Rôles, applications et authentification
Suggérer des modifications
PDF
ONTAP offre aux entreprises soucieuses de leur sécurité la possibilité de fournir un accès granulaire à différents administrateurs via différentes applications et méthodes de connexion. Les clients peuvent ainsi créer un modèle zéro confiance centré sur les données.
Il s'agit des rôles disponibles pour les administrateurs admin et Storage Virtual machine. Les méthodes d'application de connexion et les méthodes d'authentification de connexion sont spécifiées.
Rôles
Grâce au contrôle d'accès basé sur des rôles (RBAC), les utilisateurs n'ont accès qu'aux systèmes et aux options requis pour leurs rôles et fonctions. La solution RBAC d'ONTAP limite l'accès administratif des utilisateurs au niveau correspondant à leur rôle, ce qui permet aux administrateurs de gérer les utilisateurs par rôle attribué. ONTAP fournit plusieurs rôles prédéfinis. Les opérateurs et les administrateurs peuvent créer, modifier ou supprimer des rôles de contrôle d'accès personnalisés et peuvent spécifier des restrictions de compte pour des rôles spécifiques.
Rôles prédéfinis pour les administrateurs du cluster
Ce rôle… |
Dispose de ce niveau d'accès… |
Aux commandes ou répertoires de commandes suivants |
|
Tout |
Tous les répertoires de commandes ( |
|
Lecture/écriture |
|
Lecture seule |
|
Aucune |
|
|
Tout |
|
Aucune |
Tous les autres répertoires de commandes ( |
|
Tout |
|
Lecture seule |
|
Aucune |
Tous les autres répertoires de commandes ( |
|
Tout |
|
Aucune |
|
Lecture seule |
Tous les autres répertoires de commandes ( |
|
|
Le autosupport le rôle est affecté au prédéfini autosupport Compte, utilisé par AutoSupport OnDemand. ONTAP vous empêche de modifier ou de supprimer le autosupport compte. ONTAP vous empêche également d'attribuer le autosupport rôle vers d'autres comptes utilisateur.
|
Rôles prédéfinis pour les administrateurs des machines virtuelles de stockage (SVM)
Nom du rôle |
Capacités |
|
|
|
|
|
|
|
|
|
|
|
|
Méthodes d'application
La méthode d'application spécifie le type d'accès de la méthode de connexion. Les valeurs possibles incluent console, http, ontapi, rsh, snmp, service-processor, ssh, et telnet.
La définition de ce paramètre sur accorde à service-processor l'utilisateur l'accès au processeur de service. Lorsque ce paramètre est défini sur service-processor, le -authentication-method paramètre doit être défini sur password car le processeur de service prend uniquement en charge password l'authentification. Les comptes utilisateurs SVM ne peuvent pas accéder au processeur de service. Par conséquent, les opérateurs et les administrateurs ne peuvent pas utiliser le -vserver paramètre lorsque ce paramètre est défini sur service-processor.
Pour restreindre davantage l'accès à l' service-processor , utilisez la commande system service-processor ssh add-allowed-addresses. La commande system service-processor api-service peut être utilisée pour mettre à jour les configurations et les certificats.
Pour des raisons de sécurité, Telnet et le shell distant (RSH) sont désactivés par défaut car NetApp recommande le shell sécurisé (SSH) pour un accès distant sécurisé. S'il existe une exigence ou un besoin unique de Telnet ou RSH, ils doivent être activés.
La security protocol modify commande modifie la configuration existante de RSH et Telnet au niveau du cluster. Activez RSH et Telnet dans le cluster en définissant le champ activé sur true.
Méthodes d'authentification
Le paramètre de méthode d'authentification spécifie la méthode d'authentification utilisée pour les connexions.
| METHODE d'authentification | Description |
|---|---|
|
Authentification par certificat SSL |
|
Chaînes de communauté SNMP |
|
Authentification Active Directory |
|
Authentification LDAP ou NIS |
|
Mot de passe |
|
Authentification par clé publique |
|
Modèle de sécurité utilisateur SNMP |
|
|
L'utilisation de NIS n'est pas recommandée en raison des faiblesses de sécurité du protocole. |
À partir de la version ONTAP 9.3, une authentification à deux facteurs est disponible en chaîne pour les comptes SSH locaux admin à l'aide des publickey deux méthodes d'authentification et password . En plus du -authentication-method champ de la security login commande, un nouveau champ nommé -second-authentication-method a été ajouté. publickey`Ou `password peut être spécifié en tant que -authentication-method ou -second-authentication-method. Cependant, lors de l'authentification SSH, l'ordre est toujours publickey avec une authentification partielle, suivie de l'invite de mot de passe pour une authentification complète.
[user@host01 ~]$ ssh ontap.netapp.local Authenticated with partial success. Password: cluster1::>
À partir de ONTAP 9.4, nsswitch peut être utilisé comme deuxième méthode d'authentification avec publickey.
A partir de ONTAP 9.12.1, FIDO2 peut également être utilisé pour l'authentification SSH à l'aide d'un dispositif d'authentification matérielle YubiKey ou d'autres appareils compatibles FIDO2.
À partir de ONTAP 9.13.1 :
-
domainles comptes peuvent être utilisés comme deuxième méthode d'authentification avecpublickey. -
Mot de passe à usage unique basé sur l'heure (
totp) est un code d'accès temporaire généré par un algorithme qui utilise l'heure actuelle comme l'un de ses facteurs d'authentification pour la deuxième méthode d'authentification. -
La révocation des clés publiques est prise en charge avec les clés publiques SSH ainsi que les certificats qui seront vérifiés pour leur expiration/révocation au cours de SSH.
Pour plus d'informations sur l'authentification multifacteur (MFA) pour ONTAP System Manager, Active IQ Unified Manager et SSH, consultez la section "Tr-4647 : authentification multifacteur dans ONTAP 9".