Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP 관리자 인증 및 RBAC 설정을 위한 워크시트

기여자

로그인 계정을 생성하고 역할 기반 액세스 제어(RBAC)를 설정하기 전에 구성 워크시트의 각 항목에 대한 정보를 수집해야 합니다.

이 절차에서 설명하는 명령에 대한 자세한 내용은 를 "ONTAP 명령 참조입니다"참조하십시오.

로그인 계정을 만들거나 수정합니다

로그인 계정을 사용하여 스토리지 VM에 액세스할 수 있도록 설정할 때 이러한 값을 명령과 함께 security login create 제공합니다. 에 대한 자세한 내용은 security login create "ONTAP 명령 참조입니다"을 참조하십시오. 계정이 스토리지 VM에 액세스하는 방식을 수정할 때 명령에 동일한 값을 security login modify 제공합니다. 에 대한 자세한 내용은 security login modify "ONTAP 명령 참조입니다"을 참조하십시오.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

계정이 액세스하는 스토리지 VM의 이름입니다. 기본값은 클러스터에 대한 admin 스토리지 VM의 이름입니다.

'-user-or-group-name'입니다

계정의 사용자 이름 또는 그룹 이름입니다. 그룹 이름을 지정하면 그룹의 각 사용자에 액세스할 수 있습니다. 사용자 이름 또는 그룹 이름을 여러 응용 프로그램과 연결할 수 있습니다.

'-응용 프로그램'

스토리지 VM에 액세스하는 데 사용되는 애플리케이션:

  • http입니다

  • ontapi

  • 'NMP'입니다

  • "쉬"

'-AuthMethod'입니다

계정을 인증하는 데 사용되는 메소드:

  • SSL 인증서 인증용 인증서

  • Active Directory 인증을 위한 "domain"입니다

  • LDAP 또는 NIS 인증을 위한 nsswitch입니다

  • 사용자 비밀번호 인증용 비밀번호

  • 공개 키 인증을 위한 공개 키

  • SNMP 커뮤니티 문자열을 위한 커뮤니티

  • SNMP 사용자 보안 모델을 위한 USM

  • SAML(Security Assertion Markup Language) 인증 시 'AML

'-remote-switch-ipaddress'

원격 스위치의 IP 주소입니다. 원격 스위치는 CSMM(Cluster Switch Health Monitor)에서 모니터링하는 클러스터 스위치이거나 MCC-HM(MetroCluster Health Monitor)에서 모니터링하는 FC(Fibre Channel) 스위치일 수 있습니다. 이 옵션은 애플리케이션이 NMP에 있고 인증 방법이 USM 일 때만 적용됩니다.

'-역할'

계정에 할당된 액세스 제어 역할:

  • 클러스터(관리자 스토리지 VM)의 경우 기본값은 입니다 admin.

  • 데이터 스토리지 VM의 경우 기본값은 입니다 vsadmin.

``논평’

(선택 사항) 계정에 대한 설명 텍스트입니다. 텍스트는 큰따옴표(")로 묶어야 합니다.

'-is-ns-switch-group'

계정이 LDAP 그룹 계정인지 NIS 그룹 계정인지 여부('예' 또는 '아니요')

두 번째 인증 방법

다단계 인증의 경우 두 번째 인증 방법:

  • "없음" 다단계 인증을 사용하지 않으면 기본값이 됩니다

  • AuthMethod가 password 또는 nsswitch 일 때 공개 키 인증을 위한 공개 키

  • 'AuthMethod'가 공개 키일 때 사용자 암호 인증을 위한 'password'입니다

  • AuthMethod가 publickey 일 때 사용자 암호 인증을 위한 nsswitch

인증 순서는 항상 공개 키와 암호 순서로 표시됩니다.

'-is-ldap-fastbind'

ONTAP 9.11.1부터 true로 설정하면 nsswitch 인증에 대한 LDAP 고속 바인딩이 설정됩니다. 기본값은 false 입니다. LDAP 빠른 바인딩을 사용하려면 -authentication-method 값을 로 설정해야 nsswitch 합니다. "ONTAP NFS SVM에 대한 nsswitch 인증을 위해 LDAP 빠른 바인딩을 사용합니다."..

Cisco Duo 보안 정보를 구성합니다

스토리지 VM에 대해 SSH 로그인으로 Cisco Duo 2단계 인증을 사용하도록 설정할 때 이 값을 security login duo create 명령에 입력합니다. 에 대한 자세한 내용은 security login duo create "ONTAP 명령 참조입니다"을 참조하십시오.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

Duo 인증 설정이 적용되는 스토리지 VM(ONTAP CLI에서 가상 서버라고도 함)

-integration-key

Duo에 SSH 애플리케이션을 등록할 때 얻은 통합 키입니다.

