Configuration post-installation
Suggérer des modifications
PDF
Une fois le service ONTAP Mediator installé et en cours d'exécution, des tâches de configuration supplémentaires doivent être effectuées dans le système de stockage ONTAP pour utiliser les fonctions du Mediator :
-
Pour utiliser le service médiateur ONTAP dans une configuration IP MetroCluster, reportez-vous à la section "Configuration du service médiateur ONTAP à partir d'une configuration IP MetroCluster".
-
Pour utiliser la synchronisation active SnapMirror, reportez-vous à la section "Installez le service médiateur ONTAP et confirmez la configuration du cluster ONTAP".
Configurer les stratégies de sécurité du médiateur ONTAP
Le serveur ONTAP Mediator prend en charge plusieurs paramètres de sécurité configurables. Les valeurs par défaut de tous les paramètres sont fournies dans un low_space_threshold_mib: 10 fichier en lecture seule :
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml
Toutes les valeurs placées dans le ontap_mediator.user_config.yaml Remplace les valeurs par défaut et sera conservé dans toutes les mises à niveau du Mediator ONTAP.
Après modification ontap_mediator.user_config.yaml, Redémarrez le service ONTAP Mediator :
systemctl restart ontap_mediator
Modifier les attributs du médiateur ONTAP
Les attributs du médiateur ONTAP décrits dans cette section peuvent être modifiés si nécessaire.
|
Les autres valeurs par défaut du ontap_mediator.config.yaml ne doivent pas être modifiées car les valeurs modifiées ne sont pas conservées pendant les mises à niveau du médiateur ONTAP.
|
Vous modifiez les attributs du médiateur ONTAP en copiant les variables requises dans le ontap_mediator.user_config.yaml fichier pour remplacer les paramètres par défaut.
Installez des certificats SSL tiers
Si vous devez remplacer les certificats auto-signés par défaut par des certificats SSL tiers, modifiez certains attributs dans les fichiers suivants :
-
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml -
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
Les variables de ces fichiers sont utilisées pour contrôler les fichiers de certificat utilisés par le service ONTAP Mediator.
Les variables par défaut répertoriées dans le tableau suivant sont incluses dans le /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml fichier.
| Variable | Chemin |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
cert_valid_daysest utilisé pour définir l'expiration des certificats client. La valeur maximale est de trois ans (1095 jours). -
x509_passin_pwdest la phrase de passe du certificat client signé.
Les variables par défaut répertoriées dans le tableau suivant sont incluses dans le /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini fichier.
| Variable | Chemin |
|---|---|
|
|
|
|
|
|
Si vous modifiez ces attributs, redémarrez le service ONTAP Mediator pour appliquer les modifications. Pour obtenir des instructions détaillées sur le remplacement des certificats par défaut par des certificats tiers, reportez-vous "Remplacez les certificats auto-signés par des certificats tiers approuvés"à la section .
Protection contre les attaques par mot de passe
Les paramètres suivants offrent une protection contre les attaques par tâtonnements de mots de passe par force brute.
Pour activer la fonction, définissez une valeur pour window_seconds le et le retry_limit.
Exemples :
-
Fournissez une fenêtre de 5 minutes pour les hypothèses, puis réinitialisez le compte à zéro échec :
authentication_lock_window_seconds: 300 -
Verrouiller le compte si cinq défaillances se produisent dans la période de la fenêtre :
authentication_retry_limit: 5 -
Réduisez l'impact des attaques par tâtonnements de mots de passe par force brute en définissant un délai qui se produit avant le rejet de chaque tentative, ce qui ralentit les attaques.
authentication_failure_delay_seconds: 5authentication_failure_delay_seconds: 0 # seconds (float) to delay failed auth attempts prior to response, 0 = no delay authentication_lock_window_seconds: null # seconds (int) since the oldest failure before resetting the retry counter, null = no window authentication_retry_limit: null # number of retries to allow before locking API access, null = unlimited
Règles de complexité des mots de passe
Les champs suivants contrôlent les règles de complexité du mot de passe du compte utilisateur de l'API du médiateur ONTAP.
password_min_length: 8 password_max_length: 64 password_uppercase_chars: 0 # min. uppercase characters password_lowercase_chars: 1 # min. lowercase character password_special_chars: 1 # min. non-letter, non-digit password_nonletter_chars: 2 # min. non-letter characters (digits, specials, anything)
Contrôle de l'espace libre
Certains paramètres contrôlent l'espace libre requis sur le /opt/netapp/lib/ontap_mediator disque.
Si l'espace est inférieur au seuil défini, le service émet un avertissement.
low_space_threshold_mib: 10
Contrôle de l'espace journal de réserve
La RÉSERVE_LOG_SPACE est contrôlée par des paramètres spécifiques. Par défaut, l'installation du serveur ONTAP Mediator crée un espace disque distinct pour les journaux. Le programme d'installation crée un nouveau fichier de taille fixe avec un total de 700 Mo d'espace disque à utiliser explicitement pour la journalisation Mediator.
Pour désactiver cette fonction et utiliser l'espace disque par défaut, effectuez les opérations suivantes :
-
Modifiez la valeur de RESERVE_LOG_SPACE de 1 à 0 dans le fichier suivant :
/opt/netapp/lib/ontap_mediator/tools/mediator_env -
Redémarrez le Mediator :
-
cat /opt/netapp/lib/ontap_mediator/tools/mediator_env | grep "RESERVE_LOG_SPACE"RESERVE_LOG_SPACE=0
-
systemctl restart ontap_mediator
-
Pour réactiver la fonction, modifiez la valeur de 0 à 1 et redémarrez le Mediator.
|
|
Le basculement entre les espaces disque ne purge pas les journaux existants. Tous les journaux précédents sont sauvegardés puis déplacés vers l'espace disque actuel après avoir basculé et redémarré le Mediator. |