Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestire i gruppi di approvazione degli amministratori ONTAP per MAV

Collaboratori netapp-aaron-holt netapp-bhouser netapp-forry netapp-aoife netapp-dbagwell
PDF

Prima di attivare la verifica multi-amministratore (MAV), è necessario creare un gruppo di approvazione amministratore contenente uno o più amministratori a cui concedere l'autorizzazione di approvazione o veto. Una volta attivata la verifica multi-admin, qualsiasi modifica all'appartenenza al gruppo di approvazione richiede l'approvazione di uno degli amministratori qualificati esistenti.

A proposito di questa attività

È possibile aggiungere amministratori esistenti a un gruppo MAV o creare nuovi amministratori.

La funzionalità MAV rispetta le impostazioni RBAC (role-based access control) esistenti. I potenziali amministratori MAV devono disporre di privilegi sufficienti per eseguire operazioni protette prima di aggiungerli ai gruppi di amministratori MAV. "Scopri di più su RBAC."

È possibile configurare MAV per avvisare gli amministratori MAV che le richieste di approvazione sono in sospeso. A tale scopo, è necessario configurare le notifiche e-mail, in particolare l' Mail From e. Mail Server parametri—​oppure è possibile cancellare questi parametri per disattivare la notifica. Senza avvisi via email, gli amministratori MAV devono controllare manualmente la coda di approvazione.

A partire da ONTAP 9.15.1, è possibile configurare gli utenti di Active Directory (AD) come amministratori MAV. L'utente AD deve essere"configurato come amministratore ONTAP" .

Procedura di System Manager

Se si desidera creare un gruppo di approvazione MAV per la prima volta, consultare la procedura di System Manager in "attiva la verifica multi-admin."

Per modificare un gruppo di approvazione esistente o creare un gruppo di approvazione aggiuntivo:

  1. Identificare gli amministratori per ricevere la verifica multi-admin.

    1. Fare clic su Cluster > Settings.

    2. Fare clic su Icona a forma di freccia accanto a utenti e ruoli.

    3. Fare clic su Icona Add (Aggiungi) utenti.

    4. Modificare il registro in base alle esigenze.

      Per ulteriori informazioni, vedere "Controllare l'accesso dell'amministratore."

  2. Creare o modificare il gruppo di approvazione MAV:

    1. Fare clic su Cluster > Settings.

    2. Fare clic su Icona a forma di freccia accanto a Multi-Admin Approval nella sezione Security. (Se MAV non è ancora configurato, viene visualizzata l' Icona delle azioni icona).

      • Name (Nome): Immettere un nome di gruppo.

      • Responsabili dell'approvazione: Selezionare i responsabili dell'approvazione da un elenco di utenti.

      • Email address (Indirizzo email): Inserire gli indirizzi email.

      • Default group (Gruppo predefinito): Selezionare un gruppo.

L'approvazione MAV è necessaria per modificare una configurazione esistente una volta abilitato MAV.

Procedura CLI

  1. Verificare che siano stati impostati i valori per Mail From e. Mail Server parametri. Inserire:

    event config show

    Il display dovrebbe essere simile a quanto segue:

    cluster01::> event config show
                           Mail From:  admin@localhost
                         Mail Server:  localhost
                           Proxy URL:  -
                          Proxy User:  -
 Publish/Subscribe Messaging Enabled:  true

    Per configurare questi parametri, immettere:

    event config modify -mail-from email_address -mail-server server_name

    Ulteriori informazioni su event config show e event config modify nella "Riferimento al comando ONTAP".

  2. Identificare gli amministratori per ricevere la verifica multi-admin

    Se si desidera… Immettere questo comando

    Visualizza gli amministratori correnti

    security login show

    Modificare le credenziali degli amministratori correnti

    security login modify <parameters>

    Creare nuovi account amministratore

    security login create -user-or-group-name admin_name -application ssh -authentication-method password

    Ulteriori informazioni su security login show, security login modify e security login create nella "Riferimento al comando ONTAP".

  3. Creare il gruppo di approvazione MAV:

    security multi-admin-verify approval-group create [ -vserver svm_name] -name group_name -approvers approver1[,approver2…] [[-email address1], address1…​]

    • -vserver - Solo la SVM amministrativa è supportata in questa versione.

    • -name - Il nome del gruppo MAV, composto da un massimo di 64 caratteri.

    • -approvers- L'elenco di uno o più approvatori. Per gli utenti AD, utilizzare il formato domain\user . Ad esempio, mydomain\pavan .

    • -email - Uno o più indirizzi e-mail che vengono notificati quando una richiesta viene creata, approvata, sottoposta a veto o eseguita.

      Esempio: il seguente comando crea un gruppo MAV con due membri e indirizzi e-mail associati.

    cluster-1::> security multi-admin-verify approval-group create -name mav-grp1 -approvers pavan,julia -email pavan@myfirm.com,julia@myfirm.com

  4. Verificare la creazione e l'appartenenza del gruppo:

    security multi-admin-verify approval-group show

    Esempio:

    cluster-1::> security multi-admin-verify approval-group show
Vserver  Name        Approvers        Email
-------  ---------------- ------------------  ------------------------------------------------------------
svm-1    mav-grp1   pavan,julia      email pavan@myfirm.com,julia@myfirm.com

Utilizzare questi comandi per modificare la configurazione iniziale del gruppo MAV.

Nota: tutti richiedono l'approvazione dell'amministratore MAV prima dell'esecuzione.

Se si desidera… Immettere questo comando

Modificare le caratteristiche del gruppo o le informazioni sui membri esistenti

security multi-admin-verify approval-group modify [parameters]

Aggiungere o rimuovere membri

security multi-admin-verify approval-group replace [-vserver svm_name] -name group_name [-approvers-to-add approver1[,approver2…]][-approvers-to-remove approver1[,approver2…]]

Eliminare un gruppo

security multi-admin-verify approval-group delete [-vserver svm_name] -name group_name
Informazioni correlate