Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurazione ONTAP Mediator post-installazione

Collaboratori netapp-sarajane netapp-thomi netapp-ahibbard
PDF

Dopo aver installato e avviato ONTAP Mediator, è necessario eseguire ulteriori attività di configurazione nel sistema di archiviazione ONTAP per utilizzare le funzionalità di ONTAP Mediator:

Configurare i criteri di sicurezza di ONTAP Mediator

ONTAP Mediator supporta diverse impostazioni di sicurezza configurabili. I valori predefiniti per tutte le impostazioni vengono forniti in un low_space_threshold_mib: 10 file di sola lettura:

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml

Tutti i valori inseriti in ontap_mediator.user_config.yaml Sovrascrive i valori predefiniti e viene mantenuto in tutti gli aggiornamenti di ONTAP Mediator.

Dopo aver modificato ontap_mediator.user_config.yaml , riavviare ONTAP Mediator:

systemctl restart ontap_mediator

Modificare gli attributi del mediatore ONTAP

Gli attributi del mediatore ONTAP descritti in questa sezione possono essere modificati se necessario.

Nota Gli altri valori predefiniti in ontap_mediator.config.yaml non devono essere modificati in quanto i valori modificati non vengono mantenuti durante gli aggiornamenti di ONTAP Mediator.

È possibile modificare gli attributi di ONTAP Mediator copiando le variabili richieste nel ontap_mediator.user_config.yaml file per sovrascrivere le impostazioni predefinite.

Installare certificati SSL di terze parti

Se è necessario sostituire i certificati autofirmati predefiniti con certificati SSL di terze parti, modificare alcuni attributi nei seguenti file:

  • /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml

  • /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini

Le variabili in questi file vengono utilizzate per controllare i file di certificato utilizzati da ONTAP Mediator.

ONTAP Mediator 1,9 e versioni successive

Le variabili predefinite elencate nella tabella seguente sono incluse nel /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml file.

Variabile Percorso

cert_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt

key_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

ca_cert_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt

ca_key_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key

ca_serial_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl

cert_valid_days

1095

x509_passin_pwd

pass:ontap

  • cert_valid_days viene utilizzato per impostare la scadenza dei certificati client. Il valore massimo è di tre anni (1095 giorni).

  • x509_passin_pwd è la passphrase per il certificato client firmato.

Le variabili predefinite elencate nella tabella seguente sono incluse nel /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini file.

Variabile Percorso

mediator_cert

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt

mediator_key

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

ca_cert_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt
ONTAP Mediator 1,8 e precedenti

Le variabili predefinite elencate nella tabella seguente sono incluse nel /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml file.

Variabile Percorso

cert_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt

key_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

ca_cert_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt

ca_key_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key

ca_serial_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl

cert_valid_days

1095

x509_passin_pwd

pass:ontap

  • cert_valid_days viene utilizzato per impostare la scadenza dei certificati client. Il valore massimo è di tre anni (1095 giorni).

  • x509_passin_pwd è la passphrase per il certificato client firmato.

Le variabili predefinite elencate nella tabella seguente sono incluse nel /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini file.

Variabile Percorso

mediator_cert

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt

mediator_key

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

ca_cert_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt

Se si modificano questi attributi, riavviare ONTAP Mediator per applicare le modifiche. Per istruzioni dettagliate su come sostituire i certificati predefiniti con quelli di terze parti, fare riferimento a "Sostituire i certificati autofirmati con certificati di terze parti attendibili".

Protezione da attacchi tramite password

Le seguenti impostazioni forniscono protezione contro gli attacchi di tipo "brute force" che inducono le password.

Per attivare la funzione, impostare un valore per window_seconds e retry_limit .

Esempi:

  • Fornire una finestra di 5 minuti per le ipotesi, quindi ripristinare il conteggio a zero errori:

    authentication_lock_window_seconds: 300

  • Bloccare l'account se si verificano cinque guasti entro il periodo di tempo previsto:

    authentication_retry_limit: 5

  • Riduci l'impatto degli attacchi di indovinare le password con la forza bruta impostando un ritardo che si verifica prima di rifiutare ogni tentativo, rallentando gli attacchi.

    authentication_failure_delay_seconds: 5

    authentication_failure_delay_seconds: 0   # seconds (float) to delay failed auth attempts prior to response, 0 = no delay
authentication_lock_window_seconds: null  # seconds (int) since the oldest failure before resetting the retry counter, null = no window
authentication_retry_limit: null          # number of retries to allow before locking API access, null = unlimited

Regole di complessità delle password

I seguenti campi controllano le regole di complessità delle password dell'account utente API di ONTAP Mediator.

password_min_length: 8

password_max_length: 64

password_uppercase_chars: 0    # min. uppercase characters

password_lowercase_chars: 1    # min. lowercase character

password_special_chars: 1      # min. non-letter, non-digit

password_nonletter_chars: 2    # min. non-letter characters (digits, specials, anything)

Controllo dello spazio libero

Esistono impostazioni che controllano lo spazio libero richiesto sul /opt/netapp/lib/ontap_mediator disco.

Se lo spazio è inferiore alla soglia impostata, il servizio emetterà un avviso.

low_space_threshold_mib: 10

Controllo dello spazio del registro di riserva

RESERVE_LOG_SPACE è controllata da impostazioni specifiche. Per impostazione predefinita, l'installazione di ONTAP Mediator crea uno spazio su disco separato per i log. Il programma di installazione crea un nuovo file di dimensioni fisse con un totale di 700 MB di spazio su disco da utilizzare esplicitamente per la registrazione di ONTAP Mediator.

Per disattivare questa funzione e utilizzare lo spazio su disco predefinito, procedere come segue:

  1. Modificare il valore di RESERVE_LOG_SPACE da 1 a 0 nel seguente file:

    /opt/netapp/lib/ontap_mediator/tools/mediator_env

  2. Riavviare Mediator:

    1. cat /opt/netapp/lib/ontap_mediator/tools/mediator_env | grep "RESERVE_LOG_SPACE"

      RESERVE_LOG_SPACE=0

    2. systemctl restart ontap_mediator

Per riattivare la funzione, modificare il valore da 0 a 1 e riavviare Mediator.

Nota L'alternanza tra gli spazi su disco non elimina i registri esistenti. Viene eseguito il backup di tutti i registri precedenti, quindi viene spostato nello spazio su disco corrente dopo l'attivazione e il riavvio di Mediator.