-secret-key

Duo에 SSH 애플리케이션을 등록할 때 얻은 비밀 키입니다.

-api-host

Duo에 SSH 애플리케이션을 등록할 때 얻은 API 호스트 이름입니다. 예를 들면 다음과 같습니다.

api-<HOSTNAME>.duosecurity.com

-fail-mode

Duo 인증을 방해하는 서비스 또는 구성 오류 발생 시 실패합니다 safe (액세스 허용) 또는 secure (액세스 거부). 기본값은 입니다 `safe`즉, Duo API 서버에 액세스할 수 없는 등의 오류로 인해 Duo 인증이 실패할 경우 Duo 인증이 무시됩니다.

-http-proxy

지정된 HTTP 프록시를 사용합니다. HTTP 프록시에 인증이 필요한 경우 프록시 URL에 자격 증명을 포함합니다. 예를 들면 다음과 같습니다.

http-proxy=http://username:password@proxy.example.org:8080

-autopush

둘 다 가능합니다 true 또는 false. 기본값은 입니다 false. If(경우 true, Duo는 푸시 로그인 요청을 사용자의 전화기로 자동으로 전송하여 푸시 기능을 사용할 수 없는 경우 전화 통화로 되돌립니다. 이렇게 하면 암호 인증이 효과적으로 비활성화됩니다. If(경우 `false`인증 방법을 선택하라는 메시지가 표시됩니다.

를 사용하여 구성 시 autopush = true, 설정하는 것이 좋습니다 max-prompts = 1.

-max-prompts

사용자가 두 번째 요소로 인증하지 못하면 Duo는 사용자에게 다시 인증하라는 메시지를 표시합니다. 이 옵션은 액세스를 거부하기 전에 Duo가 표시하는 최대 프롬프트 수를 설정합니다. 이어야 합니다 1, 2, 또는 3. 기본값은 입니다 1.

예를 들어, When max-prompts = 1, 사용자가 첫 번째 프롬프트에서 성공적으로 인증해야 하는 반면 IF `max-prompts = 2`초기 프롬프트에서 잘못된 정보를 입력하면 다시 인증하라는 메시지가 표시됩니다.

를 사용하여 구성 시 autopush = true, 설정하는 것이 좋습니다 max-prompts = 1.

최상의 경험을 위해 공개 키 인증만 있는 사용자는 항상 을(를) 가질 수 있습니다 max-prompts 를 로 설정합니다 1.

-enabled

Duo 이중 인증을 활성화합니다. 를 로 설정합니다 true 기본적으로 사용됩니다. 활성화되면 구성된 매개 변수에 따라 SSH 로그인 중에 Duo 이중 인증이 적용됩니다. Duo가 비활성화된 경우( 로 설정 false), Duo 인증은 무시됩니다.

-pushinfo

이 옵션은 액세스 중인 응용 프로그램 또는 서비스의 이름과 같은 추가 정보를 푸시 알림에 제공합니다. 이렇게 하면 사용자가 올바른 서비스에 로그인하는지 확인할 수 있으며 추가적인 보안 계층을 제공합니다.

사용자 지정 역할을 정의합니다

사용자 지정 역할을 정의할 때 이러한 값을 명령과 함께 security login role create 제공합니다. 에 대한 자세한 내용은 security login role create "ONTAP 명령 참조입니다"을 참조하십시오.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

(선택 사항) 역할과 연결된 스토리지 VM(ONTAP CLI에서 가상 서버라고 함)의 이름입니다.

'-역할'

역할의 이름입니다.

'-cmddirname'입니다

역할이 액세스를 제공하는 명령 또는 명령 디렉토리입니다. 명령 하위 디렉터리 이름은 큰따옴표(")로 묶어야 합니다. 예를 들어 ""볼륨 스냅샷""을 입력합니다. 모든 명령 디렉토리를 지정하려면 'default'를 입력해야 합니다.

'-액세스'

(선택 사항) 역할에 대한 액세스 수준입니다. 명령 디렉토리의 경우:

  • "없음"(사용자 지정 역할의 기본값)은 명령 디렉토리의 명령에 대한 액세스를 거부합니다

  • '재만'은 명령 디렉토리와 하위 디렉토리에 있는 'show' 명령에 대한 액세스 권한을 부여합니다

  • ALL은 명령 디렉토리와 하위 디렉토리에 있는 모든 명령에 대한 액세스 권한을 부여합니다

비내장 명령어 _ (create, modify, delete, sHow로 끝내지 않는 명령어):

  • "없음"(사용자 지정 역할의 기본값)은 명령에 대한 액세스를 거부합니다

  • "재담만"은 적용할 수 없습니다

  • 모두 명령을 사용할 수 있는 권한을 부여합니다

내장 명령에 대한 액세스를 부여하거나 거부하려면 명령 디렉터리를 지정해야 합니다.

