Créez des clés d'authentification dans ONTAP 9.6 et versions ultérieures
Suggérer des modifications
PDF
Vous pouvez utiliser le security key-manager key create Commande permettant de créer les clés d'authentification d'un nœud et de les stocker sur les serveurs KMIP configurés.
Si votre configuration de sécurité exige que vous utilisiez des clés différentes pour l'authentification des données et l'authentification FIPS 140-2, vous devez créer une clé distincte pour chacune d'elles. Si ce n'est pas le cas, vous pouvez utiliser la même clé d'authentification pour la conformité FIPS que pour l'accès aux données.
ONTAP crée des clés d'authentification pour tous les nœuds du cluster.
-
Cette commande n'est pas prise en charge lorsque le gestionnaire de clés intégré est activé. Toutefois, deux clés d'authentification sont créées automatiquement lorsque le gestionnaire de clés intégré est activé. Les clés peuvent être affichées à l'aide de la commande suivante :
security key-manager key query -key-type NSE-AK -
Vous recevez un avertissement si les serveurs de gestion des clés configurés stockent déjà plus de 128 clés d'authentification.
-
Vous pouvez utiliser le
security key-manager key deletecommande permettant de supprimer les clés inutilisées. Lesecurity key-manager key deleteLa commande échoue si la clé donnée est actuellement utilisée par ONTAP. (Vous devez avoir des privilèges supérieurs à « admin » pour utiliser cette commande.)
Dans un environnement MetroCluster, avant de supprimer une clé, veillez à ce que cette clé ne soit pas utilisée sur le cluster partenaire. Vous pouvez utiliser les commandes suivantes sur le cluster partenaire pour vérifier que la clé n'est pas utilisée :
-
storage encryption disk show -data-key-id key-id -
storage encryption disk show -fips-key-id key-id
-
Vous devez être un administrateur de cluster pour effectuer cette tâche.
-
Créer les clés d'authentification pour les nœuds du cluster :
security key-manager key create -key-tag passphrase_label -prompt-for-key true|false
Réglage
prompt-for-key=trueprovoque l'invite de l'administrateur de cluster à utiliser la phrase secrète lors de l'authentification de disques cryptés. Dans le cas contraire, le système génère automatiquement une phrase de passe de 32 octets. Lesecurity key-manager key createla commande remplace lesecurity key-manager create-keycommande. Pour connaître la syntaxe complète de la commande, reportez-vous à la page man.L'exemple suivant crée les clés d'authentification pour
cluster1, génération automatique d'une phrase de passe de 32 octets :cluster1::> security key-manager key create Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000
-
Vérifiez que les clés d'authentification ont été créées :
security key-manager key query -node node
Le
security key-manager key queryla commande remplace lesecurity key-manager query keycommande. Pour connaître la syntaxe complète de la commande, reportez-vous à la page man. L'ID de clé affiché dans la sortie est un identificateur utilisé pour faire référence à la clé d'authentification. Ce n'est pas la clé d'authentification ou la clé de chiffrement des données.L'exemple suivant vérifie que les clés d'authentification ont été créées pour
cluster1:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: external Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node1 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000 Vserver: cluster1 Key Manager: external Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node2 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node2 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000