Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérer les groupes d'approbation des administrateurs

Contributeurs
PDF

Avant d'activer la vérification multi-administrateur (MAV), vous devez créer un groupe d'approbation administrateur contenant un ou plusieurs administrateurs à accorder ou à accorder une autorité d'approbation ou de veto. Une fois que vous avez activé la vérification multi-administrateur, toute modification de l'appartenance au groupe d'approbation nécessite l'approbation de l'un des administrateurs qualifiés existants.

Description de la tâche

Vous pouvez ajouter des administrateurs existants à un groupe MAV ou créer de nouveaux administrateurs.

La fonctionnalité MAV permet de définir les paramètres existants de contrôle d'accès basé sur des rôles (RBAC). Les administrateurs MAV potentiels doivent disposer de privilèges suffisants pour exécuter des opérations protégées avant d'être ajoutés aux groupes d'administrateurs MAV. "En savoir plus sur le RBAC."

Vous pouvez configurer MAV pour avertir les administrateurs MAV que les demandes d'approbation sont en attente. Pour ce faire, vous devez configurer les notifications par e-mail, en particulier, le Mail From et Mail Server paramètres—​ou vous pouvez effacer ces paramètres pour désactiver la notification. Sans alertes par e-mail, les administrateurs MAV doivent vérifier manuellement la file d'attente d'approbation.

Procédure de System Manager

Si vous souhaitez créer un groupe d'approbation MAV pour la première fois, reportez-vous à la procédure System Manager à "activation de la vérification multi-administrateurs"

Pour modifier un groupe d'approbation existant ou créer un groupe d'approbation supplémentaire :

  1. Identifiez les administrateurs pour qu'ils reçoivent une vérification multi-administrateur.

    1. Cliquez sur Cluster > Paramètres.

    2. Cliquez sur Icône de flèche en regard de utilisateurs et rôles.

    3. Cliquez Ajouter une icône sous utilisateurs.

    4. Modifiez la liste si nécessaire.

      Pour plus d'informations, voir "Contrôlez l'accès administrateur."

  2. Créer ou modifier le groupe d'approbation MAV :

    1. Cliquez sur Cluster > Paramètres.

    2. Cliquez sur Icône de flèche en regard de Multi-Admin Approval dans la section sécurité. (Vous verrez l' Icône actions icône si MAV n'est pas encore configuré.)

      • Nom : entrez un nom de groupe.

      • Approbateurs : sélectionnez des approbateurs dans une liste d'utilisateurs.

      • Adresse e-mail : saisissez une ou plusieurs adresses e-mail.

      • Groupe par défaut : sélectionnez un groupe.

Une approbation MAV est requise pour modifier une configuration existante une fois que MAV est activé.

Procédure CLI

  1. Vérifier que les valeurs ont été définies pour le Mail From et Mail Server paramètres. Entrez :

    event config show

    L'affichage doit être similaire à ce qui suit :

    cluster01::> event config show
                           Mail From:  admin@localhost
                         Mail Server:  localhost
                           Proxy URL:  -
                          Proxy User:  -
 Publish/Subscribe Messaging Enabled:  true

    Pour configurer ces paramètres, entrez :

    event config modify -mail-from email_address -mail-server server_name

  2. Identifiez les administrateurs pour qu'ils reçoivent une vérification multi-administrateur

    Si vous voulez… Saisissez cette commande

    Afficher les administrateurs actuels

    security login show

    Modifier les informations d'identification des administrateurs actuels

    security login modify <parameters>

    Créer de nouveaux comptes d'administrateur

    security login create -user-or-group-name admin_name -application ssh -authentication-method password

  3. Créer le groupe d'approbation MAV :

    security multi-admin-verify approval-group create [ -vserver svm_name] -name group_name -approvers approver1[,approver2…] [[-email address1], address1…​]

    • -vserver - Seul le SVM d'admin est pris en charge dans cette version.

    • -name - Le nom du groupe MAV, jusqu'à 64 caractères.

    • -approvers - La liste d'un ou plusieurs approbateurs.

    • -email - Une ou plusieurs adresses e-mail qui sont notifiées lors de la création, de l'approbation, du veto ou de l'exécution d'une demande.

      Exemple : la commande suivante crée un groupe MAV avec deux membres et des adresses e-mail associées.

    cluster-1::> security multi-admin-verify approval-group create -name mav-grp1 -approvers pavan,julia -email pavan@myfirm.com,julia@myfirm.com

  4. Vérifier la création et l'appartenance de groupe :

    security multi-admin-verify approval-group show

    Exemple:

    cluster-1::> security multi-admin-verify approval-group show
Vserver  Name        Approvers        Email
-------  ---------------- ------------------  ------------------------------------------------------------
svm-1    mav-grp1   pavan,julia      email pavan@myfirm.com,julia@myfirm.com

Utilisez ces commandes pour modifier votre configuration initiale du groupe MAV.

Remarque : tous exigent l'approbation de l'administrateur MAV avant l'exécution.

Si vous voulez… Saisissez cette commande

Modifier les caractéristiques du groupe ou modifier les informations du membre existant

security multi-admin-verify approval-group modify [parameters]

Ajouter ou supprimer des membres

security multi-admin-verify approval-group replace [-vserver svm_name] -name group_name [-approvers-to-add approver1[,approver2…]][-approvers-to-remove approver1[,approver2…]]

Supprimer un groupe

security multi-admin-verify approval-group delete [-vserver svm_name] -name group_name