Roles, aplicaciones y autenticación
Sugerir cambios
PDF
ONTAP proporciona a la empresa condicionada por la seguridad la capacidad de brindar acceso granular a distintos administradores mediante diferentes métodos y aplicaciones de inicio de sesión. Esto ayuda a los clientes a crear un modelo de confianza cero centrado en los datos.
Estas son las funciones disponibles para los administradores de máquinas virtuales de almacenamiento y administradores. Se especifican los métodos de aplicación de inicio de sesión y los métodos de autenticación de inicio de sesión.
Funciones
Con el control de acceso basado en roles, los usuarios solo tienen acceso a los sistemas y las opciones requeridas para sus roles y funciones de trabajo. La solución RBAC de ONTAP limita el acceso administrativo de los usuarios al nivel permitido por el rol que tengan definido, lo que permite a los administradores gestionar usuarios según el rol asignado. ONTAP ofrece varios roles predefinidos. Los operadores y administradores pueden crear, modificar o suprimir roles de control de acceso personalizados, y pueden especificar restricciones de cuenta para roles específicos.
Roles predefinidos para administradores de clúster
Este rol… |
Tiene este nivel de acceso… |
A los siguientes comandos o directorios de comandos |
|
Todo |
Todos los directorios de comandos ( |
|
Lectura/Escritura |
|
Solo lectura |
|
Ninguno |
|
|
Todo |
|
Ninguno |
Todos los demás directorios de comandos ( |
|
Todo |
|
Solo lectura |
|
Ninguno |
Todos los demás directorios de comandos ( |
|
Todo |
|
Ninguno |
|
Solo lectura |
Todos los demás directorios de comandos ( |
|
|
La autosupport el rol se asigna a los predefinidos autosupport Cuenta, que utiliza AutoSupport OnDemand. ONTAP le impide modificar o eliminar el autosupport cuenta. ONTAP también le impide asignar el autosupport función para otras cuentas de usuario.
|
Roles predefinidos para administradores de máquinas virtuales de almacenamiento (SVM)
Nombre del rol |
Funcionalidades |
|
|
|
|
|
|
|
|
|
|
|
|
Métodos de aplicación
El método de aplicación especifica el tipo de acceso del método de inicio de sesión. Los valores posibles incluyen console, http, ontapi, rsh, snmp, service-processor, ssh, y telnet.
Configurar este parámetro service-processor para otorgar al usuario acceso a Service Processor. Cuando este parámetro se define en service-processor, el -authentication-method parámetro se debe definir en password porque el procesador de servicios sólo admite password la autenticación. Las cuentas de usuario de SVM no pueden acceder a Service Processor. Por lo tanto, los operadores y administradores no pueden utilizar el -vserver parámetro cuando este parámetro se define en service-processor.
Para restringir aún más el acceso al service-processor comando, utilice el comando system service-processor ssh add-allowed-addresses. El comando system service-processor api-service se puede utilizar para actualizar las configuraciones y los certificados.
Por motivos de seguridad, Telnet y el Shell remoto (RSH) están deshabilitados de forma predeterminada porque NetApp recomienda el shell seguro (SSH) para el acceso remoto seguro. Si hay un requisito o una necesidad única de Telnet o RSH, deben estar activados.
El security protocol modify comando modifica la configuración existente en todo el cluster de RSH y Telnet. Active RSH y Telnet en el cluster definiendo el campo Activado en true.
Métodos de autenticación
El parámetro del método de autenticación especifica el método de autenticación utilizado para inicios de sesión.
| Método de autenticación | Descripción |
|---|---|
|
Autenticación de certificado SSL |
|
Cadenas de comunidad SNMP |
|
Autenticación de Active Directory |
|
Autenticación LDAP o NIS |
|
Contraseña |
|
Autenticación de clave pública |
|
Modelo de seguridad de usuario SNMP |
|
|
No se recomienda el uso de NIS debido a las debilidades de seguridad del protocolo. |
A partir de ONTAP 9,3, la autenticación encadenada de dos factores está disponible para cuentas SSH locales admin que utilizan publickey y password como los dos métodos de autenticación. Además del -authentication-method campo del security login comando, se ha agregado un nuevo campo denominado -second-authentication-method . publickey`O `password se puede especificar como el -authentication-method o el -second-authentication-method. Sin embargo, durante la autenticación SSH, el orden está siempre publickey con autenticación parcial, seguido de la solicitud de contraseña para la autenticación completa.
[user@host01 ~]$ ssh ontap.netapp.local Authenticated with partial success. Password: cluster1::>
A partir de ONTAP 9,4, nsswitch se puede utilizar como un segundo método de autenticación con publickey.
A partir de ONTAP 9.12.1, FIDO2 también se puede usar para la autenticación SSH usando un dispositivo de autenticación de hardware YubiKey u otros dispositivos compatibles con FIDO2.
A partir de ONTAP 9,13.1:
-
domainlas cuentas se pueden utilizar como un segundo método de autenticación conpublickey. -
Contraseña de un solo uso basada en tiempo (
totp) es un código de acceso temporal generado por un algoritmo que utiliza la hora actual del día como uno de sus factores de autenticación para el segundo método de autenticación. -
La revocación de claves públicas es compatible con claves públicas SSH, así como con certificados que se comprobarán para su caducidad/revocación durante SSH.
Para obtener más información sobre la autenticación multifactor (MFA) para el administrador del sistema de ONTAP, Active IQ Unified Manager y SSH, consulte "TR-4647: Autenticación multifactor en ONTAP 9".