Skip to main content
ONTAP Select
È disponibile una versione più recente di questo prodotto.
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Proteggere una distribuzione ONTAP Select

PDF

Esistono diverse attività correlate che è possibile eseguire come parte della protezione di una distribuzione ONTAP Select .

Cambia la password dell'amministratore di Deploy

È possibile modificare la password per l'account amministratore della macchina virtuale Deploy in base alle proprie esigenze tramite l'interfaccia utente Web.

Passi

  1. Sign in all'interfaccia utente Web dell'utilità Deploy utilizzando l'account amministratore.

  2. Fare clic sull'icona della figura in alto a destra della pagina e selezionare Cambia password.

  3. Fornisci la password attuale e quella nuova quando richiesto e fai clic su Invia.

Aggiungi un account del server di gestione

È possibile aggiungere un account del server di gestione al database dell'archivio credenziali di distribuzione.

Prima di iniziare

È necessario avere familiarità con i tipi di credenziali e con il modo in cui vengono utilizzate da ONTAP Select Deploy.

Passi

  1. Sign in all'interfaccia utente Web dell'utilità Deploy utilizzando l'account amministratore.

  2. Fare clic sulla scheda Amministrazione nella parte superiore della pagina.

  3. Fare clic su Server di gestione e quindi su Aggiungi vCenter.

  4. Inserisci le seguenti informazioni e clicca su Aggiungi.

    In questo campo… Procedi come segue…

    Nome/Indirizzo IP

    Fornire il nome di dominio o l'indirizzo IP del server vCenter.

    Nome utente

    Immettere il nome utente dell'account per accedere a vCenter.

    Password

    Immettere la password per il nome utente associato.

  5. Dopo aver aggiunto il nuovo server di gestione, è possibile fare clic facoltativamente su Opzioni e seleziona una delle seguenti opzioni:

    • Aggiorna le credenziali

    • Verifica le credenziali

    • Rimuovi server di gestione

Configurare MFA

A partire da ONTAP Select 9.13.1, l'autenticazione a più fattori (MFA) è supportata per l'account amministratore ONTAP Select Deploy:

ONTAP Select Distribuisci accesso CLI MFA utilizzando l'autenticazione YubiKey PIV o FIDO2

YubiKey PIV

Configurare il PIN YubiKey e generare o importare la chiave privata e il certificato dell'agente di supporto remoto (RSA) o dell'algoritmo di firma digitale a curva ellittica (ECDSA) con i passaggi indicati in "TR-4647: Autenticazione multifattoriale in ONTAP" .

  • Per Windows: la sezione Configurazione del client PIV YubiKey per Windows del rapporto tecnico.

  • Per MacOS: la sezione Configurazione del client PIV YubiKey per MAC OS e Linux del rapporto tecnico.

FIDO2

Se si sceglie di optare per l'autenticazione FIDO2 YubiKey, configurare il PIN FIDO2 YubiKey utilizzando YubiKey Manager e generare la chiave FIDO2 con una PuTTY-CAC (Common Access Card) per Windows o ssh-keygen per macOS. I passaggi per farlo sono riportati nel rapporto tecnico. "TR-4647: Autenticazione multifattoriale in ONTAP" .

  • Per Windows: la sezione Configurazione del client YubiKey FIDO2 per Windows del rapporto tecnico.

  • Per MacOS: la sezione Configurazione del client FIDO2 YubiKey per Mac OS e Linux del rapporto tecnico.

Ottieni la chiave pubblica YubiKey PIV o FIDO2

L'ottenimento della chiave pubblica dipende dal fatto che si utilizzi un client Windows o MacOS e se si utilizza PIV o FIDO2.

Per Windows:

  • Esportare la chiave pubblica PIV utilizzando la funzione Copia negli Appunti in SSH → Certificato come descritto nella sezione Configurazione del client SSH Windows PuTTY-CAC per l'autenticazione PIV YubiKey a pagina 16 di TR-4647.

  • Esportare la chiave pubblica FIDO2 utilizzando la funzione Copia negli Appunti in SSH → Certificato come descritto nella sezione Configurazione del client SSH Windows PuTTY-CAC per l'autenticazione FIDO2 YubiKey a pagina 30 di TR-4647.

Per MacOS:

  • La chiave pubblica PIV deve essere esportata utilizzando ssh-keygen -e comando come descritto nella sezione Configurare il client SSH Mac OS o Linux per l'autenticazione YubiKey PIV a pagina 24 di TR-4647.

