Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Descripción general de la verificación multiadministrador de ONTAP

Colaboradores

A partir de ONTAP 9.11.1, puede utilizar la verificación multiprotocolo (MAV) para garantizar que determinadas operaciones, como la eliminación de volúmenes o copias snapshot, solo se puedan ejecutar tras las aprobaciones de administradores designados. De este modo, se evita que administradores comprometidos, malintencionados o inexpertos realicen cambios no deseados o eliminen datos.

La configuración de la verificación multi-admin consta de:

Tras la configuración inicial, estos elementos sólo los pueden modificar los administradores de un grupo de aprobación MAV (administradores MAV).

Cuando la verificación multiadministrador está habilitada, completar todas las operaciones protegidas requiere los siguientes pasos:

  1. Cuando un usuario inicia la operación, un "se genera la solicitud."

  2. Antes de que se pueda ejecutar la operación, al menos una "El administrador de MAV debe aprobar."

  3. Tras la aprobación, se solicita al usuario y finaliza la operación.

Nota Si necesita deshabilitar la funcionalidad de verificación multi-admin sin la aprobación del administrador de MAV, póngase en contacto con el soporte de NetApp y mencione el siguiente artículo de la base de conocimientos: "Cómo deshabilitar la verificación de administrador múltiple si el administrador de MAV no está disponible".

La verificación de varios administradores no está pensada para utilizarse con volúmenes o flujos de trabajo que implican una fuerte automatización, ya que cada tarea automatizada requeriría la aprobación antes de poder completar la operación. Si desea utilizar la automatización y MAV juntos, se recomienda que utilice consultas para operaciones de MAV específicas. Por ejemplo, puede aplicar volume delete reglas MAV solo a volúmenes en los que no esté implicada la automatización, y puede designar esos volúmenes con un esquema de nomenclatura particular.

Nota La verificación multi-admin no está disponible con Cloud Volumes ONTAP.

Cómo funciona la verificación multi-administrador

La verificación multi-admin consta de:

  • Grupo de uno o más administradores con facultades de aprobación y veto.

  • Conjunto de operaciones o comandos protegidos en una rules table.

  • Un motor de reglas para identificar y controlar la ejecución de operaciones protegidas.

Las reglas de MAV se evalúan después de las reglas de control de acceso basado en funciones (RBAC). Por lo tanto, los administradores que ejecutan o aprueban operaciones protegidas ya deben disponer de privilegios mínimos de RBAC para esas operaciones. "Más información acerca de RBAC".

Reglas definidas por el sistema

Cuando se activa la verificación de varios administradores, las reglas definidas por el sistema (también conocidas como reglas Guard-Rail) establecen un conjunto de operaciones MAV para contener el riesgo de eludir el propio proceso MAV. Estas operaciones no se pueden quitar de la tabla de reglas. Una vez activado MAV, las operaciones designadas por un asterisco ( * ) requieren la aprobación de uno o más administradores antes de la ejecución, excepto los comandos show.

  • security multi-admin-verify modify funcionamiento *

    Controla la configuración de la funcionalidad de verificación multi-administrador.

  • security multi-admin-verify approval-group operaciones *

    Controlar la pertenencia al conjunto de administradores con credenciales de verificación de varios administradores.

  • security multi-admin-verify rule operaciones *

    Controle el conjunto de comandos que requieren verificación multiadministrador.

  • security multi-admin-verify request operaciones

    Controle el proceso de aprobación.

Comandos protegidos por reglas

Además de las operaciones definidas por el sistema, los siguientes comandos están protegidos de forma predeterminada cuando se habilita la verificación multiadministrador, pero se pueden modificar las reglas para quitar la protección de estos comandos.

  • security login password

  • security login unlock

  • set

Cada versión de ONTAP proporciona más comandos que puede elegir de protección con reglas de verificación multiadministrador. Elija la versión de ONTAP para obtener una lista completa de comandos disponibles para proteger.

