Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Élévation des privilèges d'accès JIT dans ONTAP

Contributeurs netapp-bhouser
PDF

À partir d' ONTAP 9.17.1, les administrateurs de cluster peuvent "configurer l'élévation des privilèges juste-à-temps (JIT)" Pour permettre aux utilisateurs ONTAP d'élever temporairement leurs privilèges afin d'effectuer certaines tâches. Lorsque JIT est configuré pour un utilisateur, celui-ci peut temporairement élever ses privilèges à un rôle disposant des autorisations nécessaires pour effectuer une tâche. Après l'expiration de la session, l'utilisateur retrouve son niveau d'accès initial.

Les administrateurs de cluster peuvent configurer la durée d'accès d'un utilisateur à l'élévation JIT. Par exemple, ils peuvent configurer l'accès utilisateur à l'élévation JIT avec une limite de 30 minutes par session (période de validité de session) pendant une période de 30 jours (période de validité JIT). Pendant cette période, l'utilisateur peut élever ses privilèges autant de fois que nécessaire, mais chaque session est limitée à 30 minutes.

Description de la tâche

  • L'élévation des privilèges JIT est réservée aux utilisateurs accédant à ONTAP via SSH. L'élévation des privilèges n'est disponible que dans la session SSH en cours, mais vous pouvez élever les privilèges dans autant de sessions SSH simultanées que nécessaire.

  • L'élévation des privilèges JIT n'est prise en charge que pour les utilisateurs utilisant un mot de passe, un commutateur NSSwitch ou une authentification de domaine pour se connecter. L'authentification multifacteur (MFA) n'est pas prise en charge pour l'élévation des privilèges JIT.

  • La session JIT d'un utilisateur sera terminée si la session configurée ou la période de validité JIT expire, ou si un administrateur de cluster révoque l'accès JIT pour l'utilisateur.

Avant de commencer

  • Pour accéder à l'élévation des privilèges JIT, un administrateur de cluster doit configurer l'accès JIT pour votre compte. Il détermine le rôle auquel vous pouvez élever vos privilèges et la durée pendant laquelle vous pouvez y accéder.

Étapes

  1. Élevez temporairement vos privilèges au rôle configuré :

    security jit-privilege elevate

    Après avoir saisi cette commande, vous êtes invité à saisir votre mot de passe de connexion. Si l'accès JIT est configuré pour votre compte, vous bénéficierez d'un accès élevé pour la durée de session configurée. Une fois la session expirée, vous retrouverez votre niveau d'accès initial. Vous pouvez élever vos privilèges autant de fois que nécessaire pendant la période de validité JIT configurée.

  2. Afficher le temps restant dans votre session JIT :

    security jit-privilege show-remaining-time

    Si vous êtes actuellement dans une session JIT, cette commande affiche le temps restant.

  3. Si nécessaire, terminez votre session JIT plus tôt que prévu :

    security jit-privilege reset

    Si vous êtes actuellement dans une session JIT, cette commande met fin à la session JIT et restaure votre niveau d'accès d'origine.