Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

관리자 인증 및 RBAC 구성을 위한 워크시트

기여자
PDF

로그인 계정을 생성하고 역할 기반 액세스 제어(RBAC)를 설정하기 전에 구성 워크시트의 각 항목에 대한 정보를 수집해야 합니다.

로그인 계정을 만들거나 수정합니다

이러한 값은 에 제공됩니다 security login create 스토리지 VM에 액세스하기 위해 로그인 계정을 설정할 때 명령을 실행합니다. 에 동일한 값을 제공합니다 security login modify 계정이 스토리지 VM에 액세스하는 방법을 수정할 때 명령입니다.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

계정이 액세스하는 스토리지 VM의 이름입니다. 기본값은 클러스터에 대한 admin 스토리지 VM의 이름입니다.

'-user-or-group-name'입니다

계정의 사용자 이름 또는 그룹 이름입니다. 그룹 이름을 지정하면 그룹의 각 사용자에 액세스할 수 있습니다. 사용자 이름 또는 그룹 이름을 여러 응용 프로그램과 연결할 수 있습니다.

'-응용 프로그램'

스토리지 VM에 액세스하는 데 사용되는 애플리케이션:

  • http입니다

  • ontapi

  • 'NMP'입니다

  • "쉬"

'-AuthMethod'입니다

계정을 인증하는 데 사용되는 메소드:

  • SSL 인증서 인증용 인증서

  • Active Directory 인증을 위한 "domain"입니다

  • LDAP 또는 NIS 인증을 위한 nsswitch입니다

  • 사용자 비밀번호 인증용 비밀번호

  • 공개 키 인증을 위한 공개 키

  • SNMP 커뮤니티 문자열을 위한 커뮤니티

  • SNMP 사용자 보안 모델을 위한 USM

  • SAML(Security Assertion Markup Language) 인증 시 'AML

'-remote-switch-ipaddress'

원격 스위치의 IP 주소입니다. 원격 스위치는 CSMM(Cluster Switch Health Monitor)에서 모니터링하는 클러스터 스위치이거나 MCC-HM(MetroCluster Health Monitor)에서 모니터링하는 FC(Fibre Channel) 스위치일 수 있습니다. 이 옵션은 애플리케이션이 NMP에 있고 인증 방법이 USM 일 때만 적용됩니다.

'-역할'

계정에 할당된 액세스 제어 역할:

  • 클러스터(관리자 스토리지 VM)의 경우 기본값은 입니다 admin.

  • 데이터 스토리지 VM의 경우 기본값은 입니다 vsadmin.

``논평’

(선택 사항) 계정에 대한 설명 텍스트입니다. 텍스트는 큰따옴표(")로 묶어야 합니다.

'-is-ns-switch-group'

계정이 LDAP 그룹 계정인지 NIS 그룹 계정인지 여부('예' 또는 '아니요')

두 번째 인증 방법

다단계 인증의 경우 두 번째 인증 방법:

  • "없음" 다단계 인증을 사용하지 않으면 기본값이 됩니다

  • AuthMethod가 password 또는 nsswitch 일 때 공개 키 인증을 위한 공개 키

  • 'AuthMethod'가 공개 키일 때 사용자 암호 인증을 위한 'password'입니다

  • AuthMethod가 publickey 일 때 사용자 암호 인증을 위한 nsswitch

인증 순서는 항상 공개 키와 암호 순서로 표시됩니다.

'-is-ldap-fastbind'

ONTAP 9.11.1부터 true로 설정하면 nsswitch 인증에 대한 LDAP 고속 바인딩이 설정됩니다. 기본값은 false 입니다. LDAP fast bind를 사용하려면 '-authentication-method' 값을 nsswitch로 설정해야 한다. "nsswitch 인증을 위한 LDAP fastbind에 대해 알아봅니다."

Cisco Duo 보안 정보를 구성합니다

이러한 값은 에 제공됩니다 security login duo create 스토리지 VM에 대해 SSH 로그인으로 Cisco Duo 2단계 인증을 사용하도록 설정하는 명령입니다.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

Duo 인증 설정이 적용되는 스토리지 VM(ONTAP CLI에서 가상 서버라고도 함)

-integration-key

Duo에 SSH 애플리케이션을 등록할 때 얻은 통합 키입니다.