9.16.1
  • cluster date modify 3

  • cluster log-forwarding create 3

  • cluster log-forwarding delete 3

  • cluster log-forwarding modify 3

  • cluster peer delete

  • cluster time-service ntp server create 3

  • cluster time-service ntp server delete 3

  • cluster time-service ntp server key create 3

  • cluster time-service ntp server key delete 3

  • cluster time-service ntp server key modify 3

  • cluster time-service ntp server modify 3

  • event config modify

  • lun delete 3

  • security anti-ransomware volume attack clear-suspect 1

  • security anti-ransomware volume disable 1

  • security anti-ransomware volume event-log modify 2

  • security anti-ransomware volume pause 1

  • security anti-ransomware vserver event-log modify 2

  • security audit modify 3

  • security ipsec config modify 3

  • security ipsec policy create 3

  • security ipsec policy delete 3

  • security ipsec policy modify 3

  • security login create

  • security login delete

  • security login modify

  • security key-manager onboard update-passphrase 3

  • security saml-sp create 3

  • security saml-sp delete 3

  • security saml-sp modify 3

  • snaplock legal-hold end 3

  • storage aggregate delete 3

  • storage aggregate offline 4

  • storage encryption disk destroy 3

  • storage encryption disk modify 3

  • storage encryption disk revert-to-original-state 3

  • storage encryption disk sanitize 3

  • system bridge run-cli 3

  • system controller flash-cache secure-erase run 3

  • system controller service-event delete 3

  • system health alert delete 3

  • system health alert modify 3

  • system health policy definition modify 3

  • system node autosupport modify 3

  • system node autosupport trigger modify 3

  • system node coredump delete 3

  • system node coredump delete-all 3

  • system node hardware nvram-encryption modify 3

  • system node run

  • system node systemshell

  • system script delete 3

  • system service-processor ssh add-allowed-addresses 3

  • system service-processor ssh remove-allowed-addresses 3

  • system smtape restore 3

  • system switch ethernet log disable-collection 3

  • system switch ethernet log modify 3

  • timezone 3

  • volume create 3

  • volume delete

  • volume encryption conversion start 4

  • volume encryption rekey start 4

  • volume file privileged-delete 3

  • volume flexcache delete

  • volume modify 3

  • volume recovery-queue modify Chapter 2

  • volume recovery-queue purge Chapter 2

  • volume recovery-queue purge-all Chapter 2

  • volume snaplock modify 1

  • volume snapshot autodelete modify

  • volume snapshot create 3

  • volume snapshot delete

  • volume snapshot modify 3

  • volume snapshot policy add-schedule

  • volume snapshot policy create

  • volume snapshot policy delete

  • volume snapshot policy modify

  • volume snapshot policy modify-schedule

  • volume snapshot policy remove-schedule

  • volume snapshot rename 3

  • volume snapshot restore

  • vserver audit create 3

  • vserver audit delete 3

  • vserver audit disable 3

  • vserver audit modify 3

  • vserver audit rotate-log 3

  • vserver create 2

  • vserver consistency-group create 4

  • vserver consistency-group delete 4

  • vserver consistency-group modify 4

  • vserver consistency-group snapshot create 4

  • vserver consistency-group snapshot delete 4

  • vserver delete 3

  • vserver modify Chapter 2

  • vserver object-store-server audit create 3

  • vserver object-store-server audit delete 3

  • vserver object-store-server audit disable 3

  • vserver object-store-server audit modify 3

  • vserver object-store-server audit rotate-log 3

  • vserver options 3

  • vserver peer delete

  • vserver security file-directory apply 3

  • vserver security file-directory remove-slag 3

  • vserver stop 4

  • vserver vscan disable 3

  • vserver vscan on-access-policy create 3

  • vserver vscan on-access-policy delete 3

  • vserver vscan on-access-policy disable 3

  • vserver vscan on-access-policy modify 3

  • vserver vscan scanner-pool create 3

  • vserver vscan scanner-pool delete 3

  • vserver vscan scanner-pool modify 3

9.15.1
  • cluster date modify 3

  • cluster log-forwarding create 3

  • cluster log-forwarding delete 3

  • cluster log-forwarding modify 3

  • cluster peer delete

  • cluster time-service ntp server create 3

  • cluster time-service ntp server delete 3

  • cluster time-service ntp server key create 3

  • cluster time-service ntp server key delete 3

  • cluster time-service ntp server key modify 3

  • cluster time-service ntp server modify 3

  • event config modify

  • lun delete 3

