Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Fogli di lavoro per l'autenticazione dell'amministratore e la configurazione RBAC

Collaboratori
PDF

Prima di creare account di accesso e impostare RBAC (role-based access control), è necessario raccogliere informazioni per ciascun elemento nei fogli di lavoro di configurazione.

Creare o modificare gli account di accesso

Questi valori vengono forniti con security login create Comando quando abiliti gli account di accesso per accedere a una VM di storage. Vengono forniti gli stessi valori con security login modify Comando quando si modifica il modo in cui un account accede a una VM storage.

Campo

Descrizione

Il tuo valore

-vserver

Il nome della VM di storage a cui accede l'account. Il valore predefinito è il nome della VM storage di amministrazione per il cluster.

-user-or-group-name

Il nome utente o il nome del gruppo dell'account. Specificando un nome di gruppo, è possibile accedere a ciascun utente del gruppo. È possibile associare un nome utente o un nome di gruppo a più applicazioni.

-application

Applicazione utilizzata per accedere alla VM di storage:

  • http

  • ontapi

  • snmp

  • ssh

-authmethod

Il metodo utilizzato per autenticare l'account:

  • cert Per l'autenticazione del certificato SSL

  • domain Per l'autenticazione di Active Directory

  • nsswitch Per l'autenticazione LDAP o NIS

  • password per l'autenticazione della password dell'utente

  • publickey per l'autenticazione a chiave pubblica

  • community Per le stringhe di comunità SNMP

  • usm Per il modello di sicurezza dell'utente SNMP

  • saml Per l'autenticazione SAML (Security Assertion Markup Language)

-remote-switch-ipaddress

L'indirizzo IP dello switch remoto. Lo switch remoto può essere uno switch del cluster monitorato dal monitor di stato dello switch del cluster (CSHM) o uno switch Fibre Channel (FC) monitorato dal monitor di stato MetroCluster (MCC-HM). Questa opzione è applicabile solo quando l'applicazione è snmp e il metodo di autenticazione è usm.

-role

Il ruolo di controllo degli accessi assegnato all'account:

  • Per il cluster (la VM di storage di amministrazione), il valore predefinito è admin.

  • Per una macchina virtuale per lo storage dei dati, il valore predefinito è vsadmin.

-comment

(Facoltativo) testo descrittivo per l'account. Racchiudere il testo tra virgolette doppie (").

-is-ns-switch-group

Se l'account è un account di gruppo LDAP o NIS (yes oppure no).

-second-authentication-method

Secondo metodo di autenticazione in caso di autenticazione multifattore:

  • none se non si utilizza l'autenticazione a più fattori, valore predefinito

  • publickey per l'autenticazione a chiave pubblica quando authmethod è password o nsswitch

  • password per l'autenticazione della password utente quando authmethod è chiave pubblica

  • nsswitch per l'autenticazione della password utente quando il metodo authmethod è publickey

L'ordine di autenticazione è sempre la chiave pubblica seguita dalla password.

-is-ldap-fastbind

A partire da ONTAP 9.11.1, se impostato su true, attiva il binding rapido LDAP per l'autenticazione nsswitch; l'impostazione predefinita è false. Per utilizzare l'associazione rapida LDAP, il -authentication-method il valore deve essere impostato su nsswitch. "Scopri di più su LDAP fastbind per l'autenticazione nsswitch."

Configurare le informazioni di protezione di Cisco Duo

Questi valori vengono forniti con security login duo create Comando quando si attiva l'autenticazione a due fattori Cisco Duo con gli accessi SSH per una VM di storage.

Campo

Descrizione

Il tuo valore

-vserver

La VM di storage (denominata vserver nell'interfaccia CLI di ONTAP) a cui si applicano le impostazioni di autenticazione Duo.

-integration-key

La chiave di integrazione, ottenuta durante la registrazione dell'applicazione SSH con Duo.

-secret-key

La chiave segreta, ottenuta durante la registrazione dell'applicazione SSH con Duo.

-api-host

Il nome host API, ottenuto durante la registrazione dell'applicazione SSH con Duo. Ad esempio:

api-<HOSTNAME>.duosecurity.com

-fail-mode

In caso di errori di configurazione o di servizio che impediscono l'autenticazione Duo, non viene eseguita correttamente safe (consentire l'accesso) o. secure (negare l'accesso). L'impostazione predefinita è safe, Il che significa che l'autenticazione Duo viene ignorata se non riesce a causa di errori quali il server Duo API non è accessibile.

-http-proxy

Utilizzare il proxy HTTP specificato. Se il proxy HTTP richiede l'autenticazione, includere le credenziali nell'URL del proxy. Ad esempio:

http-proxy=http://username:password@proxy.example.org:8080

-autopush

Entrambi true oppure false. Il valore predefinito è false. Se true, Duo invia automaticamente una richiesta di accesso push al telefono dell'utente, tornando a una chiamata telefonica se non è disponibile il push. Si noti che in questo modo l'autenticazione con codice di accesso viene disattivata. Se false, all'utente viene richiesto di scegliere un metodo di autenticazione.

