Créez des clés d'authentification dans ONTAP 9.6 et versions ultérieures
Suggérer des modifications
PDF
Vous pouvez utiliser le security key-manager key create Commande permettant de créer les clés d'authentification d'un nœud et de les stocker sur les serveurs KMIP configurés.
Si votre configuration de sécurité exige que vous utilisiez des clés différentes pour l'authentification des données et l'authentification FIPS 140-2, vous devez créer une clé distincte pour chacune d'elles. Si ce n'est pas le cas, vous pouvez utiliser la même clé d'authentification pour la conformité FIPS que pour l'accès aux données.
ONTAP crée des clés d'authentification pour tous les nœuds du cluster.
-
Cette commande n'est pas prise en charge lorsque le gestionnaire de clés intégré est activé. Toutefois, deux clés d'authentification sont créées automatiquement lorsque le gestionnaire de clés intégré est activé. Les clés peuvent être affichées à l'aide de la commande suivante :
security key-manager key query -key-type NSE-AK
-
Vous recevez un avertissement si les serveurs de gestion des clés configurés stockent déjà plus de 128 clés d'authentification.
-
Vous pouvez utiliser
security key-manager key deletela commande pour supprimer toutes les clés inutilisées. Lasecurity key-manager key deletecommande échoue si la clé indiquée est actuellement utilisée par ONTAP. (Privileges doit être supérieur àadminpour utiliser cette commande.)
Dans un environnement MetroCluster, avant de supprimer une clé, veillez à ce que cette clé ne soit pas utilisée sur le cluster partenaire. Vous pouvez utiliser les commandes suivantes sur le cluster partenaire pour vérifier que la clé n'est pas utilisée :
-
storage encryption disk show -data-key-id <key-id> -
storage encryption disk show -fips-key-id <key-id>
-
Vous devez être un administrateur de cluster pour effectuer cette tâche.
-
Créer les clés d'authentification pour les nœuds du cluster :
security key-manager key create -key-tag <passphrase_label> -prompt-for-key true|false
Si ce paramètre est défini
prompt-for-key=true, le système invite l'administrateur du cluster à indiquer la phrase de passe à utiliser lors de l'authentification des disques cryptés. Dans le cas contraire, le système génère automatiquement une phrase de passe de 32 octets.security key-manager key create`La commande remplace `security key-manager create-keyla commande. Pour en savoir plus,security key-manager key createconsultez le "Référence de commande ONTAP".L'exemple suivant crée les clés d'authentification pour
cluster1, génération automatique d'une phrase de passe de 32 octets :cluster1::> security key-manager key create Key ID: <id_value>
-
Vérifiez que les clés d'authentification ont été créées :
security key-manager key query -node node
`security key-manager key query`La commande remplace `security key-manager query key` la commande.
L'ID de clé affiché dans la sortie est un identificateur utilisé pour faire référence à la clé d'authentification. Ce n'est pas la clé d'authentification ou la clé de chiffrement des données.
L'exemple suivant vérifie que les clés d'authentification ont été créées pour
cluster1:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: external Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: <id_value> node1 NSE-AK yes Key ID: <id_value> Vserver: cluster1 Key Manager: external Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node2 NSE-AK yes Key ID: <id_value> node2 NSE-AK yes Key ID: <id_value>Pour en savoir plus,
security key-manager key queryconsultez le "Référence de commande ONTAP".