  • La chiave pubblica FIDO2 è nel id_ecdsa_sk.pub file o id_edd519_sk.pub file, a seconda che si utilizzi ECDSA o EDD519, come descritto nella sezione Configurare il client SSH MAC OS o Linux per l'autenticazione YubiKey FIDO2 a pagina 39 di TR-4647.

Configurare la chiave pubblica in ONTAP Select Distribuisci

SSH viene utilizzato dall'account amministratore per il metodo di autenticazione a chiave pubblica. Il comando utilizzato è lo stesso, indipendentemente dal metodo di autenticazione: SSH standard, PIV YubiKey o FIDO2.

Per SSH MFA basato su hardware, i fattori di autenticazione oltre alla chiave pubblica configurata su ONTAP Select Deploy sono i seguenti:

  • Il PIN PIV o FIDO2

  • Possesso del dispositivo hardware YubiKey. Per FIDO2, la conferma avviene toccando fisicamente la YubiKey durante il processo di autenticazione.

Prima di iniziare

Imposta la chiave pubblica PIV o FIDO2 configurata per YubiKey. Comando ONTAP Select Deploy CLI security publickey add -key è lo stesso per PIV o FIDO2 e la stringa della chiave pubblica è diversa.

La chiave pubblica si ottiene da:

  • La funzione Copia negli appunti per PuTTY-CAC per PIV e FIDO2 (Windows)

  • Esportazione della chiave pubblica in un formato compatibile con SSH utilizzando ssh-keygen -e comando per PIV

  • Il file della chiave pubblica si trova in ~/.ssh/id_***_sk.pub file per FIDO2 (MacOS)

Passi

  1. Trova la chiave generata nel .ssh/id_***.pub file.

  2. Aggiungere la chiave generata a ONTAP Select Distribuisci utilizzando security publickey add -key <key> comando.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Abilita l'autenticazione MFA con security multifactor authentication enable comando.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

Accedi a ONTAP Select Distribuisci utilizzando l'autenticazione PIV YubiKey su SSH

È possibile accedere a ONTAP Select Deploy utilizzando l'autenticazione YubiKey PIV tramite SSH.

Passi

  1. Dopo aver configurato il token YubiKey, il client SSH e ONTAP Select Deploy, è possibile utilizzare l'autenticazione MFA YubiKey PIV tramite SSH.

  2. Accedi a ONTAP Select Distribuisci. Se utilizzi il client SSH Windows PuTTY-CAC, verrà visualizzata una finestra di dialogo che ti chiederà di inserire il PIN YubiKey.

  3. Accedi dal tuo dispositivo con la YubiKey connessa.

Esempio di output
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

ONTAP Select Distribuisci accesso MFA CLI tramite ssh-keygen

IL ssh-keygen Il comando è uno strumento per creare nuove coppie di chiavi di autenticazione per SSH. Le coppie di chiavi vengono utilizzate per automatizzare gli accessi, il Single Sign-On e per l'autenticazione degli host.

IL ssh-keygen Il comando supporta diversi algoritmi a chiave pubblica per le chiavi di autenticazione.

  • L'algoritmo viene selezionato con il -t opzione

  • La dimensione della chiave viene selezionata con -b opzione

Esempio di output
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
Passi

  1. Trova la chiave generata nel .ssh/id_***.pub file.

  2. Aggiungere la chiave generata a ONTAP Select Distribuisci utilizzando security publickey add -key <key> comando.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Abilita l'autenticazione MFA con security multifactor authentication enable comando.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

  4. Dopo aver abilitato l'MFA, accedi al sistema ONTAP Select Deploy. Dovresti ricevere un output simile al seguente esempio.

    [<user ID> ~]$ ssh <admin>
Authenticated with partial success.
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

Passare dall'autenticazione MFA all'autenticazione a fattore singolo

È possibile disattivare MFA per l'account amministratore di Deploy utilizzando i seguenti metodi:

  • Se è possibile accedere alla Deploy CLI come amministratore tramite Secure Shell (SSH), disabilitare MFA eseguendo il comando security multifactor authentication disable comando dalla Deploy CLI.

    (ONTAPdeploy) security multifactor authentication disable
MFA disabled Successfully

  • Se non riesci ad accedere a Deploy CLI come amministratore tramite SSH:

    1. Connettersi alla console video della macchina virtuale (VM) Deploy tramite vCenter o vSphere.

    2. Accedi alla Deploy CLI utilizzando l'account amministratore.

    3. Esegui il security multifactor authentication disable comando.

      Debian GNU/Linux 11 <user ID> tty1

<hostname> login: admin
Password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy) security multifactor authentication disable
MFA disabled successfully

(ONTAPdeploy)

  • L'amministratore può eliminare la chiave pubblica con:
    security publickey delete -key