Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Feuilles de calcul pour l'authentification de l'administrateur et la configuration du RBAC

Contributeurs
PDF

Avant de créer des comptes de connexion et de configurer le contrôle d'accès basé sur des rôles (RBAC), vous devez rassembler les informations de chaque élément des feuilles de configuration.

Créer ou modifier des comptes de connexion

Vous fournissez ces valeurs avec le security login create Lorsque vous activez les comptes de connexion pour accéder à une VM de stockage. Vous fournissez les mêmes valeurs avec le security login modify Lorsque vous modifiez la façon dont un compte accède à une VM de stockage.

Champ

Description

Votre valeur

-vserver

Nom de la VM de stockage auquel le compte accède. La valeur par défaut est le nom de la VM de stockage admin du cluster.

-user-or-group-name

Nom d'utilisateur ou nom de groupe du compte. La définition d'un nom de groupe permet d'accéder à chaque utilisateur du groupe. Vous pouvez associer un nom d'utilisateur ou un nom de groupe à plusieurs applications.

-application

L'application utilisée pour accéder à la VM de stockage :

  • http

  • ontapi

  • snmp

  • ssh

-authmethod

Méthode utilisée pour authentifier le compte :

  • cert Pour l'authentification par certificat SSL

  • domain Pour l'authentification Active Directory

  • nsswitch Pour l'authentification LDAP ou NIS

  • password pour l'authentification par mot de passe utilisateur

  • publickey pour l'authentification par clé publique

  • community Pour les chaînes de communauté SNMP

  • usm Pour le modèle de sécurité utilisateur SNMP

  • saml Pour l'authentification SAML (Security assertion Markup Language)

-remote-switch-ipaddress

L'adresse IP du commutateur distant. Le commutateur distant peut être un commutateur de cluster surveillé par le moniteur d'état du commutateur du cluster (CSHM) ou un commutateur Fibre Channel (FC) surveillé par le moniteur d'état du MetroCluster (MCC-HM). Cette option n'est applicable que lorsque l'application est snmp et la méthode d'authentification est usm.

-role

Rôle de contrôle d'accès attribué au compte :

  • Pour le cluster (la VM de stockage admin), la valeur par défaut est admin.

  • Pour une VM de stockage de données, la valeur par défaut est vsadmin.

-comment

(Facultatif) texte descriptif pour le compte. Vous devez inclure le texte entre guillemets (").

-is-ns-switch-group

Indique si le compte est un compte de groupe LDAP ou un compte de groupe NIS (yes ou no).

-second-authentication-method

Deuxième méthode d'authentification en cas d'authentification multifacteur :

  • none si vous n'utilisez pas l'authentification multi-facteurs, valeur par défaut

  • publickey pour l'authentification par clé publique lorsque l' authmethod est un mot de passe ou un nsswitch

  • password pour l'authentification par mot de passe utilisateur lorsque authmethod est la clé publique

  • nsswitch pour l'authentification par mot de passe utilisateur lorsque la méthode d'authentification est publickey

L'ordre d'authentification est toujours la clé publique suivie du mot de passe.

-is-ldap-fastbind

À partir de ONTAP 9.11.1, lorsque la valeur est définie sur true, active la liaison rapide LDAP pour l'authentification nsswitch ; la valeur par défaut est false. Pour utiliser LDAP FAST bind, le -authentication-method la valeur doit être définie sur nsswitch. "Découvrez ldap fastbind pour l'authentification nsswitch."

Configurer les informations de sécurité Cisco Duo

Vous fournissez ces valeurs avec le security login duo create Lorsque vous activez l'authentification à deux facteurs Cisco Duo avec des connexions SSH pour une machine virtuelle de stockage.

Champ

Description

Votre valeur

-vserver

La VM de stockage (appelée vServer dans l'interface de ligne de commandes ONTAP) à laquelle s'appliquent les paramètres d'authentification Duo.

-integration-key

Votre clé d'intégration, obtenue lors de l'enregistrement de votre application SSH auprès de Duo.

