Note di rilascio
Accedere a un cluster ONTAP utilizzando le richieste SSH
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Protezione dei dati mediante backup su nastro
-
-
Raccolta di documenti PDF separati
Creating your file...
È possibile inviare richieste SSH a un cluster ONTAP per eseguire task amministrativi. SSH è attivato per impostazione predefinita.
-
È necessario disporre di un account utente configurato per l'utilizzo
sshcome metodo di accesso.Il
-applicationparametro deisecurity logincomandi specifica il metodo di accesso per un account utente. Ulteriori informazioni susecurity loginnella "Riferimento al comando ONTAP". -
Se si utilizza un account utente di dominio Active Directory (ad) per accedere al cluster, è necessario configurare un tunnel di autenticazione per il cluster tramite una VM di storage abilitata CIFS e aggiungere anche l'account utente di dominio ad al cluster con
sshcome metodo di accesso e.domaincome metodo di autenticazione.
-
È necessario utilizzare un client OpenSSH 5.7 o successivo.
-
È supportato solo il protocollo SSH v2; SSH v1 non è supportato.
-
ONTAP supporta un massimo di 64 sessioni SSH simultanee per nodo.
Se la LIF di gestione del cluster risiede nel nodo, condivide questo limite con la LIF di gestione del nodo.
Se la velocità delle connessioni in entrata è superiore a 10 al secondo, il servizio viene temporaneamente disattivato per 60 secondi.
-
ONTAP supporta solo gli algoritmi di crittografia AES e 3DES (noti anche come cifrari) per SSH.
AES è supportato con 128, 192 e 256 bit di lunghezza della chiave. 3DES ha una lunghezza della chiave di 56 bit come nel DES originale, ma viene ripetuto tre volte.
-
Quando la modalità FIPS è attiva, i client SSH devono negoziare con gli algoritmi a chiave pubblica ECDSA (Elliptic Curve Digital Signature Algorithm) per consentire la connessione.
-
Se si desidera accedere all'interfaccia utente di ONTAP da un host Windows, è possibile utilizzare un'utility di terze parti, ad esempio putty.
-
Se si utilizza un nome utente Windows ad per accedere a ONTAP, utilizzare le stesse lettere maiuscole o minuscole utilizzate al momento della creazione del nome utente e del nome di dominio ad in ONTAP.
I nomi utente E i nomi di dominio AD non sono sensibili al maiuscolo/minuscolo. Tuttavia, i nomi utente ONTAP distinguono tra maiuscole e minuscole. La mancata corrispondenza tra il nome utente creato in ONTAP e il nome utente creato in ad comporta un errore di accesso.
-
A partire da ONTAP 9.3, è possibile "Abilitare l'autenticazione a più fattori SSH" per gli account dell'amministratore locale.
Quando l'autenticazione a più fattori SSH è attivata, gli utenti vengono autenticati utilizzando una chiave pubblica e una password.
-
A partire da ONTAP 9.4, è possibile "Abilitare l'autenticazione a più fattori SSH" Per utenti remoti LDAP e NIS.
-
A partire da ONTAP 9.13.1, è possibile aggiungere facoltativamente la convalida del certificato al processo di autenticazione SSH per migliorare la sicurezza di accesso. A tal fine, "Associare un certificato X.509 alla chiave pubblica" utilizzato da un account. Se si accede utilizzando SSH sia con una chiave pubblica SSH che con un certificato X.509, ONTAP verifica la validità del certificato X.509 prima di autenticarsi con la chiave pubblica SSH. L'accesso SSH viene rifiutato se il certificato è scaduto o revocato e la chiave pubblica SSH viene disattivata automaticamente.
-
A partire da ONTAP 9.14.1, gli amministratori di ONTAP possono farlo "Aggiungere l'autenticazione a due fattori Cisco Duo al processo di autenticazione SSH" per migliorare la protezione dell'accesso. Al primo accesso dopo aver attivato l'autenticazione Cisco Duo, gli utenti dovranno registrare un dispositivo per fungere da autenticatore per le sessioni SSH.
-
A partire da ONTAP 9.15.1, gli amministratori possono farlo "Configurare l'autorizzazione dinamica" Fornire un'autenticazione adattiva aggiuntiva agli utenti SSH in base al punteggio di attendibilità dell'utente.
-
Da un host con accesso alla rete del cluster ONTAP, immettere il
sshcomando in uno dei seguenti formati:-
ssh username@hostname_or_IP [command] -
ssh -l username hostname_or_IP [command]
-
Se si utilizza un account utente di dominio ad, è necessario specificare username nel formato di domainname\\AD_accountname (con barre rovesciate doppie dopo il nome di dominio) o. "domainname\AD_accountname" (racchiuso tra virgolette doppie e con una barra rovesciata singola dopo il nome di dominio).
hostname_or_IP È il nome host o l'indirizzo IP della LIF di gestione del cluster o di una LIF di gestione dei nodi. Si consiglia di utilizzare la LIF di gestione del cluster. È possibile utilizzare un indirizzo IPv4 o IPv6.
command Non è richiesto per le sessioni interattive SSH.
I seguenti esempi mostrano come l'account utente “joe” può emettere una richiesta SSH per accedere a un cluster la cui LIF di gestione del cluster è 10.72.137.28:
$ ssh joe@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
I seguenti esempi mostrano come l'account utente “john” del dominio “DOMAIN1” può emettere una richiesta SSH per accedere a un cluster la cui LIF di gestione del cluster è 10.72.137.28:
$ ssh DOMAIN1\\john@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
L'esempio seguente mostra come l'account utente “joe” può inviare una richiesta SSH MFA per accedere a un cluster la cui LIF di gestione del cluster è 10.72.137.32:
$ ssh joe@10.72.137.32 Authenticated with partial success. Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
