Skip to main content
ONTAP Select
이 제품의 최신 릴리즈를 사용할 수 있습니다.
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP Select 배포 보안

PDF

ONTAP Select 배포를 보호하는 일환으로 수행할 수 있는 관련 작업이 여러 가지 있습니다.

배포 관리자 비밀번호 변경

필요에 따라 웹 사용자 인터페이스를 사용하여 가상 머신 배포 관리자 계정의 비밀번호를 변경할 수 있습니다.

단계

  1. 관리자 계정을 사용하여 Deploy 유틸리티 웹 사용자 인터페이스에 Sign in .

  2. 페이지 오른쪽 상단에 있는 그림 아이콘을 클릭하고 *비밀번호 변경*을 선택하세요.

  3. 지시에 따라 현재 비밀번호와 새 비밀번호를 입력하고 *제출*을 클릭하세요.

관리 서버 계정 추가

배포 자격 증명 저장소 데이터베이스에 관리 서버 계정을 추가할 수 있습니다.

시작하기 전에

ONTAP Select Deploy에서 자격 증명의 유형과 해당 자격 증명을 사용하는 방법을 잘 알고 있어야 합니다.

단계

  1. 관리자 계정을 사용하여 Deploy 유틸리티 웹 사용자 인터페이스에 Sign in .

  2. 페이지 상단의 관리 탭을 클릭하세요.

  3. *관리 서버*를 클릭한 다음 *vCenter 추가*를 클릭합니다.

  4. 다음 정보를 입력하고 *추가*를 클릭하세요.

    이 분야에서는… 다음을 수행하세요…

    이름/IP 주소

    vCenter 서버의 도메인 이름이나 IP 주소를 제공하세요.

    사용자 이름

    vCenter에 액세스하려면 계정 사용자 이름을 입력하세요.

    비밀번호

    연관된 사용자 이름에 대한 비밀번호를 입력하세요.

  5. 새 관리 서버가 추가된 후 선택적으로 클릭할 수 있습니다. 옵션 다음 중 하나를 선택하세요.

    • 자격 증명 업데이트

    • 자격 증명 확인

    • 관리 서버 제거

MFA 구성

ONTAP Select 9.13.1부터 ONTAP Select Deploy 관리자 계정에 대해 다중 인증(MFA)이 지원됩니다.

ONTAP Select Deploy CLI MFA 로그인을 YubiKey PIV 또는 FIDO2 인증을 사용하여 선택합니다.

유비키 PIV

YubiKey PIN을 구성하고 다음 단계에 따라 원격 지원 에이전트(RSA) 또는 타원 곡선 디지털 서명 알고리즘(ECDSA) 개인 키와 인증서를 생성하거나 가져옵니다. "TR-4647: ONTAP 의 다중 인증" .

  • Windows의 경우: 기술 보고서의 Windows용 YubiKey PIV 클라이언트 구성 섹션.

  • MacOS의 경우: 기술 보고서의 MAC OS 및 Linux용 YubiKey PIV 클라이언트 구성 섹션.

FIDO2

YubiKey FIDO2 인증을 선택하는 경우, YubiKey Manager를 사용하여 YubiKey FIDO2 PIN을 설정하고 Windows의 경우 PuTTY-CAC(Common Access Card) 또는 MacOS의 경우 ssh-keygen을 사용하여 FIDO2 키를 생성하세요. 자세한 단계는 기술 보고서에 나와 있습니다. "TR-4647: ONTAP 의 다중 인증" .

  • Windows의 경우: 기술 보고서의 Windows용 YubiKey FIDO2 클라이언트 구성 섹션.

  • MacOS의 경우: 기술 보고서의 Mac OS 및 Linux용 YubiKey FIDO2 클라이언트 구성 섹션.

YubiKey PIV 또는 FIDO2 공개 키를 얻으세요

공개 키를 얻는 방법은 Windows 클라이언트인지 MacOS 클라이언트인지, 그리고 PIV 또는 FIDO2를 사용하는지에 따라 달라집니다.

Windows의 경우:

  • TR-4647의 16페이지에 있는 YubiKey PIV 인증을 위한 Windows PuTTY-CAC SSH 클라이언트 구성 섹션에 설명된 대로 SSH → 인증서 아래의 클립보드에 복사 기능을 사용하여 PIV 공개 키를 내보냅니다.

  • TR-4647의 30페이지에 있는 YubiKey FIDO2 인증을 위한 Windows PuTTY-CAC SSH 클라이언트 구성 섹션에 설명된 대로 SSH → 인증서 아래의 클립보드에 복사 기능을 사용하여 FIDO2 공개 키를 내보냅니다.

MacOS의 경우:

  • PIV 공개 키는 다음을 사용하여 내보내야 합니다. ssh-keygen -e TR-4647의 24페이지에 있는 YubiKey PIV 인증을 위한 Mac OS 또는 Linux SSH 클라이언트 구성 섹션에 설명된 대로 명령을 실행합니다.

