Gestione el servicio de mediación de ONTAP
Gestione el servicio ONTAP Mediator, incluido el cambio de credenciales de usuario, la detención y reactivación del servicio, la verificación de su estado y la instalación o desinstalación de SCST para el mantenimiento del host. También es posible gestionar certificados, como regenerar certificados autofirmados, reemplazarlos por certificados de terceros de confianza y solucionar problemas relacionados con los certificados.
Cambie el nombre de usuario
Puede cambiar el nombre de usuario mediante el siguiente procedimiento.
Realice esta tarea en el host Linux en el que está instalado el servicio ONTAP Mediator.
Si no puede alcanzar este comando, puede que deba ejecutar el comando con la ruta completa como se muestra en el ejemplo siguiente:
/usr/local/bin/mediator_username
Cambie el nombre de usuario eligiendo una de las siguientes opciones:
-
Opción (A): Ejecuta el comando
mediator_change_user
y responda a las indicaciones como se muestra en el siguiente ejemplo:[root@mediator-host ~]# mediator_change_user Modify the Mediator API username by entering the following values: Mediator API User Name: mediatoradmin Password: New Mediator API User Name: mediator The account username has been modified successfully. [root@mediator-host ~]#
-
Opción (b): Ejecuta el siguiente comando:
MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user
[root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user The account username has been modified successfully. [root@mediator-host ~]#
Cambie la contraseña
Puede cambiar la contraseña mediante el siguiente procedimiento.
Realice esta tarea en el host Linux en el que está instalado el servicio ONTAP Mediator.
Si no puede alcanzar este comando, puede que deba ejecutar el comando con la ruta completa como se muestra en el ejemplo siguiente:
/usr/local/bin/mediator_change_password
Cambie la contraseña eligiendo una de las siguientes opciones:
-
Opción (A): Ejecuta el
mediator_change_password
y responda a las indicaciones como se muestra en el ejemplo siguiente:[root@mediator-host ~]# mediator_change_password Change the Mediator API password by entering the following values: Mediator API User Name: mediatoradmin Old Password: New Password: Confirm Password: The password has been updated successfully. [root@mediator-host ~]#
-
Opción (b): Ejecuta el siguiente comando:
MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password
El ejemplo muestra que la contraseña se cambia de “mediator1” a “mediator2”.
[root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password The password has been updated successfully. [root@mediator-host ~]#
Detenga el servicio ONTAP Mediator
Para detener el servicio ONTAP Mediator, realice los siguientes pasos:
-
Detenga el Mediador ONTAP:
systemctl stop ontap_mediator
-
Detener SCST:
systemctl stop mediator-scst
-
Desactive ONTAP Mediator y SCST:
systemctl diable ontap_mediator mediator-scst
Vuelva a habilitar el servicio ONTAP Mediator
Para volver a activar el servicio ONTAP Mediator, realice los siguientes pasos:
-
Active el Mediador ONTAP y SCST:
systemctl enable ontap_mediator mediator-scst
-
Iniciar SCST:
systemctl start mediator-scst
-
Iniciar Mediador ONTAP:
systemctl start ontap_mediator
Compruebe que el mediador ONTAP está en buen estado
Después de instalar ONTAP Mediator, debe verificar que los servicios de ONTAP Mediator se están ejecutando.
-
Ver el estado de los servicios de mediador de ONTAP:
-
systemctl status ontap_mediator
[root@scspr1915530002 ~]# systemctl status ontap_mediator ontap_mediator.service - ONTAP Mediator Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS) Main PID: 286712 (uwsgi) Status: "uWSGI is ready" Tasks: 3 (limit: 49473) Memory: 139.2M CGroup: /system.slice/ontap_mediator.service ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini [root@scspr1915530002 ~]#
-
systemctl status mediator-scst
[root@scspr1915530002 ~]# systemctl status mediator-scst Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS) Main PID: 286662 (iscsi-scstd) Tasks: 1 (limit: 49473) Memory: 1.2M CGroup: /system.slice/mediator-scst.service └─286662 /usr/local/sbin/iscsi-scstd [root@scspr1915530002 ~]#
-
-
Confirme los puertos que utiliza el servicio ONTAP Mediator:
netstat
[root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784' tcp 0 0 0.0.0.0:31784 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:3260 0.0.0.0:* LISTEN tcp6 0 0 :::3260 :::* LISTEN
Desinstale manualmente SCST para realizar el mantenimiento del host
Para desinstalar SCST, necesita el paquete tar de SCST que se utiliza para la versión instalada de ONTAP Mediator.
