Demander l'exécution d'opérations protégées
Lorsque vous lancez une opération ou une commande protégée sur un cluster activé pour la vérification multi-administrateur (MAV), ONTAP intercepte automatiquement l'opération et demande de générer une requête qui doit être approuvée par un ou plusieurs administrateurs d'un groupe d'approbation MAV (administrateurs MAV). Vous pouvez également créer une requête MAV sans la boîte de dialogue.
Si elle est approuvée, vous devez alors répondre à la requête pour terminer l'opération dans le délai d'expiration de la requête. Si vous vous êtes opposé ou si les périodes de demande ou d'expiration sont dépassées, vous devez supprimer la demande et la renvoyer.
La fonctionnalité MAV permet de définir les paramètres RBAC existants. C'est-à-dire que votre rôle d'administrateur doit disposer de privilèges suffisants pour exécuter une opération protégée sans tenir compte des paramètres MAV. "En savoir plus sur le RBAC".
Si vous êtes administrateur MAV, vos demandes d'exécution d'opérations protégées doivent également être approuvées par un administrateur MAV.
Procédure de System Manager
Lorsqu'un utilisateur clique sur un élément de menu pour lancer une opération et que l'opération est protégée, une demande d'approbation est générée et l'utilisateur reçoit une notification semblable à ce qui suit :
Approval request to delete the volume was sent. Track the request ID 356 from Events & Jobs > Multi-Admin Requests.
La fenêtre Multi-Admin Requests est disponible lorsque MAV est activé, affichant les demandes en attente basées sur l'ID de connexion et le rôle MAV de l'utilisateur (approbateur ou non). Pour chaque demande en attente, les champs suivants sont affichés :
-
Fonctionnement
-
Index (nombre)
-
État (en attente, approuvé, rejeté, exécuté ou expiré)
Si une demande est rejetée par un approbateur, aucune autre action n'est possible.
-
Requête (tous les paramètres ou valeurs de l'opération demandée)
-
Utilisateur demandeur
-
La demande expire le
-
(Nombre de) approbateurs en attente
-
(Nombre de) approbateurs potentiels
Lorsque la demande est approuvée, l'utilisateur demandeur peut relancer l'opération dans la période d'expiration.
Si l'utilisateur tente de nouveau l'opération sans approbation, une notification s'affiche comme suit :
Request to perform delete operation is pending approval. Retry the operation after request is approved.
Procédure CLI
-
Entrez directement l'opération protégée ou à l'aide de la commande MAV request.
Exemples – pour supprimer un volume, entrez l'une des commandes suivantes :
-
volume delete
cluster-1::*> volume delete -volume vol1 -vserver vs0 Warning: This operation requires multi-admin verification. To create a verification request use "security multi-admin-verify request create". Would you like to create a request for this operation? {y|n}: y Error: command failed: The security multi-admin-verify request (index 3) is auto-generated and requires approval.
-
security multi-admin-verify request create “volume delete”
Error: command failed: The security multi-admin-verify request (index 3) requires approval.
-
-
Vérifier l'état de la demande et répondre à l'avis MAV.
-
Si la requête est approuvée, répondez au message de l'interface de ligne de commande pour terminer l'opération.
Exemple:
cluster-1::> security multi-admin-verify request show 3 Request Index: 3 Operation: volume delete Query: -vserver vs0 -volume vol1 State: approved Required Approvers: 1 Pending Approvers: 0 Approval Expiry: 2/25/2022 14:32:03 Execution Expiry: 2/25/2022 14:35:36 Approvals: admin2 User Vetoed: - Vserver: cluster-1 User Requested: admin Time Created: 2/25/2022 13:32:03 Time Approved: 2/25/2022 13:35:36 Comment: - Users Permitted: - cluster-1::*> volume delete -volume vol1 -vserver vs0 Info: Volume "vol1" in Vserver "vs0" will be marked as deleted and placed in the volume recovery queue. The space used by the volume will be recovered only after the retention period of 12 hours has completed. To recover the space immediately, get the volume name using (privilege:advanced) "volume recovery-queue show vol1_*" and then "volume recovery-queue purge -vserver vs0 -volume <volume_name>" command. To recover the volume use the (privilege:advanced) "volume recovery-queue recover -vserver vs0 -volume <volume_name>" command. Warning: Are you sure you want to delete volume "vol1" in Vserver "vs0" ? {y|n}: y
-
Si la demande est voetotée ou si la période d'expiration est passée, supprimez la demande et relancez ou contactez l'administrateur MAV.
Exemple:
cluster-1::> security multi-admin-verify request show 3 Request Index: 3 Operation: volume delete Query: -vserver vs0 -volume vol1 State: vetoed Required Approvers: 1 Pending Approvers: 1 Approval Expiry: 2/25/2022 14:38:47 Execution Expiry: - Approvals: - User Vetoed: admin2 Vserver: cluster-1 User Requested: admin Time Created: 2/25/2022 13:38:47 Time Approved: - Comment: - Users Permitted: - cluster-1::*> volume delete -volume vol1 -vserver vs0 Error: command failed: The security multi-admin-verify request (index 3) hasbeen vetoed. You must delete it and create a new verification request. To delete, run "security multi-admin-verify request delete 3".
-