'-query'

(선택 사항) 명령 또는 명령 디렉터리의 명령에 대해 유효한 옵션 형식으로 지정된 액세스 수준을 필터링하는 데 사용되는 쿼리 개체입니다. 쿼리 개체는 큰따옴표(")로 묶어야 합니다. 예를 들어, 명령 디렉토리가 "volume"이면 쿼리 객체 "-aggr0"은 "aggr0" 집합에만 액세스를 활성화합니다.

공개 키를 사용자 계정에 연결합니다

SSH 공개 키를 사용자 계정에 연결할 때 이러한 값을 security login publickey create 명령에 제공합니다. 에 대한 자세한 내용은 security login publickey create "ONTAP 명령 참조입니다"을 참조하십시오.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

(선택 사항) 계정이 액세스하는 스토리지 VM의 이름입니다.

'-사용자 이름'

계정의 사용자 이름입니다. 기본값인 admin은 클러스터 관리자의 기본 이름입니다.

``인덱스’

공개 키의 인덱스 번호입니다. 이 키가 계정에 대해 만들어진 첫 번째 키인 경우 기본값은 0이고, 그렇지 않은 경우 기본값은 해당 계정의 기존 인덱스 번호가 가장 높은 값보다 하나 더 큽니다.

'-공개 키'

OpenSSH 공개 키입니다. 키를 큰따옴표(")로 묶어야 합니다.

'-역할'

계정에 할당된 액세스 제어 역할입니다.

``논평’

(선택 사항) 공개 키에 대한 설명 텍스트입니다. 텍스트는 큰따옴표(")로 묶어야 합니다.

-x509-certificate

(선택 사항) ONTAP 9.13.1 부터는 SSH 공개 키와 X.509 인증서 연결을 관리할 수 있습니다.

X.509 인증서를 SSH 공개 키와 연결하면 ONTAP는 SSH 로그인 시 이 인증서가 유효한지 확인합니다. 만료되었거나 해지된 경우 로그인이 허용되지 않고 연결된 SSH 공개 키가 비활성화됩니다. 가능한 값:

  • install: 지정된 PEM 인코딩된 X.509 인증서를 설치하고 SSH 공개 키와 연결합니다. 설치할 인증서의 전체 텍스트를 포함합니다.

  • modify: 기존 PEM 인코딩된 X.509 인증서를 지정된 인증서와 업데이트하고 SSH 공개 키에 연결합니다. 새 인증서의 전체 텍스트를 포함합니다.

  • delete: SSH 공개 키와 기존 X.509 인증서 연결을 제거합니다.

동적 권한 부여 전역 설정을 구성합니다

ONTAP 9.15.1부터 명령에 이러한 값을 security dynamic-authorization modify 제공합니다. 에 대한 자세한 내용은 security dynamic-authorization modify "ONTAP 명령 참조입니다"을 참조하십시오.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

신뢰 점수 설정을 수정해야 하는 스토리지 VM의 이름입니다. 이 매개 변수를 생략하면 클러스터 수준의 설정이 사용됩니다.

``상태’’

동적 인증 모드입니다. 가능한 값:

  • disabled: (기본값) 동적 인증이 비활성화되었습니다.

  • visibility: 이 모드는 동적 권한 부여를 테스트하는 데 유용합니다. 이 모드에서는 모든 제한된 작업에서 신뢰 점수가 확인되지만 적용되지는 않습니다. 그러나 거부되거나 추가 인증 문제가 발생했을 수 있는 모든 작업이 기록됩니다.

  • enforced: 로 테스트를 완료한 후 사용합니다 visibility 모드를 선택합니다. 이 모드에서는 모든 제한된 작업에서 신뢰 점수를 확인하고 제한 조건이 충족되면 활동 제한이 적용됩니다. 또한 억제 간격이 적용되어 지정된 간격 내에 추가적인 인증 문제가 발생하지 않습니다.

-suppression-interval

지정된 간격 내에 추가적인 인증 문제를 방지합니다. 간격은 ISO-8601 형식으로 1분에서 1시간 사이의 값을 허용합니다. 0으로 설정하면 억제 간격이 비활성화되고 필요한 경우 사용자에게 항상 인증 확인 메시지가 표시됩니다.

