Metodi di amministrazione del sistema
-
PDF del sito di questa documentazione
- Configurare, aggiornare e ripristinare ONTAP
- Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
- Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
Gestione dello storage logico con la CLI
-
Gestione dello storage NAS
- Configurare NFS con la CLI
- Gestisci NFS con la CLI
-
Gestire SMB con la CLI
- Gestire i server SMB
- Gestire l'accesso ai file utilizzando SMB
- Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
- Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
- Protezione dei dati e disaster recovery
Raccolta di documenti PDF separati
Creating your file...
Questi sono parametri importanti per rafforzare l'amministrazione del sistema ONTAP.
Accesso a riga di comando
Stabilire un accesso sicuro ai sistemi è fondamentale per mantenere una soluzione sicura. Le opzioni di accesso alla riga di comando più comuni sono SSH, Telnet e RSH. Di questi, SSH è la Best practice più sicura e standard del settore per l'accesso remoto a riga di comando. NetApp consiglia vivamente di utilizzare SSH per l'accesso a riga di comando alla soluzione ONTAP.
Configurazioni SSH
Il security ssh show
comando mostra le configurazioni degli algoritmi di scambio chiavi SSH, cifrari e algoritmi MAC per il cluster e le SVM. Il metodo di scambio della chiave utilizza questi algoritmi e cifrari per specificare il modo in cui le chiavi di sessione monouso vengono generate per la crittografia e l'autenticazione e come avviene l'autenticazione del server.
cluster1::> security ssh show Vserver Ciphers Key Exchange Algorithms MAC Algorithms -------- ---------------- -------------------------- -------------- nsadhanacluster-2 aes256-ctr, diffie-helman-group- hmac-sha2-256 aes192-ctr, exchange-sha256, hmac-sha2-512 aes128-ctr ecdh-sha2-nistp384 vs0 aes128-gcm curve25519-sha256 hmac-sha1 vs1 aes256-ctr, diffie-hellman-group- hmac-sha1-96 aes192-ctr, exchange-sha256 hmac-sha2-256 aes128-ctr, ecdh-sha2-nistp384 hmac-sha2-256- 3des-cbc, ecdh-sha2-nistp512 etm aes128-gcm hmac-sha2-512 3 entries were displayed.
Banner di accesso
I banner di accesso consentono alle organizzazioni di presentare agli operatori, agli amministratori e persino ai malintenzionati i termini e le condizioni di corretto utilizzo, indicando chi ha il permesso di accedere al sistema. Questo approccio è utile per stabilire le aspettative per l'accesso e l'utilizzo del sistema. Il security login banner modify
comando modifica il banner di accesso. Il banner di accesso viene visualizzato poco prima della fase di autenticazione durante il processo di login del dispositivo SSH e della console. Il testo del banner deve essere tra virgolette doppie (" "), come illustrato nell'esempio seguente.
cluster1::> security login banner modify -vserver cluster1 -message “Authorized users ONLY!”
Parametri banner di accesso
Parametro | Descrizione |
---|---|
|
Utilizzare questo parametro per specificare la SVM con il banner modificato. Utilizza il nome della SVM di amministrazione cluster per modificare il messaggio a livello di cluster. Il messaggio a livello di cluster è utilizzato come impostazione predefinita per le SVM di dati che non hanno definito un messaggio. |
|
Questo parametro opzionale può essere utilizzato per specificare un messaggio banner di accesso. Se il cluster ha un set di messaggi di login banner, anche il banner di login al cluster viene utilizzato da tutte le SVM di dati. L'impostazione del banner di accesso di una SVM dati ha la priorità sulla visualizzazione del banner di accesso al cluster. Per reimpostare il banner di accesso di una SVM dati e utilizzare il banner di accesso del cluster, utilizza questo parametro con il valore "-". Se si utilizza questo parametro, il banner di accesso non può contenere nuove righe (note anche come estremità delle righe [EOLS] o interruzioni di riga). Per immettere un messaggio banner di accesso con nuove righe, non specificare alcun parametro. Viene richiesto di immettere il messaggio in modo interattivo. I messaggi immessi in modo interattivo possono contenere nuove righe. I caratteri non ASCII devono utilizzare Unicode UTF-8. |
|
`(ftp |
http)://(hostname |
IPv4` |
Messaggio del giorno
Il security login motd modify
comando aggiorna il messaggio del giorno (MOTD).