-secret-key

Votre clé secrète, obtenue lors de l'enregistrement de votre application SSH auprès de Duo.

-api-host

Le nom d'hôte de l'API, obtenu lors de l'enregistrement de votre application SSH auprès de Duo. Par exemple :

api-<HOSTNAME>.duosecurity.com

-fail-mode

En cas d'erreurs de service ou de configuration qui empêchent l'authentification Duo, l'échec safe (autoriser l'accès) ou secure (refuser l'accès). La valeur par défaut est safe, Ce qui signifie que l'authentification Duo est ignorée si elle échoue en raison d'erreurs telles que le serveur d'API Duo inaccessible.

-http-proxy

Utilisez le proxy HTTP spécifié. Si le proxy HTTP nécessite une authentification, incluez les informations d'identification dans l'URL du proxy. Par exemple :

http-proxy=http://username:password@proxy.example.org:8080

-autopush

Soit true ou false. La valeur par défaut est false. Si true, Duo envoie automatiquement une demande de connexion Push au téléphone de l'utilisateur et revient à un appel téléphonique si Push n'est pas disponible. Notez que cela désactive efficacement l'authentification par mot de passe. Si false, l'utilisateur est invité à choisir une méthode d'authentification.

Lorsqu'il est configuré avec autopush = true, nous recommandons le réglage max-prompts = 1.

-max-prompts

Si un utilisateur ne parvient pas à s'authentifier avec un second facteur, Duo invite l'utilisateur à s'authentifier à nouveau. Cette option définit le nombre maximal d'invites affichées par Duo avant de refuser l'accès. Doit être de 1, 2, ou 3. La valeur par défaut est 1.

Par exemple, quand max-prompts = 1, l'utilisateur doit s'authentifier avec succès à la première invite, tandis que si max-prompts = 2, si l'utilisateur saisit des informations incorrectes à l'invite initiale, il sera invité à s'authentifier à nouveau.

Lorsqu'il est configuré avec autopush = true, nous recommandons le réglage max-prompts = 1.

Pour la meilleure expérience, un utilisateur avec seulement l'authentification de clé publique aura toujours max-prompts réglez sur 1.

-enabled

Activez l'authentification Duo à deux facteurs. Réglez sur true par défaut. Lorsqu'elle est activée, l'authentification Duo à deux facteurs est appliquée lors de la connexion SSH en fonction des paramètres configurés. Lorsque Duo est désactivé (défini sur false), l'authentification Duo est ignorée.

-pushinfo

Cette option fournit des informations supplémentaires dans la notification Push, telles que le nom de l'application ou du service auquel vous accédez. Cela permet aux utilisateurs de vérifier qu'ils se connectent au service approprié et fournit une couche de sécurité supplémentaire.

Définissez des rôles personnalisés

Vous fournissez ces valeurs avec le security login role create commande lorsque vous définissez un rôle personnalisé.

Champ

Description

Votre valeur

-vserver

(Facultatif) nom de la VM de stockage (appelée vServer dans l'interface de ligne de commandes ONTAP) associée au rôle.

-role

Nom du rôle.

-cmddirname

Répertoire de la commande ou de la commande auquel le rôle donne accès. Vous devez inclure les noms des sous-répertoires de commandes entre guillemets ("). Par exemple : "volume snapshot". Vous devez entrer DEFAULT pour spécifier tous les répertoires de commandes.

-access

(Facultatif) le niveau d'accès du rôle. Pour les répertoires de commandes :

  • none (la valeur par défaut pour les rôles personnalisés) refuse l'accès aux commandes dans le répertoire de commande

  • readonly permet l'accès au show commandes dans le répertoire de commande et ses sous-répertoires

  • all donne accès à toutes les commandes du répertoire de commande et de ses sous-répertoires

Pour commandes non intrinsèques (commandes qui ne se terminent pas dans create, modify, delete, ou show) :

  • none (la valeur par défaut pour les rôles personnalisés) refuse l'accès à la commande

  • readonly n'est pas applicable

  • all accorde l'accès à la commande

Pour accorder ou refuser l'accès aux commandes intrinsèques, vous devez spécifier le répertoire de commande.

