Skip to main content
ONTAP Select
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Sécuriser un déploiement ONTAP Select

PDF

Il existe plusieurs tâches connexes que vous pouvez effectuer dans le cadre de la sécurisation d'un déploiement ONTAP Select .

Modifier le mot de passe de l'administrateur de déploiement

Vous pouvez modifier le mot de passe du compte administrateur de la machine virtuelle Deploy selon vos besoins à l'aide de l'interface utilisateur Web.

Étapes

  1. Sign in à l’interface utilisateur Web de l’utilitaire de déploiement à l’aide du compte administrateur.

  2. Cliquez sur l'icône en forme de figure en haut à droite de la page et sélectionnez Modifier le mot de passe.

  3. Fournissez le mot de passe actuel et le nouveau mot de passe lorsque vous y êtes invité et cliquez sur Soumettre.

Ajouter un compte de serveur de gestion

Vous pouvez ajouter un compte de serveur de gestion à la base de données du magasin d’informations d’identification de déploiement.

Avant de commencer

Vous devez être familiarisé avec les types d’informations d’identification et la manière dont elles sont utilisées par ONTAP Select Deploy.

Étapes

  1. Sign in à l’interface utilisateur Web de l’utilitaire de déploiement à l’aide du compte administrateur.

  2. Cliquez sur l’onglet Administration en haut de la page.

  3. Cliquez sur Serveurs de gestion, puis sur Ajouter vCenter.

  4. Saisissez les informations suivantes et cliquez sur Ajouter.

    Dans ce domaine… Procédez comme suit…

    Nom/Adresse IP

    Fournissez le nom de domaine ou l’adresse IP du serveur vCenter.

    Nom d'utilisateur

    Saisissez le nom d’utilisateur du compte pour accéder à vCenter.

    Mot de passe

    Saisissez le mot de passe du nom d'utilisateur associé.

  5. Une fois le nouveau serveur de gestion ajouté, vous pouvez éventuellement cliquer sur Options et sélectionnez l'une des options suivantes :

    • Mettre à jour les informations d'identification

    • Vérifier les informations d'identification

    • Supprimer le serveur de gestion

Configurer MFA

À partir d' ONTAP Select 9.13.1, l'authentification multifacteur (MFA) est prise en charge pour le compte administrateur ONTAP Select Deploy :

ONTAP Select Déployer la connexion CLI MFA à l'aide de l'authentification YubiKey PIV ou FIDO2

YubiKey PIV

Configurez le code PIN YubiKey et générez ou importez la clé privée et le certificat de l'agent d'assistance à distance (RSA) ou de l'algorithme de signature numérique à courbe elliptique (ECDSA) en suivant les étapes décrites dans "TR-4647 : Authentification multifactorielle dans ONTAP" .

  • Pour Windows : la section Configuration du client YubiKey PIV pour Windows du rapport technique.

  • Pour MacOS : la section Configuration du client YubiKey PIV pour MAC OS et Linux du rapport technique.

FIDO2

Si vous optez pour l'authentification YubiKey FIDO2, configurez le code PIN YubiKey FIDO2 à l'aide du gestionnaire YubiKey et générez la clé FIDO2 avec une clé PuTTY-CAC (Common Access Card) pour Windows ou ssh-keygen pour macOS. La procédure est décrite dans le rapport technique. "TR-4647 : Authentification multifactorielle dans ONTAP" .

  • Pour Windows : la section Configuration du client YubiKey FIDO2 pour Windows du rapport technique.

  • Pour MacOS : la section Configuration du client YubiKey FIDO2 pour Mac OS et Linux du rapport technique.

Obtenir la clé publique YubiKey PIV ou FIDO2

L'obtention de la clé publique dépend du fait que vous soyez un client Windows ou MacOS et que vous utilisiez PIV ou FIDO2.

Pour Windows :

  • Exportez la clé publique PIV à l'aide de la fonction Copier dans le presse-papiers sous SSH → Certificat comme décrit dans la section Configuration du client SSH Windows PuTTY-CAC pour l'authentification YubiKey PIV à la page 16 du TR-4647.

  • Exportez la clé publique FIDO2 à l'aide de la fonction Copier dans le presse-papiers sous SSH → Certificat comme décrit dans la section Configuration du client SSH Windows PuTTY-CAC pour l'authentification YubiKey FIDO2 à la page 30 du TR-4647.

Pour MacOS :

  • La clé publique PIV doit être exportée à l'aide de ssh-keygen -e commande comme décrit dans la section Configurer le client SSH Mac OS ou Linux pour l'authentification YubiKey PIV à la page 24 du TR-4647.

  • La clé publique FIDO2 se trouve dans le id_ecdsa_sk.pub fichier ou id_edd519_sk.pub fichier, selon que vous utilisez ECDSA ou EDD519, comme décrit dans la section Configurer le client SSH MAC OS ou Linux pour l'authentification YubiKey FIDO2 à la page 39 du TR-4647.