-lower-challenge-boundary

하위 MFA(다중 요소 인증) 본인 확인 백분율 경계입니다. 유효한 범위는 0에서 99 사이입니다. 값 100은 모든 요청이 거부되기 때문에 유효하지 않습니다. 기본값은 0입니다.

-upper-challenge-boundary

상위 MFA 챌린지 백분율 경계입니다. 유효한 범위는 0에서 100 사이입니다. 이 값은 하위 경계 값보다 크거나 같아야 합니다. 값이 100이면 모든 요청이 거부되거나 추가 인증 챌린지가 적용됩니다. 본인 확인 없이 허용되는 요청은 없습니다. 기본값은 90입니다.

CA 서명 서버 디지털 인증서를 설치합니다

저장소 VM을 SSL 서버로 인증하는 데 사용할 CSR(디지털 인증서 서명 요청)을 생성할 때 이러한 값을 명령과 함께 security certificate generate-csr 제공합니다. 에 대한 자세한 내용은 security certificate generate-csr "ONTAP 명령 참조입니다"을 참조하십시오.

필드에 입력합니다

설명

귀사의 가치

'-common-name'입니다

정규화된 도메인 이름(FQDN) 또는 사용자 지정 일반 이름인 인증서의 이름입니다.

'-size'

개인 키의 비트 수입니다. 값이 클수록 키가 더 안전합니다. 기본값은 2048입니다. 가능한 값은 512, 1024, 1536, 2048입니다.

``국가’

스토리지 VM의 국가로, 2자로 된 코드입니다. 기본값은 입니다 US. 코드 목록은 를 참조하십시오"ONTAP 명령 참조입니다".

``상태’’

스토리지 VM의 시/도입니다.

``지역성’’

스토리지 VM의 인접성

``조직’’

스토리지 VM의 조직입니다.

``단위’’

스토리지 VM 조직의 단위입니다.

'-email-addr'

스토리지 VM에 대한 담당자 관리자의 e-메일 주소입니다.

``해쉬-함수’’

인증서 서명을 위한 암호화 해싱 기능 기본값은 'HA256'입니다. 가능한 값은 'HA1', 'HA256', 'MD5'입니다.

클러스터 또는 스토리지 VM을 SSL 서버로 인증하는 데 사용할 CA 서명 디지털 인증서를 설치할 때 이러한 값을 명령과 함께 security certificate install 제공합니다. 다음 표에는 계정 구성과 관련된 옵션만 나와 있습니다. 에 대한 자세한 내용은 security certificate install "ONTAP 명령 참조입니다"을 참조하십시오.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

인증서를 설치할 스토리지 VM의 이름입니다.

``유형’’

인증서 유형:

  • 서버 인증서 및 중간 인증서에 대한 서버

  • SSL 클라이언트의 루트 CA의 공개 키 인증서에 대한 client-ca

  • ONTAP가 클라이언트인 SSL 서버의 루트 CA의 공개 키 인증서에 대한 서버-카

  • SSL 클라이언트로서 ONTAP의 자체 서명 또는 CA 서명 디지털 인증서 및 개인 키용 '클라이언트'

Active Directory 도메인 컨트롤러 액세스를 구성합니다

데이터 스토리지 VM에 대해 SMB 서버를 이미 구성한 경우 스토리지 VM을 게이트웨이로 구성하거나 클러스터에 대한 Active Directory 도메인 컨트롤러 액세스를 위해 _tunnel_로 구성하려는 경우 이 값을 명령과 함께 security login domain-tunnel create 제공합니다. 에 대한 자세한 내용은 security login domain-tunnel create "ONTAP 명령 참조입니다"을 참조하십시오.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

SMB 서버가 구성된 스토리지 VM의 이름입니다.

SMB 서버를 구성하지 않은 상태에서 Active Directory 도메인에 스토리지 VM 컴퓨터 계정을 생성하려는 경우 이 값을 명령과 함께 vserver active-directory create 제공합니다. 에 대한 자세한 내용은 vserver active-directory create "ONTAP 명령 참조입니다"을 참조하십시오.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

Active Directory 컴퓨터 계정을 생성할 스토리지 VM의 이름입니다.

'-계정-이름'

컴퓨터 계정의 NetBIOS 이름입니다.

``도메인’

FQDN(정규화된 도메인 이름)입니다.

'-ou'

도메인의 조직 단위입니다. 기본값은 CN=Computers입니다. ONTAP는 이 값을 도메인 이름에 더하여 Active Directory 고유 이름을 생성합니다.