Se configurato con autopush = true, si consiglia l'impostazione max-prompts = 1.

-max-prompts

Se un utente non riesce ad autenticarsi con un secondo fattore, Duo richiede all'utente di eseguire nuovamente l'autenticazione. Questa opzione consente di impostare il numero massimo di richieste visualizzate da Duo prima di negare l'accesso. Deve essere 1, 2, o. 3. Il valore predefinito è 1.

Ad esempio, quando max-prompts = 1, l'utente deve eseguire correttamente l'autenticazione al primo prompt, mentre se max-prompts = 2, se l'utente immette informazioni errate al prompt iniziale, gli verrà richiesto di eseguire nuovamente l'autenticazione.

Se configurato con autopush = true, si consiglia l'impostazione max-prompts = 1.

Per una migliore esperienza, un utente con solo autenticazione a chiave pubblica avrà sempre max-prompts impostare su 1.

-enabled

Attiva l'autenticazione a due fattori Duo. Impostare su true per impostazione predefinita. Quando questa opzione è attivata, l'autenticazione Duo a due fattori viene applicata durante il login SSH in base ai parametri configurati. Quando Duo è disattivato (impostato su false), l'autenticazione Duo viene ignorata.

-pushinfo

Questa opzione fornisce informazioni aggiuntive nella notifica push, ad esempio il nome dell'applicazione o del servizio a cui si accede. Ciò consente agli utenti di verificare che stiano effettuando l'accesso al servizio corretto e fornisce un ulteriore livello di protezione.

Definire ruoli personalizzati

Questi valori vengono forniti con security login role create quando si definisce un ruolo personalizzato.

Campo

Descrizione

Il tuo valore

-vserver

(Opzionale) il nome della VM di storage (chiamato vserver nella CLI di ONTAP) associata al ruolo.

-role

Il nome del ruolo.

-cmddirname

La directory di comando a cui il ruolo dà accesso. I nomi delle sottodirectory dei comandi devono essere racimati tra virgolette doppie ("). Ad esempio, "volume snapshot". È necessario immettere DEFAULT per specificare tutte le directory dei comandi.

-access

(Facoltativo) il livello di accesso per il ruolo. Per le directory dei comandi:

  • none (il valore predefinito per i ruoli personalizzati) nega l'accesso ai comandi nella directory dei comandi

  • readonly concede l'accesso a show comandi nella directory dei comandi e nelle relative sottodirectory

  • all concede l'accesso a tutti i comandi nella directory dei comandi e alle relative sottodirectory

Per comandi non intrinseci (comandi che non finiscono in create, modify, delete, o. show):

  • none (il valore predefinito per i ruoli personalizzati) nega l'accesso al comando

  • readonly non applicabile

  • all concede l'accesso al comando

Per concedere o negare l'accesso ai comandi intrinseci, è necessario specificare la directory dei comandi.

-query

(Facoltativo) oggetto query utilizzato per filtrare il livello di accesso, specificato sotto forma di un'opzione valida per il comando o per un comando nella directory dei comandi. Racchiudere l'oggetto di query tra virgolette doppie ("). Ad esempio, se la directory dei comandi è volume, l'oggetto query "-aggr aggr0" consentirebbe l'accesso a aggr0 solo aggregato.

Associare una chiave pubblica a un account utente

Questi valori vengono forniti con security login publickey create Quando si associa una chiave pubblica SSH a un account utente.

Campo

Descrizione

Il tuo valore

-vserver

(Facoltativo) il nome della VM di storage a cui l'account accede.

-username

Il nome utente dell'account. Il valore predefinito, admin, che è il nome predefinito dell'amministratore del cluster.

-index

Il numero di indice della chiave pubblica. Il valore predefinito è 0 se la chiave è la prima chiave creata per l'account; in caso contrario, il valore predefinito è uno più del numero di indice più alto esistente per l'account.

-publickey

La chiave pubblica OpenSSH. Racchiudere la chiave tra virgolette doppie (").

-role

Il ruolo di controllo degli accessi assegnato all'account.

-comment

(Facoltativo) testo descrittivo per la chiave pubblica. Racchiudere il testo tra virgolette doppie (").

-x509-certificate

(Facoltativo) a partire da ONTAP 9.13.1, consente di gestire l'associazione del certificato X.509 con la chiave pubblica SSH.

Quando si associa un certificato X.509 alla chiave pubblica SSH, ONTAP verifica la validità del certificato al momento dell'accesso SSH. Se è scaduto o è stato revocato, l'accesso non è consentito e la chiave pubblica SSH associata è disattivata. Valori possibili:

  • install: Installare il certificato X.509 con codifica PEM specificato e associarlo alla chiave pubblica SSH. Includere il testo completo del certificato che si desidera installare.

