Aggiungere un ruolo NetApp ONTAP RBAC utilizzando i comandi di accesso di sicurezza
È possibile utilizzare i comandi di accesso di sicurezza per aggiungere un ruolo NetApp ONTAP RBAC quando i sistemi di storage eseguono ONTAP in cluster.
-
Identifica l'attività (o le attività) che desideri eseguire e i privilegi richiesti per eseguirle.
-
Concedi privilegi ai comandi e/o alle directory dei comandi.
Per ogni comando/directory di comandi sono previsti due livelli di accesso: accesso completo e sola lettura.
È sempre necessario assegnare prima i privilegi di accesso completo.
-
Assegnare ruoli agli utenti.
-
Identifica la tua configurazione a seconda che i tuoi plug-in SnapCenter siano connessi all'IP dell'amministratore del cluster per l'intero cluster o direttamente a una SVM all'interno del cluster.
Per semplificare la configurazione di questi ruoli sui sistemi di storage, è possibile utilizzare lo strumento RBAC User Creator per NetApp ONTAP , pubblicato sul NetApp Communities Forum.
Questo strumento gestisce automaticamente la corretta impostazione dei privilegi ONTAP . Ad esempio, lo strumento RBAC User Creator per NetApp ONTAP aggiunge automaticamente i privilegi nell'ordine corretto, in modo che i privilegi di accesso completo vengano visualizzati per primi. Se si aggiungono prima i privilegi di sola lettura e poi i privilegi di accesso completo, ONTAP contrassegna i privilegi di accesso completo come duplicati e li ignora.
|
Se in seguito si aggiorna SnapCenter o ONTAP, è necessario eseguire nuovamente lo strumento RBAC User Creator per NetApp ONTAP per aggiornare i ruoli utente creati in precedenza. I ruoli utente creati per una versione precedente di SnapCenter o ONTAP non funzionano correttamente con le versioni aggiornate. Quando si esegue nuovamente lo strumento, l'aggiornamento viene gestito automaticamente. Non è necessario ricreare i ruoli. |
Per ulteriori informazioni sulla configurazione dei ruoli ONTAP RBAC, vedere "Guida all'autenticazione dell'amministratore ONTAP 9 e all'alimentazione RBAC" .
-
Nel sistema di archiviazione, creare un nuovo ruolo immettendo il seguente comando:
security login role create <role_name\> -cmddirname "command" -access all –vserver <svm_name\>
-
svm_name è il nome dell'SVM. Se si lascia vuoto questo campo, il valore predefinito è amministratore del cluster.
-
role_name è il nome specificato per il ruolo.
-
il comando è la capacità ONTAP .
È necessario ripetere questo comando per ogni autorizzazione. Ricorda che i comandi di accesso completo devono essere elencati prima dei comandi di sola lettura.
Per informazioni sull'elenco delle autorizzazioni, vedere"Comandi CLI ONTAP per la creazione di ruoli e l'assegnazione di autorizzazioni" .
-
-
Crea un nome utente immettendo il seguente comando:
security login create -username <user_name\> -application ontapi -authmethod <password\> -role <name_of_role_in_step_1\> –vserver <svm_name\> -comment "user_description"
-
user_name è il nome dell'utente che stai creando.
-
<password> è la tua password. Se non specifichi una password, il sistema te ne chiederà una.
-
svm_name è il nome dell'SVM.
-
-
Assegnare il ruolo all'utente immettendo il seguente comando:
security login modify username <user_name\> –vserver <svm_name\> -role <role_name\> -application ontapi -application console -authmethod <password\>
-
<user_name> è il nome dell'utente creato nel passaggio 2. Questo comando consente di modificare l'utente per associarlo al ruolo.
-
<svm_name> è il nome dell'SVM.
-
<role_name> è il nome del ruolo creato nel passaggio 1.
-
<password> è la tua password. Se non specifichi una password, il sistema te ne chiederà una.
-
-
Verificare che l'utente sia stato creato correttamente immettendo il seguente comando:
security login show –vserver <svm_name\> -user-or-group-name <user_name\>
user_name è il nome dell'utente creato nel passaggio 3.