-
Descargue el paquete SCST adecuado (como se muestra en la siguiente tabla) y desmóntelo.
Para esta versión…
Usar este paquete tar…
Mediador ONTAP 1,8
scst-3,8.0.tar.bz2
Mediador ONTAP 1,7
scst-3,7.0.tar.bz2
Mediador ONTAP 1,6
scst-3,7.0.tar.bz2
Mediador ONTAP 1,5
scst-3,6.0.tar.bz2
Mediador ONTAP 1,4
scst-3,6.0.tar.bz2
Mediador ONTAP 1,3
scst-3,5.0.tar.bz2
Mediador ONTAP 1,1
scst-3,4.0.tar.bz2
Mediador ONTAP 1,0
scst-3,3.0.tar.bz2
-
Emita los siguientes comandos en el directorio scst:
-
systemctl stop mediator-scst
-
make scstadm_uninstall
-
make iscsi_uninstall
-
make usr_uninstall
-
make scst_uninstall
-
depmod
-
Instale manualmente SCST para realizar el mantenimiento del host
Para instalar manualmente SCST, necesita el paquete tar de SCST que se utiliza para la versión instalada de ONTAP Mediator (consulte la tabla anterior).
-
Emita los siguientes comandos en el directorio scst:
-
make 2release
-
make scst_install
-
make usr_install
-
make iscsi_install
-
make scstadm_install
-
depmod
-
cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/.
-
cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/.
-
patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch
-
-
Opcionalmente, si Secure Boot está activado, antes de reiniciar, realice los siguientes pasos:
-
Determine cada nombre de archivo para los módulos «scst_vdisk», «scst» e «iscsi_scst»:
[root@localhost ~]# modinfo -n scst_vdisk [root@localhost ~]# modinfo -n scst [root@localhost ~]# modinfo -n iscsi_scst
-
Determine la versión del kernel:
[root@localhost ~]# uname -r
-
Firmar cada archivo con el núcleo:
[root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \ /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \ /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \ _module-filename_
-
Instale la clave correcta con el firmware UEFI.
Las instrucciones para instalar la clave UEFI se encuentran en:
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing
La clave UEFI generada se encuentra en:
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der
-
-
Realice un reinicio:
reboot
Desinstale el servicio Mediator de ONTAP
Si es necesario, puede eliminar el servicio Mediador ONTAP.
El Mediador de ONTAP debe estar desconectado de ONTAP antes de eliminar el servicio Mediador de ONTAP.
Debe realizar esta tarea en el host Linux en el que está instalado el servicio ONTAP Mediator.
Si no puede alcanzar este comando, puede que deba ejecutar el comando con la ruta completa como se muestra en el ejemplo siguiente:
/usr/local/bin/uninstall_ontap_mediator
-
Desinstale el servicio Mediator de ONTAP:
uninstall_ontap_mediator
[root@mediator-host ~]# uninstall_ontap_mediator ONTAP Mediator: Self Extracting Uninstaller + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log) + Remove successful. [root@mediator-host ~]#
Vuelva a generar un certificado autofirmado temporal
Puede volver a generar un certificado autofirmado temporal mediante el siguiente procedimiento.
-
Esta tarea se realiza en el host Linux en el que está instalado el servicio ONTAP Mediator.
-
Puede realizar esta tarea solo si los certificados autofirmados generados se han vuelto obsoletos debido a cambios en el nombre de host o la dirección IP del host después de instalar ONTAP Mediator.
-
Una vez que el certificado autofirmado temporal ha sido reemplazado por un certificado de terceros de confianza, NOT use esta tarea para regenerar un certificado. La ausencia de un certificado autofirmado provocará que falle este procedimiento.