-query

(Facultatif) l'objet de requête utilisé pour filtrer le niveau d'accès, qui est spécifié sous la forme d'une option valide pour la commande ou d'une commande dans le répertoire de commandes. Vous devez inclure l'objet de requête entre guillemets ("). Par exemple, si le répertoire de commande est volume, l'objet requête "-aggr aggr0" activation de l'accès pour le système aggr0 agrégat uniquement.

Associer une clé publique à un compte d'utilisateur

Vous fournissez ces valeurs avec le security login publickey create Commande lorsque vous associez une clé publique SSH à un compte d'utilisateur.

Champ

Description

Votre valeur

-vserver

(Facultatif) Nom de la VM de stockage auquel le compte accède.

-username

Nom d'utilisateur du compte. La valeur par défaut, admin, qui est le nom par défaut de l'administrateur du cluster.

-index

Numéro d'index de la clé publique. La valeur par défaut est 0 si la clé est la première clé créée pour le compte ; sinon, la valeur par défaut est un plus que le numéro d'index existant le plus élevé pour le compte.

-publickey

Clé publique OpenSSH. Vous devez inclure la clé entre guillemets (").

-role

Rôle de contrôle d'accès attribué au compte.

-comment

(Facultatif) texte descriptif pour la clé publique. Vous devez inclure le texte entre guillemets (").

-x509-certificate

(Facultatif) à partir de ONTAP 9.13.1, vous permet de gérer l'association de certificats X.509 avec la clé publique SSH.

Lorsque vous associez un certificat X.509 à la clé publique SSH, ONTAP vérifie lors de la connexion SSH si ce certificat est valide. S'il a expiré ou a été révoqué, la connexion est interdite et la clé publique SSH associée est désactivée. Valeurs possibles :

  • install: Installez le certificat X.509 codé PEM spécifié et associez-le à la clé publique SSH. Incluez le texte intégral du certificat que vous souhaitez installer.

  • modify: Mettez à jour le certificat X.509 codé PEM existant avec le certificat spécifié et associez-le à la clé publique SSH. Inclure le texte complet du nouveau certificat.

  • delete: Supprimez l'association de certificat X.509 existante avec la clé publique SSH.

Configurer les paramètres globaux d'autorisation dynamique

À partir de ONTAP 9.15.1, vous fournissez ces valeurs avec security dynamic-authorization modify commande. Pour plus d'informations sur la configuration d'autorisation dynamique, reportez-vous à la section "présentation de l'autorisation dynamique".

Champ

Description

Votre valeur

-vserver

Nom de la machine virtuelle de stockage pour laquelle le paramètre de score de confiance doit être modifié. Si vous omettez ce paramètre, le paramètre de niveau du cluster est utilisé.

-state

Le mode d'autorisation dynamique. Valeurs possibles :

  • disabled: (Par défaut) l'autorisation dynamique est désactivée.

  • visibility: Ce mode est utile pour tester l'autorisation dynamique. Dans ce mode, le score de confiance est vérifié avec chaque activité restreinte, mais pas appliqué. Cependant, toute activité qui aurait été refusée ou qui aurait fait l'objet de défis d'authentification supplémentaires est consignée.

  • enforced: Destiné à être utilisé après avoir terminé les tests avec visibility mode. Dans ce mode, le score de confiance est vérifié pour chaque activité restreinte et les restrictions d'activité sont appliquées si les conditions de restriction sont remplies. L'intervalle de suppression est également appliqué, ce qui évite des problèmes d'authentification supplémentaires dans l'intervalle spécifié.

-suppression-interval

Empêche des problèmes d'authentification supplémentaires dans l'intervalle spécifié. L'intervalle est au format ISO-8601 et accepte des valeurs comprises entre 1 minute et 1 heure. Si la valeur est définie sur 0, l'intervalle de suppression est désactivé et l'utilisateur est toujours invité à effectuer une vérification d'authentification si nécessaire.

