Ruoli, applicazioni e autenticazione
-
PDF del sito di questa documentazione
- Configurare, aggiornare e ripristinare ONTAP
- Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
- Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
Gestione dello storage logico con la CLI
-
Gestione dello storage NAS
- Configurare NFS con la CLI
- Gestisci NFS con la CLI
-
Gestire SMB con la CLI
- Gestire i server SMB
- Gestire l'accesso ai file utilizzando SMB
- Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
- Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
- Protezione dei dati e disaster recovery
Raccolta di documenti PDF separati
Creating your file...
ONTAP fornisce alle aziende attente alla sicurezza la capacità di fornire accesso granulare a diversi amministratori tramite diverse applicazioni e metodi di accesso. In questo modo, i clienti possono creare un modello zero-trust incentrato sui dati.
Questi sono i ruoli disponibili per gli amministratori di Storage Virtual Machine e Amministratore. Vengono specificati i metodi dell'applicazione di accesso e di autenticazione dell'accesso.
Ruoli
Con il role-based access control (RBAC), gli utenti possono accedere solo ai sistemi e alle opzioni necessari per le loro mansioni e funzioni. La soluzione RBAC in ONTAP limita l'accesso amministrativo degli utenti al livello concesso per il ruolo definito, consentendo agli amministratori di gestire gli utenti in base al ruolo assegnato. ONTAP fornisce diversi ruoli predefiniti. Gli operatori e gli amministratori possono creare, modificare o eliminare ruoli di controllo dell'accesso personalizzati e specificare restrizioni account per ruoli specifici.
Ruoli predefiniti per gli amministratori del cluster
Questo ruolo… |
Dispone di questo livello di accesso… |
Alle seguenti directory di comandi o comandi |
|
Tutto |
Tutte le directory dei comandi ( |
|
Lettura/scrittura |
|
Di sola lettura |
|
Nessuno |
|
|
Tutto |
|
Nessuno |
Tutte le altre directory di comando ( |
|
Tutto |
|
Di sola lettura |
|
Nessuno |
Tutte le altre directory di comando ( |
|
Tutto |
|
Nessuno |
|
Di sola lettura |
Tutte le altre directory di comando ( |
|
Il autosupport il ruolo viene assegnato al predefinito autosupport Account, utilizzato da AutoSupport OnDemand. ONTAP impedisce di modificare o eliminare autosupport account. ONTAP impedisce inoltre l'assegnazione di autosupport ruolo per altri account utente.
|
Ruoli predefiniti per gli amministratori delle Storage Virtual Machine (SVM)
Nome del ruolo |
Funzionalità |
|
|
|
|
|
|
|
|
|
|
|
|
Metodi di applicazione
Il metodo dell'applicazione specifica il tipo di accesso del metodo di accesso. I valori possibili comprendono console, http, ontapi, rsh, snmp, service-processor, ssh,
e telnet
.
L'impostazione di questo parametro per service-processor
consente all'utente di accedere al Service Processor. Quando questo parametro è impostato su service-processor
, il -authentication-method
parametro deve essere impostato su password
perché Service Processor supporta solo l'autenticazione tramite password. Gli account utente SVM non possono accedere al Service Processor. Pertanto, gli operatori e gli amministratori non possono utilizzare il -vserver
parametro quando questo parametro è impostato su service-processor
.
Per limitare ulteriormente l'accesso a service-processor
utilizzare il comando system service-processor ssh add-allowed-addresses
. Il comando system service-processor api-service
può essere utilizzato per aggiornare le configurazioni e i certificati.
Per motivi di sicurezza, Telnet e Remote Shell (RSH) sono disattivati per impostazione predefinita perché NetApp consiglia Secure Shell (SSH) per un accesso remoto sicuro. Se esiste un requisito o un'esigenza unica per Telnet o RSH, è necessario attivarli.
Il security protocol modify
comando modifica la configurazione esistente a livello di cluster di RSH e Telnet. Attivare RSH e Telnet nel cluster impostando il campo abilitato su true
.
Metodi di autenticazione
Il parametro metodo di autenticazione specifica il metodo di autenticazione utilizzato per gli accessi.
Metodo di autenticazione | Descrizione |
---|---|
|
Autenticazione del certificato SSL |
|
Stringhe di comunità SNMP |
|
Autenticazione Active Directory |
|
Autenticazione LDAP o NIS |
|
Password |
|
Autenticazione a chiave pubblica |
|
Modello di protezione utente SNMP |
L'uso di NIS non è raccomandato a causa di punti deboli della sicurezza del protocollo. |
A partire da ONTAP 9,3, l'autenticazione a due fattori concatenata è disponibile per gli account SSH locali admin
utilizzando publickey
e password come due metodi di autenticazione. Oltre al -authentication-method
campo nel security login
comando, è stato aggiunto un nuovo campo denominato -second-authentication-method
. È possibile specificare la chiave pubblica o la password come -authentication-method
o -second-authentication-method
. Tuttavia, durante l'autenticazione SSH, l'ordine è sempre chiave pubblica con autenticazione parziale, seguita dal prompt della password per l'autenticazione completa.
[user@host01 ~]$ ssh ontap.netapp.local Authenticated with partial success. Password: cluster1::>
A partire da ONTAP 9,4, nsswitch
può essere utilizzato come secondo metodo di autenticazione con publickey
.
A partire da ONTAP 9.12.1, FIDO2 può essere utilizzato anche per l'autenticazione SSH utilizzando un dispositivo di autenticazione hardware YubiKey o altri dispositivi compatibili con FIDO2.
A partire da ONTAP 9.13.1:
-
domain
gli account possono essere utilizzati come secondo metodo di autenticazione conpublickey
. -
Time-based one-time password (
totp
) è un codice di accesso temporaneo generato da un algoritmo che utilizza l'ora corrente come uno dei suoi fattori di autenticazione per il secondo metodo di autenticazione. -
La revoca della chiave pubblica è supportata con chiavi pubbliche SSH e certificati che verranno controllati per la scadenza/revoca durante SSH.
Per ulteriori informazioni sull'autenticazione a più fattori (MFA) per ONTAP System Manager, Active IQ Unified Manager e SSH, vedere "TR-4647: Autenticazione multifattore in ONTAP 9".