Para regenerar un nuevo certificado autofirmado temporal para el host actual, realice el siguiente paso:
-
Reinicie el servicio ONTAP Mediator:
./make_self_signed_certs.sh overwrite
[root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite Adding Subject Alternative Names to the self-signed server certificate # # OpenSSL example configuration file. Generating self-signed certificates Generating RSA private key, 4096 bit long modulus (2 primes) ..................................................................................................................................................................++++ ........................................................++++ e is 65537 (0x010001) Generating a RSA private key ................................................++++ .............................................................................................................................................++++ writing new private key to 'ontap_mediator_server.key' ----- Signature ok subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com Getting CA Private Key
Sustituya los certificados autofirmados por certificados de terceros de confianza
Es posible reemplazar certificados autofirmados por certificados de terceros de confianza.
-
Esta tarea se realiza en el host Linux en el que está instalado el servicio ONTAP Mediator.
-
Puede realizar esta tarea si los certificados autofirmados generados deben ser reemplazados por certificados obtenidos de una entidad de certificación (CA) subordinada de confianza. Para lograr esto, debe tener acceso a una autoridad de infraestructura de clave pública (PKI) de confianza.
Paso 1: Obtenga un certificado de un tercero que emita un certificado de CA
Puede obtener un certificado de una autoridad de PKI mediante el siguiente procedimiento.
El siguiente ejemplo demuestra la sustitución de los actores de certificados autofirmados, a saber ca.key
, ca.csr
, ca.srl
, y. ca.crt
situado en /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/
con los agentes de certificación de terceros.
|
En el ejemplo, se muestran los criterios necesarios para los certificados necesarios para el servicio de mediador ONTAP. Puede obtener los certificados de una autoridad PKI de una manera que pueda ser diferente a este procedimiento. Ajuste el procedimiento según su necesidad de negocio. |
-
Cree una clave privada
ca.key
y un archivo de configuraciónopenssl_ca.cnf
Que consumirá la autoridad PKI para generar un certificado.-
Genere la clave privada
ca.key
:ejemplo
openssl genrsa -aes256 -out ca.key 4096
-
El archivo de configuración
openssl_ca.cnf
(ubicado en/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf
) define las propiedades que debe tener el certificado generado.
-
-
Use la clave privada y el archivo de configuración para crear una solicitud de firma de certificación
ca.csr`
:Ejemplo:
openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf
[root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr Enter pass phrase for ca.key: [root@scs000216655 server_config]# cat ca.csr -----BEGIN CERTIFICATE REQUEST----- MIIE6TCCAtECAQAwgaMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlh ... erARKhY9z0e8BHPl3g== -----END CERTIFICATE REQUEST-----
-
Envíe la solicitud de firma de certificado
ca.csr
A una autoridad de PKI para su firma.La autoridad de PKI verifica la solicitud y firma el
.csr
, generando el certificadoca.crt
.Para los clústeres de continuidad del negocio de SnapMirror (SM-BC), debe añadir el certificado ca.crt
A un clúster de ONTAP. Consulte "Configure el mediador de ONTAP y los clústeres para SM-BC".
Paso 2: Genere un certificado de servidor firmando con una certificación de CA de terceros
La clave privada debe firmar un certificado de servidor ca.key
y el certificado de terceros ca.crt
. Además, el archivo de configuración /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf
Contiene ciertos atributos que especifican las propiedades necesarias para los certificados de servidor emitidos por OpenSSL.
Los siguientes comandos pueden generar un certificado de servidor.
Para generar un certificado de servidor, ejecute los siguientes comandos de la carpeta /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
:
openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr
openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt
-CAcreateserial
la opción se utiliza para generar el archivo ca.srl
.
Paso 3: Reemplace el nuevo certificado de CA de terceros y el certificado de servidor en la configuración de ONTAP Mediator
La configuración del certificado se proporciona al servicio de mediador de ONTAP en el archivo de configuración ubicado en /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml
. El archivo incluye los siguientes atributos:
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'
-
cert_path
y..key_path
son variables de certificado del servidor. -
ca_cert_path
,ca_key_path
, y.ca_serial_path
Son variables de certificado de CA.
-
Sustituya el
ca.*
archivos con certificados de terceros. -
Reinicie el Mediador ONTAP:
systemctl restart ontap_mediator
Paso 4: Opcionalmente, utilice una ruta o un nombre diferente para sus certificados de terceros
Puede utilizar certificados de terceros con un nombre distinto de ca.*
o almacenar los certificados de terceros en una ubicación diferente.
