Configurare Cisco Duo 2FA per gli accessi SSH
-
PDF del sito di questa documentazione
- Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
- Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
Gestione dello storage logico con la CLI
-
Gestione dello storage NAS
- Configurare NFS con la CLI
- Gestisci NFS con la CLI
-
Gestire SMB con la CLI
- Gestire i server SMB
- Gestire l'accesso ai file utilizzando SMB
- Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
- Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
- Protezione dei dati e disaster recovery
Raccolta di documenti PDF separati
Creating your file...
A partire da ONTAP 9.14.1, è possibile configurare ONTAP in modo che utilizzi Cisco Duo per l'autenticazione a due fattori (2FA) durante gli accessi SSH. Duo viene configurato a livello di cluster e si applica a tutti gli account utente per impostazione predefinita. In alternativa, è possibile configurare Duo al livello della VM di storage (precedentemente denominata vserver), nel qual caso si applica solo agli utenti della VM di storage. Se abiliti e configuri Duo, serve come metodo di autenticazione aggiuntivo, che integra i metodi esistenti per tutti gli utenti.
Se si abilita l'autenticazione Duo per gli accessi SSH, gli utenti dovranno registrare un dispositivo al successivo accesso tramite SSH. Per informazioni sulla registrazione, fare riferimento a Cisco Duo "documentazione di iscrizione".
È possibile utilizzare l'interfaccia della riga di comando di ONTAP per eseguire le seguenti operazioni con Cisco Duo:
Configurare Cisco Duo
Puoi creare una configurazione di Cisco Duo per l'intero cluster o per una macchina virtuale storage specifica (denominata vserver nell'interfaccia a riga di comando di ONTAP) utilizzando l' security login duo create
comando. A tale scopo, Cisco Duo è abilitato per gli accessi SSH per il cluster o per la VM di storage.
-
Accedere al pannello di amministrazione di Cisco Duo.
-
Andare a applicazioni > applicazioni UNIX.
-
Registrare la chiave di integrazione, la chiave segreta e il nome host API.
-
Accedere al proprio account ONTAP utilizzando SSH.
-
Abilitare l'autenticazione Cisco Duo per questa VM di storage, sostituendo le informazioni dell'ambiente ai valori tra parentesi:
security login duo create \ -vserver <STORAGE_VM_NAME> \ -integration-key <INTEGRATION_KEY> \ -secret-key <SECRET_KEY> \ -apihost <API_HOSTNAME>
Per ulteriori informazioni sui parametri richiesti e facoltativi per questo comando, fare riferimento a. "Fogli di lavoro per l'autenticazione dell'amministratore e la configurazione RBAC".
Modificare la configurazione di Cisco Duo
È possibile modificare il modo in cui Cisco Duo autentica gli utenti (ad esempio, il numero di richieste di autenticazione o il proxy HTTP utilizzato). Se è necessario modificare la configurazione di Cisco Duo per una macchina virtuale di storage (nota come vserver nell'interfaccia CLI di ONTAP), è possibile utilizzare security login duo modify
comando.
-
Accedere al pannello di amministrazione di Cisco Duo.
-
Andare a applicazioni > applicazioni UNIX.
-
Registrare la chiave di integrazione, la chiave segreta e il nome host API.
-
Accedere al proprio account ONTAP utilizzando SSH.
-
Modificare la configurazione di Cisco Duo per questa VM di archiviazione, sostituendo le informazioni aggiornate dell'ambiente ai valori tra parentesi:
security login duo modify \ -vserver <STORAGE_VM_NAME> \ -integration-key <INTEGRATION_KEY> \ -secret-key <SECRET_KEY> \ -apihost <API_HOSTNAME> \ -pushinfo true|false \ -http-proxy <HTTP_PROXY_URL> \ -autopush true|false \ -prompts 1|2|3 \ -max-unenrolled-logins <NUM_LOGINS> \ -is-enabled true|false \ -fail-mode safe|secure
Rimuovere la configurazione di Cisco Duo
È possibile rimuovere la configurazione di Cisco Duo, che elimina la necessità per gli utenti SSH di eseguire l'autenticazione utilizzando Duo al momento dell'accesso. Per rimuovere la configurazione di Cisco Duo per una VM di storage (nota come server virtuale nell'interfaccia CLI di ONTAP), è possibile utilizzare security login duo delete
comando.
-
Accedere al proprio account ONTAP utilizzando SSH.
-
Rimuovere la configurazione Cisco Duo per questa VM di archiviazione, sostituendo il nome della VM di archiviazione con
<STORAGE_VM_NAME>
:security login duo delete -vserver <STORAGE_VM_NAME>
In questo modo viene eliminata in modo permanente la configurazione di Cisco Duo per questa VM di storage.
