Añada un rol de RBAC de NetApp ONTAP mediante comandos de inicio de sesión de seguridad
Puede utilizar los comandos security login para añadir un rol de RBAC de NetApp ONTAP si los sistemas de almacenamiento ejecutan ONTAP almacenado en clúster.
-
Identifique la tarea (o tareas) que desea realizar y los privilegios necesarios para realizar estas tareas.
-
Conceda privilegios a comandos o directorios de comandos.
Hay dos niveles de acceso para cada directorio de comandos/comandos: Acceso total y sólo lectura.
Siempre debe asignar los privilegios de acceso total en primer lugar.
-
Asigne roles a los usuarios.
-
Identifique su configuración dependiendo de si sus complementos de SnapCenter están conectados a la IP del administrador de clúster para todo el clúster o conectados directamente a una SVM dentro del clúster.
Para simplificar la configuración de estos roles en los sistemas de almacenamiento, puede utilizar la herramienta RBAC User Creator para NetApp ONTAP, que se encuentra publicada en el Foro de Comunidades de NetApp.
Esta herramienta se encarga automáticamente de configurar los privilegios de ONTAP correctamente. Por ejemplo, la herramienta RBAC User Creator for NetApp ONTAP agrega automáticamente la Privileges en el orden correcto, para que la Privileges de acceso total aparezca primero. Si añade primero los privilegios solo de lectura y después añade los privilegios de acceso total, ONTAP Marca los privilegios de acceso total como duplicados y los omite.
|
Si posteriormente actualiza SnapCenter u ONTAP, debe volver a ejecutar la herramienta RBAC User Creator for NetApp ONTAP para actualizar los roles de usuario que ha creado previamente. Los roles de usuario creados para una versión anterior de SnapCenter o ONTAP no funcionan correctamente con las versiones actualizadas. Cuando vuelva a ejecutar la herramienta, automáticamente se encarga de la actualización. No es necesario que vuelva a recrear los roles. |
Más información sobre la configuración de roles de RBAC de ONTAP, consulte "Guía completa de autenticación de administrador y RBAC de ONTAP 9".
-
En el sistema de almacenamiento, introduzca el comando siguiente para crear un rol nuevo:
security login role create <role_name\> -cmddirname "command" -access all –vserver <svm_name\>
-
svm_name es el nombre de la máquina virtual SVM. Si deja este espacio en blanco, se tomará de forma predeterminada el administrador del clúster.
-
role_name es el nombre que usted especifica para el rol.
-
Command es la capacidad de ONTAP.
Debe repetir este comando para cada permiso. Recuerde que los comandos de acceso total deben enumerarse antes que los comandos de solo lectura.
Para obtener más información sobre la lista de permisos, consulte "Comandos de la CLI de ONTAP para crear roles y asignar permisos".
-
-
Cree un nombre de usuario introduciendo el comando siguiente:
security login create -username <user_name\> -application ontapi -authmethod <password\> -role <name_of_role_in_step_1\> –vserver <svm_name\> -comment "user_description"
-
user_name es el nombre de usuario que va a crear.
-
<password> es su contraseña. Si no especifica una contraseña, el sistema le solicitará una.
-
svm_name es el nombre de la máquina virtual SVM.
-
-
Para asignar el rol al usuario, introduzca el siguiente comando:
security login modify username <user_name\> –vserver <svm_name\> -role <role_name\> -application ontapi -application console -authmethod <password\>
-
<user_name> es el nombre del usuario que creó en el paso 2. Este comando permite que usted modifique el usuario para asociarlo al rol.
-
<svm_name> es el nombre de la SVM.
-
<role_name> es el nombre del rol que creó en el paso 1.
-
<password> es su contraseña. Si no especifica una contraseña, el sistema le solicitará una.
-
-
Compruebe que el usuario se ha creado correctamente introduciendo el comando siguiente:
security login show –vserver <svm_name\> -user-or-group-name <user_name\>
User_name es el nombre del usuario que creó en el Paso 3.