-lower-challenge-boundary

Limite inférieure de pourcentage de défi pour l'authentification multifacteur (MFA). La plage valide est comprise entre 0 et 99. La valeur 100 n'est pas valide, car toutes les demandes sont refusées. La valeur par défaut est 0.

-upper-challenge-boundary

Limite supérieure de pourcentage de défi MFA. La plage valide est comprise entre 0 et 100. Cette valeur doit être égale ou supérieure à la valeur de la limite inférieure. Une valeur de 100 signifie que chaque demande sera refusée ou soumise à un défi d'authentification supplémentaire ; aucune demande n'est autorisée sans défi. La valeur par défaut est 90.

Installez un certificat numérique de serveur signé par une autorité de certification

Vous fournissez ces valeurs avec le security certificate generate-csr Lorsque vous générez une requête de signature de certificat numérique (RSC) à utiliser pour authentifier une machine virtuelle de stockage en tant que serveur SSL.

Champ

Description

Votre valeur

-common-name

Nom du certificat, qui est soit un nom de domaine complet (FQDN) ou un nom commun personnalisé.

-size

Nombre de bits dans la clé privée. Plus la valeur est élevée, plus la clé est sécurisée. La valeur par défaut est 2048. Les valeurs possibles sont 512, 1024, 1536, et 2048.

-country

Pays de la machine virtuelle de stockage, sous un code à deux lettres. La valeur par défaut est US. Consultez les pages de manuel pour obtenir une liste de codes.

-state

État ou province de la machine virtuelle de stockage.

-locality

Localité de la VM de stockage.

-organization

Organisation de la machine virtuelle de stockage.

-unit

Unité dans l'organisation de la machine virtuelle de stockage.

-email-addr

Adresse e-mail de l'administrateur du contact pour la machine virtuelle de stockage.

-hash-function

Fonction de hachage cryptographique pour la signature du certificat. La valeur par défaut est SHA256. Les valeurs possibles sont SHA1, SHA256, et MD5.

Vous fournissez ces valeurs avec le security certificate install Lorsque vous installez un certificat numérique signé par une autorité de certification pour l'authentification du cluster ou de la machine virtuelle de stockage en tant que serveur SSL. Seules les options pertinentes pour la configuration des comptes sont présentées dans le tableau suivant.

Champ

Description

Votre valeur

-vserver

Nom de la machine virtuelle de stockage sur laquelle le certificat doit être installé.

-type

Le type de certificat :

  • server pour les certificats de serveur et les certificats intermédiaires

  • client-ca Pour le certificat de clé publique de l'autorité de certification racine du client SSL

  • server-ca Pour le certificat de clé publique de l'autorité de certification racine du serveur SSL dont ONTAP est un client

  • client Pour un certificat numérique et une clé privée auto-signés ou signés par une autorité de certification pour ONTAP en tant que client SSL

Configurez l'accès au contrôleur de domaine Active Directory

Vous fournissez ces valeurs avec le security login domain-tunnel create Commande lorsque vous avez déjà configuré un serveur SMB pour une machine virtuelle de stockage de données et que vous souhaitez configurer la machine virtuelle de stockage en tant que passerelle ou tunnel pour l'accès du contrôleur de domaine Active Directory au cluster.

Champ

Description

Votre valeur

-vserver

Nom de la VM de stockage pour laquelle le serveur SMB a été configuré.

Vous fournissez ces valeurs avec le vserver active-directory create Lorsque vous n'avez pas configuré de serveur SMB et que vous souhaitez créer un compte d'ordinateur de machine virtuelle de stockage sur le domaine Active Directory.

Champ

Description

Votre valeur

-vserver

Nom de la machine virtuelle de stockage pour laquelle vous souhaitez créer un compte d'ordinateur Active Directory.

-account-name

Nom NetBIOS du compte ordinateur.

-domain

Le nom de domaine complet (FQDN).