-secret-key

Duo에 SSH 애플리케이션을 등록할 때 얻은 비밀 키입니다.

-api-host

Duo에 SSH 애플리케이션을 등록할 때 얻은 API 호스트 이름입니다. 예를 들면 다음과 같습니다.

api-<HOSTNAME>.duosecurity.com

-fail-mode

Duo 인증을 방해하는 서비스 또는 구성 오류 발생 시 실패합니다 safe (액세스 허용) 또는 secure (액세스 거부). 기본값은 입니다 `safe`즉, Duo API 서버에 액세스할 수 없는 등의 오류로 인해 Duo 인증이 실패할 경우 Duo 인증이 무시됩니다.

-http-proxy

지정된 HTTP 프록시를 사용합니다. HTTP 프록시에 인증이 필요한 경우 프록시 URL에 자격 증명을 포함합니다. 예를 들면 다음과 같습니다.

http-proxy=http://username:password@proxy.example.org:8080

-autopush

둘 다 가능합니다 true 또는 false. 기본값은 입니다 false. If(경우 true, Duo는 푸시 로그인 요청을 사용자의 전화기로 자동으로 전송하여 푸시 기능을 사용할 수 없는 경우 전화 통화로 되돌립니다. 이렇게 하면 암호 인증이 효과적으로 비활성화됩니다. If(경우 `false`인증 방법을 선택하라는 메시지가 표시됩니다.

를 사용하여 구성 시 autopush = true, 설정하는 것이 좋습니다 max-prompts = 1.

-max-prompts

사용자가 두 번째 요소로 인증하지 못하면 Duo는 사용자에게 다시 인증하라는 메시지를 표시합니다. 이 옵션은 액세스를 거부하기 전에 Duo가 표시하는 최대 프롬프트 수를 설정합니다. 이어야 합니다 1, 2, 또는 3. 기본값은 입니다 1.

예를 들어, When max-prompts = 1, 사용자가 첫 번째 프롬프트에서 성공적으로 인증해야 하는 반면 IF `max-prompts = 2`초기 프롬프트에서 잘못된 정보를 입력하면 다시 인증하라는 메시지가 표시됩니다.

를 사용하여 구성 시 autopush = true, 설정하는 것이 좋습니다 max-prompts = 1.

최상의 경험을 위해 공개 키 인증만 있는 사용자는 항상 을(를) 가질 수 있습니다 max-prompts 를 로 설정합니다 1.

-enabled

Duo 이중 인증을 활성화합니다. 를 로 설정합니다 true 기본적으로 사용됩니다. 활성화되면 구성된 매개 변수에 따라 SSH 로그인 중에 Duo 이중 인증이 적용됩니다. Duo가 비활성화된 경우( 로 설정 false), Duo 인증은 무시됩니다.

사용자 지정 역할을 정의합니다

사용자 지정 역할을 정의할 때 이러한 값에 '보안 로그인 역할 생성' 명령을 제공합니다.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

(선택 사항) 역할과 연결된 스토리지 VM(ONTAP CLI에서 가상 서버라고 함)의 이름입니다.

'-역할'

역할의 이름입니다.

'-cmddirname'입니다

역할이 액세스를 제공하는 명령 또는 명령 디렉토리입니다. 명령 하위 디렉터리 이름은 큰따옴표(")로 묶어야 합니다. 예를 들어 ""볼륨 스냅샷""을 입력합니다. 모든 명령 디렉토리를 지정하려면 'default'를 입력해야 합니다.

'-액세스'

(선택 사항) 역할에 대한 액세스 수준입니다. 명령 디렉토리의 경우:

  • "없음"(사용자 지정 역할의 기본값)은 명령 디렉토리의 명령에 대한 액세스를 거부합니다

  • '재만'은 명령 디렉토리와 하위 디렉토리에 있는 'show' 명령에 대한 액세스 권한을 부여합니다

  • ALL은 명령 디렉토리와 하위 디렉토리에 있는 모든 명령에 대한 액세스 권한을 부여합니다

비내장 명령어 _ (create, modify, delete, sHow로 끝내지 않는 명령어):

  • "없음"(사용자 지정 역할의 기본값)은 명령에 대한 액세스를 거부합니다

  • "재담만"은 적용할 수 없습니다

  • 모두 명령을 사용할 수 있는 권한을 부여합니다

내장 명령에 대한 액세스를 부여하거나 거부하려면 명령 디렉터리를 지정해야 합니다.