Configurer la clé publique dans ONTAP Select Deploy

SSH est utilisé par le compte administrateur pour l'authentification par clé publique. La commande utilisée est la même, que la méthode d'authentification soit l'authentification par clé publique SSH standard ou l'authentification YubiKey PIV ou FIDO2.

Pour l'authentification multifacteur SSH basée sur le matériel, les facteurs d'authentification en plus de la clé publique configurée sur ONTAP Select Deploy sont les suivants :

  • Le code PIN PIV ou FIDO2

  • Possession de la clé YubiKey. Pour FIDO2, la confirmation se fait en touchant la clé YubiKey lors de l'authentification.

Avant de commencer

Définissez la clé publique PIV ou FIDO2 configurée pour la clé YubiKey. Commande CLI ONTAP Select Deploy. security publickey add -key c'est la même chose pour PIV ou FIDO2 et la chaîne de clé publique est différente.

La clé publique est obtenue à partir de :

  • La fonction Copier dans le presse-papiers pour PuTTY-CAC pour PIV et FIDO2 (Windows)

  • Exporter la clé publique dans un format compatible SSH à l'aide de ssh-keygen -e commande pour PIV

  • Le fichier de clé publique situé dans le ~/.ssh/id_***_sk.pub fichier pour FIDO2 (MacOS)

Étapes

  1. Recherchez la clé générée dans le .ssh/id_***.pub déposer.

  2. Ajoutez la clé générée à ONTAP Select Deploy à l'aide de security publickey add -key <key> commande.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Activez l'authentification MFA avec le security multifactor authentication enable commande.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

Connectez-vous à ONTAP Select Déployer à l'aide de l'authentification YubiKey PIV via SSH

Vous pouvez vous connecter à ONTAP Select Deploy à l'aide de l'authentification YubiKey PIV via SSH.

Étapes

  1. Une fois le jeton YubiKey, le client SSH et ONTAP Select Deploy configurés, vous pouvez utiliser l'authentification MFA YubiKey PIV sur SSH.

  2. Connectez-vous à ONTAP Select « Déployer ». Si vous utilisez le client SSH Windows PuTTY-CAC, une boîte de dialogue s'affichera pour vous inviter à saisir votre code PIN YubiKey.

  3. Connectez-vous depuis votre appareil avec la YubiKey connectée.

Exemple de sortie
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

ONTAP Select Déployer la connexion CLI MFA à l'aide de ssh-keygen

Le ssh-keygen La commande est un outil permettant de créer de nouvelles paires de clés d'authentification pour SSH. Ces paires de clés servent à automatiser les connexions, l'authentification unique et l'authentification des hôtes.

Le ssh-keygen La commande prend en charge plusieurs algorithmes de clé publique pour les clés d'authentification.

  • L'algorithme est sélectionné avec le -t option

  • La taille de la clé est sélectionnée avec le -b option

Exemple de sortie
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
Étapes

  1. Recherchez la clé générée dans le .ssh/id_***.pub déposer.

  2. Ajoutez la clé générée à ONTAP Select Deploy à l'aide de security publickey add -key <key> commande.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Activez l'authentification MFA avec le security multifactor authentication enable commande.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

  4. Connectez-vous au système ONTAP Select Deploy après avoir activé l'authentification multifacteur. Vous devriez obtenir un résultat similaire à l'exemple suivant.

    [<user ID> ~]$ ssh <admin>
Authenticated with partial success.
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

Migrer de l'authentification multifacteur vers l'authentification à facteur unique

L'authentification multifacteur peut être désactivée pour le compte administrateur de déploiement à l'aide des méthodes suivantes :

  • Si vous pouvez vous connecter à l'interface de ligne de commande de déploiement en tant qu'administrateur à l'aide de Secure Shell (SSH), désactivez MFA en exécutant le security multifactor authentication disable commande depuis la CLI de déploiement.

    (ONTAPdeploy) security multifactor authentication disable
MFA disabled Successfully

  • Si vous ne pouvez pas vous connecter à l'interface de ligne de commande de déploiement en tant qu'administrateur à l'aide de SSH :

    1. Connectez-vous à la console vidéo de déploiement de la machine virtuelle (VM) via vCenter ou vSphere.

    2. Connectez-vous à l’interface de ligne de commande de déploiement à l’aide du compte administrateur.

    3. Exécutez le security multifactor authentication disable commande.

      Debian GNU/Linux 11 <user ID> tty1

<hostname> login: admin
Password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy) security multifactor authentication disable
MFA disabled successfully

(ONTAPdeploy)

  • L'administrateur peut supprimer la clé publique avec :
    security publickey delete -key