-
Configure el archivo
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml
para sustituir los valores de variable predeterminados en laontap_mediator.config.yaml
archivo.Por ejemplo, si obtiene
intermediate.crt
De la autoridad PKI y almacenar su clave privadaintermediate.key
y la solicitud de firma de certificadosintermediate.csr
en una ubicación/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
, entonces, el archivo user_config debe tener el siguiente aspecto:[root@scs000216655 server_config]# cat ontap_mediator.user_config.yaml # This config file can be used to override the default settings in ontap_mediator.config.yaml # To override a setting, copy the property key from ontap_mediator.config.yaml to this file and # set the property to the desired value. e.g., # # The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml # # To override this value with 6 mailboxes per target, add the following key/value pair # below this comment: # # 'default_mailboxes_per_target': 6 # cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'
-
Reinicie ONTAP Mediator cuando se actualicen los certificados en el archivo de configuración:
systemctl restart ontap_mediator
Solucionar problemas relacionados con los certificados
Puede comprobar ciertas propiedades de los certificados.
Verifique el vencimiento del certificado
Utilice el siguiente comando para identificar el rango de validez de certificados:
[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout Certificate: Data: ... Validity Not Before: Feb 22 19:57:25 2024 GMT Not After : Feb 15 19:57:25 2029 GMT
Verifique las extensiones X509v3 en la certificación CA
Utilice el siguiente comando para verificar las extensiones X509v3 en la certificación CA.
Las propiedades definidas dentro de v3_ca
pulg openssl_ca.cnf
se muestran como X509v3 extensions
pulg ca.crt
.
[root@scs000216982 server_config]# pwd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@scs000216982 server_config]# cat openssl_ca.cnf ... [ v3_ca ] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer basicConstraints = critical, CA:true keyUsage = critical, cRLSign, digitalSignature, keyCertSign [root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout Certificate: Data: ... X509v3 extensions: X509v3 Subject Key Identifier: 9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27 X509v3 Authority Key Identifier: keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27 X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Digital Signature, Certificate Sign, CRL Sign
Verifique las extensiones X509v3 en el certificado del servidor y los nombres alternativos del asunto
La v3_req
propiedades definidas en openssl_server.cnf
el archivo de configuración se muestra como X509v3 extensions
en el certificado.
En el siguiente ejemplo, puede obtener las variables en el alt_names
secciones ejecutando los comandos hostname -A
y.. hostname -I
En la máquina virtual Linux en la que está instalado ONTAP Mediator.
Consulte con el administrador de red los valores correctos de las variables.
[root@scs000216982 server_config]# pwd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@scs000216982 server_config]# cat openssl_server.cnf ... [ v3_req ] basicConstraints = CA:false extendedKeyUsage = serverAuth keyUsage = keyEncipherment, dataEncipherment subjectAltName = @alt_names [ alt_names ] DNS.1 = abc.company.com DNS.2 = abc-v6.company.com IP.1 = 1.2.3.4 IP.2 = abcd:abcd:abcd:abcd:abcd:abcd [root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout Certificate: Data: ... X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Extended Key Usage: TLS Web Server Authentication X509v3 Key Usage: Key Encipherment, Data Encipherment X509v3 Subject Alternative Name: DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
Verifique que una clave privada coincida con un certificado
Puede verificar si una clave privada concreta coincide con un certificado.
Utilice los siguientes comandos OpenSSL en la clave y el certificado respectivamente:
[root@scs000216982 server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5 Enter pass phrase for intermediate.key: (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc [root@scs000216982 server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5 (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
Si la -modulus
atributo para ambas coincidencias, indica que la clave privada y el par de certificados son compatibles y pueden trabajar entre sí.
Compruebe que un certificado de servidor se crea a partir de un certificado de CA particular
Puede utilizar el siguiente comando para verificar que el certificado de servidor se cree a partir de un certificado de CA particular.
[root@scs000216982 server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt ontap_mediator_server.crt: OK
Si se utiliza la validación del protocolo de estado de certificado en línea (OCSP), utilice el comando "openssl-verify".