Visualizzare la configurazione di Cisco Duo
È possibile visualizzare la configurazione di Cisco Duo esistente di una macchina virtuale di storage (definita vserver nell'interfaccia CLI di ONTAP) utilizzando l' security login duo show
comando.
-
Accedere al proprio account ONTAP utilizzando SSH.
-
Mostrare la configurazione di Cisco Duo per questa VM di storage. In alternativa, è possibile utilizzare
vserver
Parametro per specificare una VM di storage, sostituendo il nome della VM di storage con<STORAGE_VM_NAME>
:security login duo show -vserver <STORAGE_VM_NAME>
L'output dovrebbe essere simile a quanto segue:
Vserver: testcluster Enabled: true Status: ok INTEGRATION-KEY: DI89811J9JWMJCCO7IOH SKEY SHA Fingerprint: b79ffa4b1c50b1c747fbacdb34g671d4814 API Host: api-host.duosecurity.com Autopush: true Push info: true Failmode: safe Http-proxy: 192.168.0.1:3128 Prompts: 1 Comments: -
Creare un gruppo Duo
È possibile richiedere a Cisco Duo di includere solo gli utenti di un determinato Active Directory, LDAP o gruppo di utenti locali nel processo di autenticazione Duo. Se si crea un gruppo Duo, viene richiesta l'autenticazione Duo solo agli utenti del gruppo. È possibile creare un gruppo Duo utilizzando security login duo group create
comando. Quando si crea un gruppo, è possibile escludere dal processo di autenticazione Duo utenti specifici di tale gruppo.
-
Accedere al proprio account ONTAP utilizzando SSH.
-
Creare il gruppo Duo, sostituendo le informazioni del proprio ambiente ai valori tra parentesi. Se si omette
-vserver
il gruppo viene creato a livello di cluster:security login duo group create -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -exclude-users <USER1, USER2>
Il nome del gruppo Duo deve corrispondere a un gruppo Active Directory, LDAP o locale. Gli utenti specificati con l'opzione
-exclude-users
Il parametro non verrà incluso nel processo di autenticazione Duo.
Visualizza i gruppi Duo
È possibile visualizzare le voci di gruppo Cisco Duo esistenti utilizzando security login duo group show
comando.
-
Accedere al proprio account ONTAP utilizzando SSH.
-
Mostrare le voci del gruppo Duo, sostituendo le informazioni dell'ambiente con i valori tra parentesi. Se si omette
-vserver
il gruppo viene visualizzato a livello del cluster:security login duo group show -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -exclude-users <USER1, USER2>
Il nome del gruppo Duo deve corrispondere a un gruppo Active Directory, LDAP o locale. Gli utenti specificati con l'opzione
-exclude-users
il parametro non viene visualizzato.
Rimuovere un gruppo Duo
È possibile rimuovere una voce di gruppo Duo utilizzando security login duo group delete
comando. Se si rimuove un gruppo, gli utenti del gruppo non saranno più inclusi nel processo di autenticazione Duo.
-
Accedere al proprio account ONTAP utilizzando SSH.
-
Rimuovere la voce del gruppo Duo, sostituendo le informazioni presenti nell'ambiente in uso con i valori tra parentesi. Se si omette
-vserver
il gruppo viene rimosso a livello di cluster:security login duo group delete -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME>
Il nome del gruppo Duo deve corrispondere a un gruppo Active Directory, LDAP o locale.
Ignora autenticazione Duo per gli utenti
È possibile escludere tutti gli utenti o utenti specifici dal processo di autenticazione SSH Duo.
Escludere tutti gli utenti Duo
È possibile disattivare l'autenticazione SSH di Cisco Duo per tutti gli utenti.
-
Accedere al proprio account ONTAP utilizzando SSH.
-
Disattiva l'autenticazione Cisco Duo per gli utenti SSH, sostituendo il nome del Vserver con
<STORAGE_VM_NAME>
:security login duo -vserver <STORAGE_VM_NAME> -is-duo-enabled-false
Escludere gli utenti del gruppo Duo
È possibile escludere alcuni utenti che fanno parte di un gruppo Duo dal processo di autenticazione SSH Duo.
-
Accedere al proprio account ONTAP utilizzando SSH.
-
Disattivare l'autenticazione Cisco Duo per utenti specifici di un gruppo. Sostituire il nome del gruppo e l'elenco degli utenti da escludere per i valori tra parentesi:
security login group modify -group-name <GROUP_NAME> -exclude-users <USER1, USER2>
Il nome del gruppo Duo deve corrispondere a un gruppo Active Directory, LDAP o locale. Utenti specificati con
-exclude-users
Il parametro non verrà incluso nel processo di autenticazione Duo.
Escludere gli utenti Duo locali
È possibile escludere utenti locali specifici dall'uso dell'autenticazione Duo utilizzando il pannello di amministrazione di Cisco Duo. Per istruzioni, fare riferimento a. "Documentazione di Cisco Duo".