-ou

Unité organisationnelle du domaine. La valeur par défaut est CN=Computers. ONTAP ajoute cette valeur au nom de domaine pour produire le nom distinctif d'Active Directory.

Configurez l'accès aux serveurs LDAP ou NIS

Vous fournissez ces valeurs avec le vserver services name-service ldap client create Lorsque vous créez une configuration client LDAP pour la VM de stockage.

Seules les options pertinentes pour la configuration des comptes sont affichées dans le tableau suivant :

Champ

Description

Votre valeur

-vserver

Nom de la VM de stockage pour la configuration client.

-client-config

Nom de la configuration client.

-ldap-servers

Liste séparée par des virgules d'adresses IP et de noms d'hôte pour les serveurs LDAP auxquels le client se connecte.

-schema

Schéma utilisé par le client pour effectuer des requêtes LDAP.

-use-start-tls

Si le client utilise Start TLS pour chiffrer la communication avec le serveur LDAP (true ou false).

Remarque

Le protocole Start TLS est pris en charge uniquement pour l'accès aux machines virtuelles de stockage de données. Elle n'est pas prise en charge pour l'accès aux machines virtuelles de stockage d'administration.

Vous fournissez ces valeurs avec le vserver services name-service ldap create Lorsque vous associez une configuration client LDAP à la machine virtuelle de stockage.

Champ

Description

Votre valeur

-vserver

Nom de la machine virtuelle de stockage à laquelle la configuration client doit être associée.

-client-config

Nom de la configuration client.

-client-enabled

Indique si la VM de stockage peut utiliser la configuration client LDAP (true ou false).

Vous fournissez ces valeurs avec le vserver services name-service nis-domain create Lorsque vous créez une configuration de domaine NIS sur une machine virtuelle de stockage.

Champ

Description

Votre valeur

-vserver

Nom de la machine virtuelle de stockage sur laquelle la configuration de domaine doit être créée.

-domain

Le nom du domaine.

-servers

ONTAP 9.0, 9.1 : liste séparée par des virgules d'adresses IP pour les serveurs NIS utilisés par la configuration de domaine.

-nis-servers

Liste séparée par des virgules d'adresses IP et de noms d'hôte pour les serveurs NIS utilisés par la configuration de domaine.

Vous fournissez ces valeurs avec le vserver services name-service ns-switch create commande lorsque vous spécifiez l'ordre de recherche des sources de service de noms.

Champ

Description

Votre valeur

-vserver

Nom de la machine virtuelle de stockage sur laquelle l'ordre de recherche de service de noms doit être configuré.

-database

La base de données du service de noms :

  • hosts Pour les services de noms DNS et de fichiers

  • group Pour les fichiers, LDAP et services de noms NIS

  • passwd Pour les fichiers, LDAP et services de noms NIS

  • netgroup Pour les fichiers, LDAP et services de noms NIS

  • namemap Pour les fichiers et les services de noms LDAP

-sources

Ordre dans lequel rechercher les sources de service de noms (dans une liste séparée par des virgules) :

  • files

  • dns

  • ldap

  • nis

Configurez l'accès SAML

À partir de ONTAP 9.3, vous fournissez ces valeurs à security saml-sp create Commande pour configurer l'authentification SAML.

Champ

Description

Votre valeur

-idp-uri

Adresse FTP ou adresse HTTP de l'hôte IDP (Identity Provider) à partir duquel les métadonnées IDP peuvent être téléchargées.

-sp-host

Nom d'hôte ou adresse IP de l'hôte SAML Service Provider (système ONTAP). Par défaut, l'adresse IP de la LIF de cluster-management est utilisée.

-cert-ca et -cert-serial, ou -cert-common-name

Détails du certificat de serveur de l'hôte du fournisseur de services (système ONTAP). Vous pouvez saisir soit le certificat du fournisseur de services émettant l'autorité de certification (CA) et le numéro de série du certificat, soit le nom commun du certificat de serveur.

-verify-metadata-server

Indique si l'identité du serveur de métadonnées IDP doit être validée true ou false). Il est recommandé de toujours définir cette valeur sur true.