, add the following key/value pair
# below this comment:
#
# 'default_mailboxes_per_target': 6
#
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'

  2. Reinicie ONTAP Mediator cuando se actualicen los certificados en el archivo de configuración:

    systemctl restart ontap_mediator

Solucionar problemas relacionados con los certificados

Puede comprobar ciertas propiedades de los certificados.

Verifique el vencimiento del certificado

Utilice el siguiente comando para identificar el rango de validez de certificados:

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT

Verifique las extensiones X509v3 en la certificación CA

Utilice el siguiente comando para verificar las extensiones X509v3 en la certificación CA.

Las propiedades definidas dentro de v3_ca pulg openssl_ca.cnf se muestran como X509v3 extensions pulg ca.crt.

[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign

Verifique las extensiones X509v3 en el certificado del servidor y los nombres alternativos del asunto

La v3_req propiedades definidas en openssl_server.cnf el archivo de configuración se muestra como X509v3 extensions en el certificado.

En el siguiente ejemplo, puede obtener las variables en el alt_names secciones ejecutando los comandos hostname -A y.. hostname -I En la máquina virtual Linux en la que está instalado ONTAP Mediator.

Consulte con el administrador de red los valores correctos de las variables.

[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd

Verifique que una clave privada coincida con un certificado

Puede verificar si una clave privada concreta coincide con un certificado.

Utilice los siguientes comandos OpenSSL en la clave y el certificado respectivamente:

[root@scs000216982 server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5
Enter pass phrase for intermediate.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@scs000216982 server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc

Si la -modulus atributo para ambas coincidencias, indica que la clave privada y el par de certificados son compatibles y pueden trabajar entre sí.

Compruebe que un certificado de servidor se crea a partir de un certificado de CA particular

Puede utilizar el siguiente comando para verificar que el certificado de servidor se cree a partir de un certificado de CA particular.

[root@scs000216982 server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK

Si se utiliza la validación del protocolo de estado de certificado en línea (OCSP), utilice el comando "openssl-verify".