Ci sono due categorie di MOTD: Il MOTD a livello di cluster e il MOTD a livello di SVM dati. Un utente che accede alla shell di un cluster di dati della SVM potrebbe visualizzare due messaggi: Il MOTD a livello di cluster seguito dal MOTD a livello di SVM per tale SVM.
L'amministratore del cluster può attivare o disattivare il MOTD a livello di cluster su ciascuna SVM singolarmente, se necessario. Se l'amministratore del cluster disabilita il MOTD a livello di cluster per una SVM, un utente che accede alla SVM non visualizza il messaggio a livello di cluster. Solo un amministratore del cluster può attivare o disattivare il messaggio a livello di cluster.
Parametro MOTD | Descrizione |
---|---|
Server virtuale |
Utilizzare questo parametro per specificare la SVM per la quale viene modificato il MOTD. Utilizza il nome della SVM di amministrazione cluster per modificare il messaggio a livello di cluster. |
messaggio |
Questo parametro opzionale può essere utilizzato per specificare un messaggio. Se si utilizza questo parametro, MOTD non può contenere nuove righe. Se non si specifica alcun parametro diverso dal
|
Per ulteriori informazioni sulla configurazione del messaggio del giorno in ONTAP, vedere "Documentazione ONTAP su messaggio del giorno".
Timeout sessione CLI
Il timeout predefinito della sessione CLI è di 30 minuti. Il timeout è importante per evitare sessioni stalose e piggybacking di sessione.
Utilizzare il system timeout show
comando per visualizzare il timeout della sessione CLI corrente. Per impostare il valore di timeout, utilizzare system timeout modify -timeout <minutes>
il comando.
Accesso Web con Gestione di sistema di NetApp ONTAP
Se un amministratore di ONTAP preferisce utilizzare un'interfaccia grafica anziché l'interfaccia CLI per l'accesso e la gestione di un cluster, usa NetApp ONTAP System Manager. È incluso in ONTAP come servizio Web, attivato per impostazione predefinita e accessibile tramite un browser. Puntare il browser al nome host se si utilizza DNS o l'indirizzo IPv4 o IPv6 tramite https://cluster-management-LIF
.
Se il cluster utilizza un certificato digitale autofirmato, il browser potrebbe visualizzare un avviso che indica che il certificato non è attendibile. È possibile confermare il rischio di continuare l'accesso o installare un certificato digitale firmato dall'autorità di certificazione (CA) sul cluster per l'autenticazione del server.
A partire da ONTAP 9,3, l'autenticazione SAML (Security Assertion Markup Language) è un'opzione per Gestione di sistema di ONTAP.
Autenticazione SAML per Gestione di sistema ONTAP
SAML 2,0 è uno standard di settore ampiamente adottato che consente a qualsiasi Identity provider (IdP) conforme a SAML di terze parti di eseguire MFA utilizzando meccanismi esclusivi dell'IdP dell'azienda e come origine del single sign-on (SSO).
Nella specifica SAML sono definiti tre ruoli: Principal, IdP e Service Provider. Nell'implementazione di ONTAP, un'entità è rappresentata dall'amministratore del cluster che accede a ONTAP tramite ONTAP System Manager o NetApp Active IQ Unified Manager. L'IdP è un software IdP di terze parti. A partire da ONTAP 9,3, Microsoft Active Directory Federated Services (ADFS) e l'IdP Shibboleth open-source sono IDP supportati. A partire da ONTAP 9.12.1, Cisco DUO è un IdP supportato. Il provider di servizi è la funzionalità SAML integrata in ONTAP utilizzata dal gestore di sistema di ONTAP o dall'applicazione Web di Active IQ Unified Manager.
A differenza del processo di configurazione a due fattori SSH, dopo l'attivazione dell'autenticazione SAML, l'accesso al Gestore di sistema ONTAP o al processore di servizio ONTAP richiede a tutti gli amministratori esistenti di eseguire l'autenticazione tramite l'IdP SAML. Non è necessario apportare modifiche agli account utente cluster. Quando l'autenticazione SAML è attivata, viene aggiunto un nuovo metodo di autenticazione di saml
agli utenti esistenti con ruoli di amministratore per le http
applicazioni e ontapi
.
