Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Acceda al clúster mediante SSH

Colaboradores
PDF

Puede emitir solicitudes de SSH al clúster para realizar tareas administrativas. De forma predeterminada, SSH está habilitado.

Lo que necesitará

  • Debe tener una cuenta de usuario configurada para usar ssh como método de acceso.

    La -application parámetro de security login los comandos especifican el método de acceso para una cuenta de usuario. La security login "páginas de manual" contienen información adicional.

  • Si utiliza una cuenta de usuario de dominio de Active Directory (AD) para acceder al clúster, debe haberse configurado un túnel de autenticación del clúster a través de una máquina virtual de almacenamiento habilitada para CIFS, y la cuenta de usuario de dominio de AD también se debe haber añadido al clúster con ssh como método de acceso y. domain como método de autenticación.

  • Si utiliza conexiones IPv6, IPv6 ya debe estar configurado y habilitado en el clúster, y las políticas de firewall ya deben estar configuradas con direcciones IPv6.

    La network options ipv6 show Command muestra si IPv6 está habilitado. La system services firewall policy show comando muestra las directivas de firewall.

Acerca de esta tarea

  • Debe utilizar un cliente OpenSSH 5.7 o posterior.

  • Solo se admite el protocolo SSH v2; no se admite SSH v1.

  • ONTAP admite un máximo de 64 sesiones de SSH simultáneas por nodo.

    Si el LIF de gestión del clúster reside en el nodo, comparte este límite con la LIF de gestión del nodo.

    Si la tasa de conexiones entrantes es superior a 10 por segundo, el servicio se deshabilitará temporalmente durante 60 segundos.

  • ONTAP solo admite los algoritmos de cifrado AES y 3DES (también conocidos como cifrados) para SSH.

    AES es compatible con una longitud de clave de 128, 192 y 256 bits. 3DES tiene una longitud de clave de 56 bits como EN EL DES original, pero se repite tres veces.

  • Cuando el modo FIPS está activado, los clientes SSH deben negociar con los algoritmos de clave pública del algoritmo de firma digital de curva elíptica (ECDSA) para que la conexión sea exitosa.

  • Si desea acceder a la CLI de ONTAP desde un host de Windows, puede utilizar una herramienta de otro proveedor, como PuTTY.

  • Si utiliza un nombre de usuario de Windows AD para iniciar sesión en ONTAP, debe usar las mismas letras mayúsculas o minúsculas que se usaron cuando se crearon el nombre de usuario y el nombre de dominio de AD en ONTAP.

    Los nombres de usuario Y de dominio DE AD no distinguen mayúsculas de minúsculas. Sin embargo, los nombres de usuario de ONTAP distinguen mayúsculas de minúsculas. La discrepancia entre el nombre de usuario creado en ONTAP y el nombre de usuario creado en AD provoca un error de inicio de sesión.

Opciones de autenticación SSH

  • A partir de ONTAP 9,3, puede hacerlo "Habilite la autenticación multifactor SSH" para cuentas de administrador local.

    Cuando la autenticación multifactor en SSH está habilitada, los usuarios se autentican mediante una clave pública y una contraseña.

  • A partir de ONTAP 9,4, puede hacerlo "Habilite la autenticación multifactor SSH" Para usuarios remotos LDAP y NIS.

  • A partir de ONTAP 9.13.1, opcionalmente puede añadir validación de certificados al proceso de autenticación SSH para mejorar la seguridad de inicio de sesión. Para hacer esto, "Asocie un certificado X,509 a la clave pública" que utiliza una cuenta. Si inicia sesión mediante SSH con una clave pública SSH y un certificado X,509, ONTAP comprueba la validez del certificado X,509 antes de autenticarse con la clave pública SSH. El inicio de sesión SSH se rechaza si ese certificado caduca o se revoca y la clave pública SSH se deshabilita automáticamente.

  • A partir de ONTAP 9.14.1, puede agregar opcionalmente la autenticación de dos factores Cisco Duo al proceso de autenticación SSH para mejorar la seguridad de inicio de sesión. Tras iniciar sesión por primera vez después de habilitar la autenticación de Cisco Duo, los usuarios deberán inscribir un dispositivo para que sirva como autenticador para las sesiones SSH. Consulte "Configurar Cisco Duo 2FA para inicios de sesión SSH" Para obtener más información sobre la configuración de la autenticación SSH de Cisco Duo para ONTAP.

Pasos

  1. Desde un host de administración, introduzca el ssh comando en uno de los siguientes formatos:

    • ssh username@hostname_or_IP [command]

    • ssh -l username hostname_or_IP [command]

Si utiliza una cuenta de usuario de dominio de AD, debe especificar username en el formato de domainname\\AD_accountname (con barras diagonales dobles después del nombre de dominio) o "domainname\AD_accountname" (entre comillas dobles y con una sola barra diagonal inversa después del nombre de dominio).

hostname_or_IP Es el nombre de host o la dirección IP de la LIF de gestión de clústeres o una LIF de gestión de nodos. Se recomienda utilizar la LIF de gestión del clúster. Es posible usar una dirección IPv4 o IPv6.

command No es necesario para las sesiones interactivas con SSH.

Ejemplos de solicitudes SSH

Los siguientes ejemplos muestran cómo la cuenta de usuario denominada «'joe» puede emitir una solicitud SSH para acceder a un clúster cuya LIF de gestión de clústeres sea 10.72.137.28:

$ ssh joe@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

Los siguientes ejemplos muestran cómo la cuenta de usuario denominada «'john» del dominio denominado «DOMAIN1» puede emitir una solicitud SSH para acceder a un clúster cuya LIF de gestión de clústeres sea 10.72.137.28:

$ ssh DOMAIN1\\john@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

En el siguiente ejemplo, se muestra cómo la cuenta de usuario llamada «'joe» puede emitir una solicitud MFA de SSH para acceder a un clúster cuyo LIF de gestión de clústeres sea 10.72.137.32:

$ ssh joe@10.72.137.32
Authenticated with partial success.
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
Información relacionada

"Autenticación de administrador y RBAC"