Configuración posterior a la instalación
Sugerir cambios
PDF
Una vez instalado y en ejecución el servicio ONTAP Mediator, se deben llevar a cabo tareas de configuración adicionales en el sistema de almacenamiento de ONTAP para utilizar las siguientes funciones:
-
Para utilizar el servicio Mediator de ONTAP en una configuración IP de MetroCluster, consulte "Configuración del servicio Mediador ONTAP desde una configuración IP de MetroCluster".
-
Para utilizar la sincronización activa de SnapMirror, consulte "Instale el Servicio Mediador ONTAP y confirme la configuración del clúster ONTAP".
Configurar las políticas de seguridad de ONTAP Mediator
El servidor ONTAP Mediator admite varios ajustes de seguridad configurables. Los valores predeterminados para todas las configuraciones se proporcionan en un low_space_threshold_mib: 10 archivo de sólo lectura:
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml
Todos los valores que se colocan en el ontap_mediator.user_config.yaml Sustituirá los valores predeterminados y se mantendrá en todas las actualizaciones de ONTAP Mediator.
Después de modificar ontap_mediator.user_config.yaml, Reinicie el servicio ONTAP Mediator:
systemctl restart ontap_mediator
Modificar los atributos de ONTAP Mediator
Los atributos de Mediador de ONTAP descritos en esta sección se pueden modificar si es necesario.
|
No se deben cambiar otros valores por defecto en el ontap_mediator.config.yaml porque los valores modificados no se mantienen durante las actualizaciones de ONTAP Mediator.
|
Puede modificar los atributos de ONTAP Mediator copiando las variables necesarias en el ontap_mediator.user_config.yaml archivo para sustituir la configuración predeterminada.
Instale certificados SSL de terceros
Si necesita reemplazar los certificados autofirmados predeterminados por certificados SSL de terceros, modifique ciertos atributos en los siguientes archivos:
-
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml -
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
Las variables de estos archivos se utilizan para controlar los archivos de certificado utilizados por el servicio ONTAP Mediator.
Las variables predeterminadas que aparecen en la siguiente tabla se incluyen en el /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml archivo.
| Variable | Ruta |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
cert_valid_daysse utiliza para establecer la caducidad de los certificados de cliente. El valor máximo es de tres años (1095 días). -
x509_passin_pwdes la frase de acceso del certificado de cliente firmado.
Las variables predeterminadas que aparecen en la siguiente tabla se incluyen en el /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini archivo.
| Variable | Ruta |
|---|---|
|
|
|
|
|
|
Si modifica estos atributos, reinicie el servicio ONTAP Mediator para aplicar los cambios. Para obtener instrucciones detalladas sobre cómo sustituir certificados predeterminados por certificados de terceros, consulte "Sustituya los certificados autofirmados por certificados de terceros de confianza".
Protección contra ataques con contraseña
Las siguientes configuraciones proporcionan protección contra ataques de adivinación de contraseñas de fuerza bruta.
Para activar la función, configure un valor para window_seconds y la retry_limit.
Ejemplos:
-
Proporcione un intervalo de 5 minutos para las conjeturas y, a continuación, restablezca el recuento a cero fallos:
authentication_lock_window_seconds: 300 -
Bloquee la cuenta si se producen cinco fallos dentro del marco temporal de la ventana:
authentication_retry_limit: 5 -
Reduzca el impacto de los ataques de adivinación de contraseñas de fuerza bruta estableciendo un retraso que se produce antes de rechazar cada intento, lo que ralentiza los ataques.
authentication_failure_delay_seconds: 5authentication_failure_delay_seconds: 0 # seconds (float) to delay failed auth attempts prior to response, 0 = no delay authentication_lock_window_seconds: null # seconds (int) since the oldest failure before resetting the retry counter, null = no window authentication_retry_limit: null # number of retries to allow before locking API access, null = unlimited
Reglas de complejidad de contraseñas
Los siguientes campos controlan las reglas de complejidad de la contraseña de la cuenta de usuario de la API de ONTAP Mediator.
password_min_length: 8 password_max_length: 64 password_uppercase_chars: 0 # min. uppercase characters password_lowercase_chars: 1 # min. lowercase character password_special_chars: 1 # min. non-letter, non-digit password_nonletter_chars: 2 # min. non-letter characters (digits, specials, anything)
Control del espacio libre
Existen ajustes que controlan el espacio libre necesario en el /opt/netapp/lib/ontap_mediator disco.
Si el espacio es inferior al umbral establecido, el servicio emitirá un evento de advertencia.
low_space_threshold_mib: 10
Control del espacio de registro de reserva
La RESERVA_LOG_SPACE se controla mediante valores específicos. De forma predeterminada, la instalación del servidor ONTAP Mediator crea un espacio de disco independiente para los registros. El instalador crea un nuevo archivo de tamaño fijo con un total de 700 MB de espacio en disco que se utilizará explícitamente para el registro de Mediator.
Para desactivar esta función y utilizar el espacio en disco predeterminado, realice los siguientes pasos:
-
Cambie el valor de RESERVE_LOG_SPACE de 1 a 0 en el siguiente archivo:
/opt/netapp/lib/ontap_mediator/tools/mediator_env -
Reinicie Mediator:
-
cat /opt/netapp/lib/ontap_mediator/tools/mediator_env | grep "RESERVE_LOG_SPACE"RESERVE_LOG_SPACE=0
-
systemctl restart ontap_mediator
-
Para volver a habilitar la función, cambie el valor de 0 a 1 y reinicie Mediator.
|
|
Al alternar entre espacios de disco no se depuran los logs existentes. Se realiza una copia de seguridad de todos los registros anteriores y, a continuación, se mueve al espacio de disco actual después de alternar y reiniciar Mediator. |