Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Accéder au cluster via SSH

Contributeurs

Vous pouvez émettre des requêtes SSH au cluster pour effectuer des tâches d'administration. SSH est activé par défaut.

Ce dont vous avez besoin
  • Vous devez disposer d'un compte utilisateur configuré pour l'utilisation ssh comme méthode d'accès.

    Le -application paramètre du security login les commandes spécifie la méthode d'accès pour un compte utilisateur. Le security login "pages de manuel" contiennent des informations supplémentaires.

  • Si vous utilisez un compte d'utilisateur de domaine Active Directory (AD) pour accéder au cluster, un tunnel d'authentification pour le cluster doit avoir été configuré via une VM de stockage compatible CIFS et votre compte d'utilisateur de domaine AD doit également avoir été ajouté au cluster avec ssh comme méthode d'accès et domain comme méthode d'authentification.

  • Si vous utilisez des connexions IPv6, vous devez déjà configurer et activer IPv6 sur le cluster, et les politiques de pare-feu doivent déjà être configurées avec des adresses IPv6.

    Le network options ipv6 show La commande indique si le protocole IPv6 est activé. Le system services firewall policy show la commande affiche les politiques de pare-feu.

Description de la tâche
  • Vous devez utiliser un client OpenSSH 5.7 ou version ultérieure.

  • Seul le protocole SSH v2 est pris en charge ; SSH v1 n'est pas pris en charge.

  • ONTAP prend en charge un maximum de 64 sessions SSH simultanées par nœud.

    Si la LIF de cluster management réside sur le nœud, il partage cette limite avec la LIF de node management.

    Si le taux de connexions entrantes est supérieur à 10 par seconde, le service est temporairement désactivé pendant 60 secondes.

  • ONTAP ne prend en charge que les algorithmes de cryptage AES et 3DES (également appelés chiffrements) pour SSH.

    AES est pris en charge avec des clés de 128, 192 et 256 bits. 3DES a une longueur clé de 56 bits comme dans les DES d'origine, mais elle est répétée trois fois.

  • Lorsque le mode FIPS est activé, les clients SSH doivent négocier avec les algorithmes de clé publique ECDSA (Elliptic Curve Digital Signature Algorithm) pour que la connexion soit réussie.

  • Pour accéder à l'interface de ligne de commandes de ONTAP à partir d'un hôte Windows, vous pouvez faire appel à un utilitaire tiers tel que PuTTY.

  • Si vous utilisez un nom d'utilisateur Windows AD pour vous connecter à ONTAP, vous devez utiliser les mêmes lettres majuscules ou minuscules que celles qui ont été utilisées lorsque le nom d'utilisateur AD et le nom de domaine ont été créés dans ONTAP.

    Les noms d'utilisateur ET de domaine AD ne sont pas sensibles à la casse. Toutefois, les noms d'utilisateur ONTAP sont sensibles à la casse. La non-concordance de cas entre le nom d'utilisateur créé dans ONTAP et le nom d'utilisateur créé dans AD entraîne un échec de connexion.

Options d'authentification SSH
  • À partir de ONTAP 9.3, vous pouvez "Activez l'authentification multifacteur SSH" pour les comptes d'administrateur local.

    Lorsque l'authentification multifacteur SSH est activée, les utilisateurs sont authentifiés à l'aide d'une clé publique et d'un mot de passe.

  • À partir de ONTAP 9.4, vous pouvez "Activez l'authentification multifacteur SSH" Pour les utilisateurs distants LDAP et NIS.

  • À partir de ONTAP 9.13.1, vous pouvez éventuellement ajouter la validation du certificat au processus d'authentification SSH afin d'améliorer la sécurité de la connexion. Pour ce faire, "Associer un certificat X.509 à la clé publique" qu'un compte utilise. Si vous vous connectez à l'aide de SSH avec une clé publique SSH et un certificat X.509, ONTAP vérifie la validité du certificat X.509 avant de vous authentifier à l'aide de la clé publique SSH. La connexion SSH est refusée si le certificat a expiré ou a été révoqué et si la clé publique SSH est automatiquement désactivée.

  • À partir de ONTAP 9.14.1, vous pouvez éventuellement ajouter l'authentification à deux facteurs Cisco Duo au processus d'authentification SSH pour améliorer la sécurité de la connexion. Lors de la première connexion après avoir activé l'authentification Cisco Duo, les utilisateurs doivent inscrire un périphérique pour qu'il serve d'authentificateur pour les sessions SSH. Reportez-vous à la section "Configurez Cisco Duo 2FA pour les connexions SSH" Pour plus d'informations sur la configuration de l'authentification SSH Cisco Duo pour ONTAP.

Étapes
  1. À partir d'un hôte d'administration, entrez le ssh commande dans l'un des formats suivants :

    • ssh username@hostname_or_IP [command]

    • ssh -l username hostname_or_IP [command]

Si vous utilisez un compte utilisateur de domaine AD, vous devez le préciser username au format de domainname\\AD_accountname (avec doubles barres obliques inverses après le nom de domaine) ou "domainname\AD_accountname" (entre guillemets doubles et avec une barre oblique inverse unique après le nom de domaine).

hostname_or_IP Est le nom d'hôte ou l'adresse IP de la LIF de cluster management ou une LIF de node management. Il est recommandé d'utiliser la LIF de cluster management. Vous pouvez utiliser une adresse IPv4 ou IPv6.

command N'est pas requis pour les sessions interactives SSH.

Exemples de requêtes SSH

Les exemples suivants montrent comment le compte utilisateur nommé « joe » peut émettre une demande SSH pour accéder à un cluster dont la LIF de gestion du cluster est 10.72.137.28 :

$ ssh joe@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

Les exemples suivants montrent comment le compte utilisateur nommé « john » du domaine nommé « `DOMAIN1' » peut émettre une requête SSH pour accéder à un cluster dont la LIF de gestion de cluster est 10.72.137.28 :

$ ssh DOMAIN1\\john@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

L'exemple suivant montre comment le compte utilisateur nommé « joe » peut émettre une demande SSH MFA pour accéder à un cluster dont la LIF de gestion du cluster est de 10.72.137.32 :

$ ssh joe@10.72.137.32
Authenticated with partial success.
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.