  • modify: Aggiornare il certificato X.509 con codifica PEM esistente con il certificato specificato e associarlo alla chiave pubblica SSH. Includere il testo completo del nuovo certificato.

  • delete: Rimuovere l'associazione esistente del certificato X.509 con la chiave pubblica SSH.

Configurare le impostazioni globali dell'autorizzazione dinamica

A partire da ONTAP 9.15.1, immettere questi valori con security dynamic-authorization modify comando. Per ulteriori informazioni sulla configurazione dell'autorizzazione dinamica, fare riferimento a. "panoramica delle autorizzazioni dinamiche".

Campo

Descrizione

Il tuo valore

-vserver

Il nome della VM di archiviazione per cui è necessario modificare l'impostazione del punteggio di attendibilità. Se si omette questo parametro, viene utilizzata l'impostazione a livello di cluster.

-state

La modalità di autorizzazione dinamica. Valori possibili:

  • disabled: (Impostazione predefinita) l'autorizzazione dinamica è disattivata.

  • visibility: Questa modalità è utile per testare l'autorizzazione dinamica. In questa modalità, il punteggio di attendibilità viene controllato con ogni attività soggetta a restrizioni, ma non applicato. Tuttavia, viene registrata qualsiasi attività che sarebbe stata negata o soggetta a ulteriori problemi di autenticazione.

  • enforced: Da utilizzare dopo aver completato i test con visibility modalità. In questa modalità, il punteggio di attendibilità viene controllato con ogni attività soggetta a restrizioni e le restrizioni di attività vengono applicate se vengono soddisfatte le condizioni di restrizione. Viene inoltre applicato l'intervallo di soppressione, evitando ulteriori sfide di autenticazione nell'intervallo specificato.

-suppression-interval

Impedisce ulteriori sfide di autenticazione entro l'intervallo specificato. L'intervallo è in formato ISO-8601 e accetta valori compresi tra 1 minuto e 1 ora. Se impostato su 0, l'intervallo di soppressione viene disattivato e all'utente viene sempre richiesto di eseguire una verifica di autenticazione, se necessario.

-lower-challenge-boundary

Limite percentuale di verifica autenticazione a più fattori (MFA) inferiore. L'intervallo valido è compreso tra 0 e 99. Il valore 100 non è valido, poiché ciò causa il rifiuto di tutte le richieste. Il valore predefinito è 0.

-upper-challenge-boundary

Limite percentuale di sfida MFA superiore. L'intervallo valido è compreso tra 0 e 100. Deve essere uguale o superiore al valore del limite inferiore. Il valore 100 indica che ogni richiesta verrà rifiutata o soggetta a una richiesta di autenticazione aggiuntiva; non sono consentite richieste senza una richiesta. Il valore predefinito è 90.

Installare un certificato digitale del server firmato dalla CA

Questi valori vengono forniti con security certificate generate-csr Comando quando si genera una richiesta di firma digitale del certificato (CSR) da utilizzare per l'autenticazione di una VM di storage come server SSL.

Campo

Descrizione

Il tuo valore

-common-name

Il nome del certificato, ovvero un nome di dominio completo (FQDN) o un nome comune personalizzato.

-size

Il numero di bit nella chiave privata. Maggiore è il valore, maggiore sarà la sicurezza della chiave. Il valore predefinito è 2048. I valori possibili sono 512, 1024, 1536, e. 2048.

-country

Il paese della macchina virtuale di archiviazione, in un codice di due lettere. Il valore predefinito è US. Consultare le pagine man per un elenco di codici.

-state

Lo stato o la provincia della macchina virtuale di storage.

-locality

La località della macchina virtuale storage.

-organization

L'organizzazione della macchina virtuale di storage.

-unit

L'unità nell'organizzazione della VM di storage.

-email-addr

L'indirizzo e-mail dell'amministratore del contatto per la VM di storage.

-hash-function

Funzione di hashing crittografico per la firma del certificato. Il valore predefinito è SHA256. I valori possibili sono SHA1, SHA256, e. MD5.

Questi valori vengono forniti con security certificate install Comando quando si installa un certificato digitale con firma CA da utilizzare per l'autenticazione del cluster o della VM di storage come server SSL. Nella tabella seguente sono riportate solo le opzioni relative alla configurazione dell'account.

Campo

Descrizione

Il tuo valore

-vserver

Il nome della VM di archiviazione su cui deve essere installato il certificato.