  • security anti-ransomware volume attack clear-suspect 1

  • security anti-ransomware volume disable 1

  • security anti-ransomware volume event-log modify 2

  • security anti-ransomware volume pause 1

  • security anti-ransomware vserver event-log modify 2

  • security audit modify 3

  • security ipsec config modify 3

  • security ipsec policy create 3

  • security ipsec policy delete 3

  • security ipsec policy modify 3

  • security login create

  • security login delete

  • security login modify

  • security key-manager onboard update-passphrase 3

  • security saml-sp create 3

  • security saml-sp delete 3

  • security saml-sp modify 3

  • snaplock legal-hold end 3

  • storage aggregate delete 3

  • storage encryption disk destroy 3

  • storage encryption disk modify 3

  • storage encryption disk revert-to-original-state 3

  • storage encryption disk sanitize 3

  • system bridge run-cli 3

  • system controller flash-cache secure-erase run 3

  • system controller service-event delete 3

  • system health alert delete 3

  • system health alert modify 3

  • system health policy definition modify 3

  • system node autosupport modify 3

  • system node autosupport trigger modify 3

  • system node coredump delete 3

  • system node coredump delete-all 3

  • system node hardware nvram-encryption modify 3

  • system node run

  • system node systemshell

  • system script delete 3

  • system service-processor ssh add-allowed-addresses 3

  • system service-processor ssh remove-allowed-addresses 3

  • system smtape restore 3

  • system switch ethernet log disable-collection 3

  • system switch ethernet log modify 3

  • timezone 3

  • volume create 3

  • volume delete

  • volume file privileged-delete 3

  • volume flexcache delete

  • volume modify 3

  • volume recovery-queue modify Chapter 2

  • volume recovery-queue purge Chapter 2

  • volume recovery-queue purge-all Chapter 2

  • volume snaplock modify 1

  • volume snapshot autodelete modify

  • volume snapshot create 3

  • volume snapshot delete

  • volume snapshot modify 3

  • volume snapshot policy add-schedule

  • volume snapshot policy create

  • volume snapshot policy delete

  • volume snapshot policy modify

  • volume snapshot policy modify-schedule

  • volume snapshot policy remove-schedule

  • volume snapshot rename 3

  • volume snapshot restore

  • vserver audit create 3

  • vserver audit delete 3

  • vserver audit disable 3

  • vserver audit modify 3

  • vserver audit rotate-log 3

  • vserver create 2

  • vserver delete 3

  • vserver modify Chapter 2

  • vserver object-store-server audit create 3

  • vserver object-store-server audit delete 3

  • vserver object-store-server audit disable 3

  • vserver object-store-server audit modify 3

  • vserver object-store-server audit rotate-log 3

  • vserver options 3

  • vserver peer delete

  • vserver security file-directory apply 3

  • vserver security file-directory remove-slag 3

  • vserver vscan disable 3

  • vserver vscan on-access-policy create 3

  • vserver vscan on-access-policy delete 3

  • vserver vscan on-access-policy disable 3

  • vserver vscan on-access-policy modify 3

  • vserver vscan scanner-pool create 3

  • vserver vscan scanner-pool delete 3

  • vserver vscan scanner-pool modify 3

9.14.1
  • cluster peer delete

  • event config modify

  • security anti-ransomware volume attack clear-suspect 1

  • security anti-ransomware volume disable 1

  • security anti-ransomware volume event-log modify 2

  • security anti-ransomware volume pause 1

  • security anti-ransomware vserver event-log modify 2

  • security login create

  • security login delete

  • security login modify

  • system node run

  • system node systemshell

  • volume delete

  • volume flexcache delete

  • volume recovery-queue modify Chapter 2

  • volume recovery-queue purge Chapter 2

  • volume recovery-queue purge-all Chapter 2

  • volume snaplock modify 1

  • volume snapshot autodelete modify

  • volume snapshot delete

  • volume snapshot policy add-schedule

  • volume snapshot policy create

  • volume snapshot policy delete *

  • volume snapshot policy modify

  • volume snapshot policy modify-schedule

  • volume snapshot policy remove-schedule

  • volume snapshot restore

  • vserver create 2

  • vserver modify Chapter 2

  • vserver peer delete

9.13.1
  • cluster peer delete

  • event config modify

  • security anti-ransomware volume attack clear-suspect 1

  • security anti-ransomware volume disable 1

  • security anti-ransomware volume pause 1

  • security login create

  • security login delete

  • security login modify

  • system node run