  • FIDO2 공개 키는 id_ecdsa_sk.pub 파일 또는 id_edd519_sk.pub YubiKey FIDO2 인증을 위한 MAC OS 또는 Linux SSH 클라이언트 구성 섹션에 설명된 대로 ECDSA 또는 EDD519를 사용하는지에 따라 파일이 달라집니다.

ONTAP Select

관리자 계정에서는 공개 키 인증 방식으로 SSH를 사용합니다. 사용되는 명령어는 인증 방식이 표준 SSH 공개 키 인증, YubiKey PIV 또는 FIDO2 인증인지에 관계없이 동일합니다.

하드웨어 기반 SSH MFA의 경우 ONTAP Select Deploy에 구성된 공개 키 외에 추가된 인증 요소는 다음과 같습니다.

  • PIV 또는 FIDO2 PIN

  • YubiKey 하드웨어 장치 소유. FIDO2의 경우, 인증 과정에서 YubiKey를 물리적으로 접촉하여 이를 확인합니다.

시작하기 전에

YubiKey에 설정된 PIV 또는 FIDO2 공개 키를 설정하세요. ONTAP Select Deploy CLI 명령 security publickey add -key PIV나 FIDO2는 동일하며 공개 키 문자열은 다릅니다.

공개 키는 다음에서 얻습니다.

  • PIV 및 FIDO2(Windows)용 PuTTY-CAC의 클립보드에 복사 기능

  • SSH 호환 형식으로 공개 키 내보내기 ssh-keygen -e PIV에 대한 명령

  • 공개 키 파일은 다음 위치에 있습니다. ~/.ssh/id_***_sk.pub FIDO2 파일(MacOS)

단계

  1. 생성된 키를 찾으세요 .ssh/id_***.pub 파일.

  2. 생성된 키를 ONTAP Select . security publickey add -key <key> 명령.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. MFA 인증을 활성화하세요. security multifactor authentication enable 명령.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

ONTAP Select .

SSH를 통한 YubiKey PIV 인증을 사용하여 ONTAP Select Deploy에 로그인할 수 있습니다.

단계

  1. YubiKey 토큰, SSH 클라이언트, ONTAP Select Deploy가 구성된 후에는 SSH를 통해 MFA YubiKey PIV 인증을 사용할 수 있습니다.

  2. ONTAP Select . Windows PuTTY-CAC SSH 클라이언트를 사용하는 경우 YubiKey PIN을 입력하라는 대화 상자가 나타납니다.

  3. YubiKey가 연결된 기기에서 로그인하세요.

출력 예
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

ONTAP Select Deploy CLI MFA 로그인을 ssh-keygen을 사용하여 실행합니다.

그만큼 ssh-keygen command는 SSH용 새로운 인증 키 쌍을 생성하는 도구입니다. 이 키 쌍은 로그인 자동화, Single Sign-On 및 호스트 인증에 사용됩니다.

그만큼 ssh-keygen 이 명령은 인증 키에 대해 여러 가지 공개 키 알고리즘을 지원합니다.

  • 알고리즘은 다음과 같이 선택됩니다. -t 옵션

  • 키 크기는 다음과 같이 선택됩니다. -b 옵션

출력 예
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
단계

  1. 생성된 키를 찾으세요 .ssh/id_***.pub 파일.

  2. 생성된 키를 ONTAP Select . security publickey add -key <key> 명령.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. MFA 인증을 활성화하세요. security multifactor authentication enable 명령.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

  4. MFA를 활성화한 후 ONTAP Select Deploy 시스템에 로그인하세요. 다음 예와 유사한 출력이 표시됩니다.

    [<user ID> ~]$ ssh <admin>
Authenticated with partial success.
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

MFA에서 단일 요소 인증으로 마이그레이션

다음 방법을 사용하여 배포 관리자 계정에 대해 MFA를 비활성화할 수 있습니다.

  • SSH(Secure Shell)를 사용하여 관리자로 Deploy CLI에 로그인할 수 있는 경우 다음을 실행하여 MFA를 비활성화합니다. security multifactor authentication disable Deploy CLI에서 명령을 실행합니다.

    (ONTAPdeploy) security multifactor authentication disable
MFA disabled Successfully

  • SSH를 사용하여 관리자로 Deploy CLI에 로그인할 수 없는 경우:

    1. vCenter 또는 vSphere를 통해 배포 가상 머신(VM) 비디오 콘솔에 연결합니다.

    2. 관리자 계정을 사용하여 Deploy CLI에 로그인합니다.

    3. 실행하다 security multifactor authentication disable 명령.

      Debian GNU/Linux 11 <user ID> tty1

<hostname> login: admin
Password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy) security multifactor authentication disable
MFA disabled successfully

(ONTAPdeploy)

  • 관리자는 다음을 사용하여 공개 키를 삭제할 수 있습니다.
    security publickey delete -key