Añadir un rol de RBAC de ONTAP mediante comandos de inicio de sesión de seguridad
Puede utilizar los comandos Security login para añadir un rol de RBAC de ONTAP si los sistemas de almacenamiento ejecutan ONTAP almacenado en clúster.
-
Antes de crear un rol de RBAC de ONTAP para sistemas de almacenamiento que ejecutan ONTAP almacenado en clúster, debe identificar los siguientes aspectos:
-
La tarea (o las tareas) que desee ejecutar
-
Los privilegios necesarios para ejecutar esas tareas
-
-
Para configurar un rol de RBAC es necesario que lleve a cabo las siguientes acciones:
-
Conceda privilegios a comandos o directorios de comandos.
Hay dos niveles de acceso para cada directorio de comandos/comandos: Acceso total y sólo lectura.
Siempre debe asignar los privilegios de acceso total en primer lugar.
-
Asigne roles a los usuarios.
-
Varíe su configuración según si los plugins de SnapCenter están conectados a la IP de administrador del clúster para todo el clúster en conjunto o están directamente conectados a una máquina virtual SVM dentro del clúster.
-
Acerca de esta tarea
Para simplificar la configuración de estos roles en los sistemas de almacenamiento, puede utilizar la herramienta RBAC User Creator for Data ONTAP, que se encuentra en el foro de comunidades de NetApp.
Esta herramienta se encarga automáticamente de configurar los privilegios de ONTAP correctamente. Por ejemplo, la herramienta RBAC User Creator for Data ONTAP agrega automáticamente los privilegios en el orden correcto, para que los privilegios de acceso total aparezcan primero. Si añade primero los privilegios solo de lectura y después añade los privilegios de acceso total, ONTAP Marca los privilegios de acceso total como duplicados y los omite.
Si posteriormente actualiza SnapCenter u ONTAP, debe volver a ejecutar la herramienta RBAC User Creator for Data ONTAP para actualizar los roles de usuario que ha creado previamente. Los roles de usuario creados para una versión anterior de SnapCenter o ONTAP no funcionan correctamente con las versiones actualizadas. Cuando vuelva a ejecutar la herramienta, automáticamente se encarga de la actualización. No es necesario que vuelva a recrear los roles. |
Más información sobre la configuración de roles de RBAC de ONTAP, consulte "Guía completa de autenticación de administrador y RBAC de ONTAP 9".
Para salvaguardar la consistencia, la documentación de SnapCenter se refiere a los roles como funciones que usan privilegios. La GUI del Administrador del sistema de OnCommand utiliza el término Attribute en lugar de Privilege. Al configurar roles de RBAC de ONTAP, ambos términos significan lo mismo. |
-
Pasos*
-
En el sistema de almacenamiento, introduzca el comando siguiente para crear un rol nuevo:
security login role create <role_name\> -cmddirname "command" -access all –vserver <svm_name\>
-
svm_name es el nombre de la máquina virtual SVM. Si deja este espacio en blanco, se tomará de forma predeterminada el administrador del clúster.
-
role_name es el nombre que usted especifica para el rol.
-
Command es la capacidad de ONTAP.
Debe repetir este comando para cada permiso. Recuerde que los comandos de acceso total deben enumerarse antes que los comandos de solo lectura.
Para obtener más información sobre la lista de permisos, consulte "Comandos de la CLI de ONTAP para crear roles y asignar permisos".
-
-
Cree un nombre de usuario introduciendo el comando siguiente:
security login create -username <user_name\> -application ontapi -authmethod <password\> -role <name_of_role_in_step_1\> –vserver <svm_name\> -comment "user_description"
-
user_name es el nombre de usuario que va a crear.
-
<password> es su contraseña. Si no especifica una contraseña, el sistema le solicitará una.
-
svm_name es el nombre de la máquina virtual SVM.
-
-
Para asignar el rol al usuario, introduzca el siguiente comando:
security login modify username <user_name\> –vserver <svm_name\> -role <role_name\> -application ontapi -application console -authmethod <password\>
-
<user_name> es el nombre del usuario que creó en el paso 2. Este comando permite que usted modifique el usuario para asociarlo al rol.
-
<svm_name> es el nombre de la SVM.
-
<role_name> es el nombre del rol que creó en el paso 1.
-
<password> es su contraseña. Si no especifica una contraseña, el sistema le solicitará una.
-
-
Compruebe que el usuario se ha creado correctamente introduciendo el comando siguiente:
security login show –vserver <svm_name\> -user-or-group-name <user_name\>
User_name es el nombre del usuario que creó en el Paso 3.
-