Dopo l'attivazione dell'autenticazione SAML, è necessario definire altri nuovi account che richiedono l'accesso IdP SAML in ONTAP con il ruolo di amministratore e il metodo di autenticazione saml per le http
applicazioni e ontapi
. Se a un certo punto l'autenticazione SAML è disabilitata, questi nuovi account richiedono che il password
metodo di autenticazione sia definito con il ruolo di amministratore per http
le applicazioni e ontapi
l'aggiunta dell'applicazione console per l'autenticazione ONTAP locale a Gestione sistema ONTAP.
Dopo l'abilitazione dell'IdP SAML, l'IdP esegue l'autenticazione per l'accesso a ONTAP System Manager utilizzando metodi disponibili per l'IdP, come Lightweight Directory Access Protocol (LDAP), Active Directory (ad), Kerberos, password e così via. I metodi disponibili sono esclusivi dell'IdP. È importante che gli account configurati in ONTAP dispongano di ID utente associati ai metodi di autenticazione IdP.
Gli IDP convalidati da NetApp sono Microsoft ADFS, Cisco DUO e l'open-source Shibboleth IdP.
A partire da ONTAP 9.14.1, è possibile utilizzare Cisco DUO come secondo fattore di autenticazione per SSH.
Per ulteriori informazioni su MFA per Gestore di sistema ONTAP, Active IQ Unified Manager e SSH, vedere "TR-4647: Autenticazione multifattore in ONTAP 9".
Informazioni su System Manager di ONTAP
A partire da ONTAP 9.11.1, ONTAP System Manager fornisce informazioni utili agli amministratori dei cluster per ottimizzare i task di tutti i giorni. Le informazioni sulla sicurezza si basano sulle raccomandazioni contenute in questo report tecnico.
Informazioni sulla sicurezza | Determinazione |
---|---|
Telnet è attivato |
NetApp consiglia Secure Shell (SSH) per un accesso remoto sicuro. |
Remote Shell (RSH) è attivato |
NetApp consiglia SSH per un accesso remoto sicuro. |
AutoSupport sta utilizzando un protocollo non sicuro |
AutoSupport non è configurato per l'invio tramite link:HTTPS. |
Il banner di accesso non è configurato sul cluster a livello di cluster |
Avvertenza se il banner di accesso non è configurato per il cluster. |
SSH sta utilizzando cifrari non sicuri |
Avvertimento se SSH utilizza cifrari non sicuri. |
Sono stati configurati troppi server NTP |
Avvertenza se il numero di server NTP configurati è inferiore a tre. |
Utente amministratore predefinito non bloccato |
Quando non si utilizzano account amministrativi predefiniti (admin o diag) per accedere a System Manager e questi account non sono bloccati, si consiglia di bloccarli. |
Difesa da ransomware: I volumi non dispongono di policy Snapshot |
Nessuna policy Snapshot adeguata è collegata a uno o più volumi. |
Difesa dal ransomware — disattiva l'eliminazione automatica delle snapshot |
L'eliminazione automatica dello snapshot è impostata per uno o più volumi. |
I volumi non vengono monitorati alla ricerca di attacchi ransomware |
La protezione autonoma da ransomware è supportata su diversi volumi, ma non ancora configurata. |
Le SVM non sono configurate per la protezione autonoma da ransomware |
La protezione autonoma da ransomware è supportata su diverse SVM, ma non ancora configurata. |
FPolicy nativo non è configurato |
FPolicy non è impostato per SVM NAS. |
Attiva la modalità attiva di protezione autonoma dal ransomware |
Diversi volumi hanno completato la modalità di apprendimento ed è possibile attivare la modalità attiva |
La compliance FIPS globale 140-2 è disattivata |
La conformità FIPS 140-2 globale non è abilitata. |
Il cluster non è configurato per le notifiche |
E-mail, webhook o traphost SNMP non sono configurati per ricevere notifiche. |
Per ulteriori informazioni su Gestione di sistema di ONTAP, vedere "Documentazione di ONTAP System Manager".