-type

Il tipo di certificato:

  • server per i certificati server e intermedi

  • client-ca Per il certificato a chiave pubblica della CA principale del client SSL

  • server-ca Per il certificato a chiave pubblica della CA principale del server SSL di cui ONTAP è un client

  • client Per un certificato digitale autofirmato o firmato da CA e una chiave privata per ONTAP come client SSL

Configurare l'accesso al controller di dominio Active Directory

Questi valori vengono forniti con security login domain-tunnel create Comando quando è già stato configurato un server SMB per una macchina virtuale per lo storage dei dati e si desidera configurare la macchina virtuale per lo storage come gateway o tunnel per l'accesso al cluster da parte del controller di dominio Active Directory.

Campo

Descrizione

Il tuo valore

-vserver

Nome della VM di storage per cui è stato configurato il server SMB.

Questi valori vengono forniti con vserver active-directory create Comando quando non è stato configurato un server SMB e si desidera creare un account di un computer VM di archiviazione nel dominio Active Directory.

Campo

Descrizione

Il tuo valore

-vserver

Il nome della VM di storage per cui si desidera creare un account di computer Active Directory.

-account-name

Il nome NetBIOS dell'account del computer.

-domain

Il nome di dominio completo (FQDN).

-ou

L'unità organizzativa nel dominio. Il valore predefinito è CN=Computers. ONTAP aggiunge questo valore al nome di dominio per produrre il nome distinto di Active Directory.

Configurare l'accesso al server LDAP o NIS

Questi valori vengono forniti con vserver services name-service ldap client create Comando quando si crea una configurazione del client LDAP per la VM di storage.

Nella seguente tabella sono riportate solo le opzioni relative alla configurazione dell'account:

Campo

Descrizione

Il tuo valore

-vserver

Nome della VM di storage per la configurazione client.

-client-config

Il nome della configurazione del client.

-ldap-servers

Elenco separato da virgole di indirizzi IP e nomi host per i server LDAP a cui si connette il client.

-schema

Lo schema utilizzato dal client per eseguire query LDAP.

-use-start-tls

Se il client utilizza Start TLS per crittografare la comunicazione con il server LDAP (true oppure false).

Nota

Start TLS è supportato solo per l'accesso alle macchine virtuali storage dei dati. Non è supportato per l'accesso alle VM di amministrazione dello storage.

Questi valori vengono forniti con vserver services name-service ldap create Comando quando si associa una configurazione client LDAP alla VM di storage.

Campo

Descrizione

Il tuo valore

-vserver

Nome della VM di storage a cui deve essere associata la configurazione client.

-client-config

Il nome della configurazione del client.

-client-enabled

Se la VM di storage può utilizzare la configurazione del client LDAP (true oppure false).

Questi valori vengono forniti con vserver services name-service nis-domain create Quando crei una configurazione di dominio NIS su una VM di storage.

Campo

Descrizione

Il tuo valore

-vserver

Nome della VM di storage su cui deve essere creata la configurazione del dominio.

-domain

Il nome del dominio.

-servers

ONTAP 9.0, 9.1: Un elenco separato da virgole di indirizzi IP per i server NIS utilizzati dalla configurazione del dominio.

-nis-servers

Elenco separato da virgole di indirizzi IP e nomi host per i server NIS utilizzati dalla configurazione di dominio.

Questi valori vengono forniti con vserver services name-service ns-switch create quando si specifica l'ordine di ricerca per le origini del servizio nome.

Campo

Descrizione

Il tuo valore

-vserver

Il nome della VM di storage su cui deve essere configurato l'ordine di ricerca del servizio dei nomi.

-database

Il database name service:

  • hosts Per file e servizi di nomi DNS

  • group Per file, LDAP e NIS name service

  • passwd Per file, LDAP e NIS name service

  • netgroup Per file, LDAP e NIS name service

  • namemap Per file e servizi di nomi LDAP

-sources

L'ordine in cui cercare le origini del servizio dei nomi (in un elenco separato da virgole):

  • files

  • dns

  • ldap

  • nis

Configurare l'accesso SAML

A partire da ONTAP 9.3, si forniscono questi valori con security saml-sp create Comando per configurare l'autenticazione SAML.

Campo

Descrizione

Il tuo valore

-idp-uri

L'indirizzo FTP o HTTP dell'host IdP (Identity Provider) da cui è possibile scaricare i metadati IdP.

-sp-host

Il nome host o l'indirizzo IP dell'host del provider di servizi SAML (sistema ONTAP). Per impostazione predefinita, viene utilizzato l'indirizzo IP della LIF di gestione del cluster.

-cert-ca e. -cert-serial, o. -cert-common-name

I dettagli del certificato del server dell'host del provider di servizi (sistema ONTAP). È possibile immettere l'autorità di certificazione (CA) di emissione del certificato del provider di servizi e il numero di serie del certificato oppure il nome comune del certificato del server.

-verify-metadata-server

Se l'identità del server di metadati IdP deve essere convalidata true oppure false). La procedura consigliata consiste nell'impostare sempre questo valore su true.