  • system node systemshell

  • volume delete

  • volume flexcache delete

  • volume snaplock modify 1

  • volume snapshot autodelete modify

  • volume snapshot delete

  • volume snapshot policy add-schedule

  • volume snapshot policy create

  • volume snapshot policy delete *

  • volume snapshot policy modify

  • volume snapshot policy modify-schedule

  • volume snapshot policy remove-schedule

  • volume snapshot restore

  • vserver peer delete

9.12.1 PB/9.11.1
  • cluster peer delete

  • event config modify

  • security login create

  • security login delete

  • security login modify

  • system node run

  • system node systemshell

  • volume delete

  • volume flexcache delete

  • volume snapshot autodelete modify

  • volume snapshot delete

  • volume snapshot policy add-schedule

  • volume snapshot policy create

  • volume snapshot policy delete *

  • volume snapshot policy modify

  • volume snapshot policy modify-schedule

  • volume snapshot policy remove-schedule

  • volume snapshot restore

  • vserver peer delete

  1. Nuevo comando protegido por reglas para 9.13.1

  2. Nuevo comando protegido por reglas para 9.14.1

  3. Nuevo comando protegido por reglas para 9.15.1

  4. Nuevo comando protegido por reglas para 9.16.1

*Este comando solo está disponible con CLI y no está disponible para System Manager en algunas versiones.

Cómo funciona la aprobación multi-admin

Cada vez que se introduce una operación protegida en un cluster protegido MAV, se envía una solicitud de ejecución de operación al grupo de administradores de MAV designado.

Puede configurar:

  • Los nombres, la información de contacto y el número de administradores del grupo MAV.

    Un administrador de MAV debe tener una función RBAC con privilegios de administrador de clúster.

  • El número de grupos de administradores de MAV.

    • Se asigna un grupo MAV para cada regla de operación protegida.

    • Para varios grupos MAV, puede configurar qué grupo MAV aprueba una regla determinada.

  • El número de aprobaciones MAV necesarias para ejecutar una operación protegida.

  • Período de caducidad de aprobación dentro del cual un administrador MAV debe responder a una solicitud de aprobación.

  • Un período expiration de ejecución dentro del cual el administrador solicitante debe completar la operación.

Una vez configurados estos parámetros, se requiere la aprobación MAV para modificarlos.

Los administradores de MAV no pueden aprobar sus propias solicitudes para ejecutar operaciones protegidas. Por lo tanto:

  • MAV no debe habilitarse en clústeres con un solo administrador.

  • Si sólo hay una persona en el grupo MAV, ese administrador de MAV no puede iniciar operaciones protegidas; los administradores normales deben iniciar operaciones protegidas y el administrador de MAV solo puede aprobar.

  • Si desea que los administradores de MAV puedan ejecutar operaciones protegidas, el número de administradores de MAV debe ser uno mayor que el número de aprobaciones necesarias. Por ejemplo, si se necesitan dos aprobaciones para una operación protegida y desea que los administradores de MAV las ejecuten, debe haber tres personas en el grupo de administradores de MAV.

Los administradores de MAV pueden recibir solicitudes de aprobación en alertas de correo electrónico (mediante EMS) o pueden consultar la cola de solicitudes. Cuando reciben una solicitud, pueden realizar una de estas tres acciones:

  • Aprobar

  • Rechazar (veto)

  • Ignorar (sin acción)

Las notificaciones de correo electrónico se envían a todos los aprobadores asociados a una regla MAV cuando:

  • Se crea una solicitud.

  • Se ha aprobado o vetado una solicitud.

  • Se ejecuta una solicitud aprobada.

Si el solicitante se encuentra en el mismo grupo de aprobación para la operación, recibirá un correo electrónico cuando se apruebe su solicitud.

Nota Un solicitante no puede aprobar sus propias solicitudes incluso si están en el grupo de aprobación (aunque puede recibir notificaciones por correo electrónico para sus propias solicitudes). Los solicitantes que no se encuentren en grupos de aprobación (es decir, que no sean administradores de MAV) no recibirán notificaciones por correo electrónico.

Cómo funciona la ejecución de operaciones protegidas

Si se aprueba la ejecución para una operación protegida, el usuario solicitante continúa con la operación cuando se le solicita. Si la operación es vetada, el usuario solicitante debe eliminar la solicitud antes de continuar.

Las reglas de MAV se evalúan después de los permisos de RBAC. Como resultado, un usuario sin suficientes permisos de RBAC para la ejecución de la operación no puede iniciar el proceso de solicitud de MAV.