LDAP 또는 NIS 서버 액세스를 구성합니다

스토리지 VM에 대한 LDAP 클라이언트 구성을 생성할 때 이러한 값을 명령과 함께 vserver services name-service ldap client create 제공합니다. 에 대한 자세한 내용은 vserver services name-service ldap client create "ONTAP 명령 참조입니다"을 참조하십시오.

다음 표에는 계정 구성과 관련된 옵션만 나와 있습니다.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

클라이언트 구성에 대한 스토리지 VM의 이름입니다.

'-client-config'입니다

클라이언트 구성의 이름입니다.

'-LDAP-서버'

클라이언트가 연결되는 LDAP 서버의 IP 주소 및 호스트 이름을 쉼표로 구분하여 나열합니다.

'-스키마'

클라이언트가 LDAP 쿼리를 만드는 데 사용하는 스키마입니다.

'-use-start-tls'

클라이언트가 Start TLS를 사용하여 LDAP 서버와의 통신을 암호화하는지 여부("true" 또는 "false")

참고

TLS 시작은 데이터 스토리지 VM에 대한 액세스에만 지원됩니다. 관리자 스토리지 VM에 대한 액세스는 지원되지 않습니다.

LDAP 클라이언트 구성을 스토리지 VM에 연결할 때 이러한 값을 명령과 함께 vserver services name-service ldap create 제공합니다. 에 대한 자세한 내용은 vserver services name-service ldap create "ONTAP 명령 참조입니다"을 참조하십시오.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

클라이언트 구성을 연결할 스토리지 VM의 이름입니다.

'-client-config'입니다

클라이언트 구성의 이름입니다.

'-client-enabled'

스토리지 VM이 LDAP 클라이언트 구성을 사용할 수 있는지 여부를 나타냅니다 (true 또는 false)를 클릭합니다.

스토리지 VM에서 NIS 도메인 구성을 생성할 때 명령과 함께 이러한 값을 vserver services name-service nis-domain create 제공합니다. 에 대한 자세한 내용은 vserver services name-service nis-domain create "ONTAP 명령 참조입니다"을 참조하십시오.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

도메인 구성을 생성할 스토리지 VM의 이름입니다.

``도메인’

도메인의 이름입니다.

'-NIS-서버'

도메인 구성에 사용되는 NIS 서버의 IP 주소 및 호스트 이름을 쉼표로 구분된 목록입니다.

이름 서비스 소스의 조회 순서를 지정할 때 이러한 값을 명령과 함께 vserver services name-service ns-switch create 제공합니다. 에 대한 자세한 내용은 vserver services name-service ns-switch create "ONTAP 명령 참조입니다"을 참조하십시오.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

이름 서비스 조회 순서를 구성할 스토리지 VM의 이름입니다.

'-데이터베이스'

네임 서비스 데이터베이스:

  • 파일 및 DNS 이름 서비스를 위한 호스트

  • 파일, LDAP, NIS 이름 서비스에 대한 그룹

  • 파일, LDAP 및 NIS 이름 서비스의 'passwd'

  • 파일, LDAP 및 NIS 이름 서비스에 대한 넷그룹

  • 파일 및 LDAP 이름 서비스에 대한 이름 맵

``근원’’

쉼표로 구분된 목록에서 이름 서비스 소스를 조회하는 순서:

  • '파일'

  • 드문들

  • "LDAP"

  • 국정원

SAML 액세스를 구성합니다

ONTAP 9.3부터 SAML 인증을 구성하는 명령과 함께 이러한 값을 security saml-sp create 제공합니다. 에 대한 자세한 내용은 security saml-sp create "ONTAP 명령 참조입니다"을 참조하십시오.

필드에 입력합니다

설명

귀사의 가치

'-IDP-Uri'

IDP 메타데이터를 다운로드할 수 있는 IDP(Identity Provider) 호스트의 FTP 주소 또는 HTTP 주소입니다.

``SP-HOST’’

SAML 서비스 공급자 호스트(ONTAP 시스템)의 호스트 이름 또는 IP 주소입니다. 기본적으로 클러스터 관리 LIF의 IP 주소가 사용됩니다.

-cert-ca-cert-serial, 또는 -cert-common-name

서비스 공급자 호스트(ONTAP 시스템)의 서버 인증서 세부 정보입니다. 서비스 공급자의 CA(인증 기관)와 인증서의 일련 번호 또는 서버 인증서 공통 이름을 입력할 수 있습니다.

'-verify-metadata-server'

IDP 메타데이터 서버의 ID를 검증해야 하는지 여부('true' 또는 'false'). 가장 좋은 방법은 이 값을 항상 TRUE로 설정하는 것입니다.