'-query'

(선택 사항) 명령 또는 명령 디렉터리의 명령에 대해 유효한 옵션 형식으로 지정된 액세스 수준을 필터링하는 데 사용되는 쿼리 개체입니다. 쿼리 개체는 큰따옴표(")로 묶어야 합니다. 예를 들어, 명령 디렉토리가 "volume"이면 쿼리 객체 "-aggr0"은 "aggr0" 집합에만 액세스를 활성화합니다.

공개 키를 사용자 계정에 연결합니다

SSH 공개 키를 사용자 계정에 연결할 때 이 값을 '보안 로그인 공개 키 생성' 명령과 함께 제공합니다.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

(선택 사항) 계정이 액세스하는 스토리지 VM의 이름입니다.

'-사용자 이름'

계정의 사용자 이름입니다. 기본값인 admin은 클러스터 관리자의 기본 이름입니다.

``인덱스’

공개 키의 인덱스 번호입니다. 이 키가 계정에 대해 만들어진 첫 번째 키인 경우 기본값은 0이고, 그렇지 않은 경우 기본값은 해당 계정의 기존 인덱스 번호가 가장 높은 값보다 하나 더 큽니다.

'-공개 키'

OpenSSH 공개 키입니다. 키를 큰따옴표(")로 묶어야 합니다.

'-역할'

계정에 할당된 액세스 제어 역할입니다.

``논평’

(선택 사항) 공개 키에 대한 설명 텍스트입니다. 텍스트는 큰따옴표(")로 묶어야 합니다.

-x509-certificate

(선택 사항) ONTAP 9.13.1 부터는 SSH 공개 키와 X.509 인증서 연결을 관리할 수 있습니다.

X.509 인증서를 SSH 공개 키와 연결하면 ONTAP는 SSH 로그인 시 이 인증서가 유효한지 확인합니다. 만료되었거나 해지된 경우 로그인이 허용되지 않고 연결된 SSH 공개 키가 비활성화됩니다. 가능한 값:

  • install: 지정된 PEM 인코딩된 X.509 인증서를 설치하고 SSH 공개 키와 연결합니다. 설치할 인증서의 전체 텍스트를 포함합니다.

  • modify: 기존 PEM 인코딩된 X.509 인증서를 지정된 인증서와 업데이트하고 SSH 공개 키에 연결합니다. 새 인증서의 전체 텍스트를 포함합니다.

  • delete: SSH 공개 키와 기존 X.509 인증서 연결을 제거합니다.

CA 서명 서버 디지털 인증서를 설치합니다

이러한 값은 에 제공됩니다 security certificate generate-csr 스토리지 VM을 SSL 서버로 인증하는 데 사용할 디지털 인증서 서명 요청(CSR)을 생성하는 명령

필드에 입력합니다

설명

귀사의 가치

'-common-name'입니다

정규화된 도메인 이름(FQDN) 또는 사용자 지정 일반 이름인 인증서의 이름입니다.

'-size'

개인 키의 비트 수입니다. 값이 클수록 키가 더 안전합니다. 기본값은 2048입니다. 가능한 값은 512, 1024, 1536, 2048입니다.

``국가’

스토리지 VM의 국가로, 2자로 된 코드입니다. 기본값은 입니다 US. 코드 목록은 man 페이지를 참조하십시오.

``상태’’

스토리지 VM의 시/도입니다.

``지역성’’

스토리지 VM의 인접성

``조직’’

스토리지 VM의 조직입니다.

``단위’’

스토리지 VM 조직의 단위입니다.

'-email-addr'

스토리지 VM에 대한 담당자 관리자의 e-메일 주소입니다.

``해쉬-함수’’

인증서 서명을 위한 암호화 해싱 기능 기본값은 'HA256'입니다. 가능한 값은 'HA1', 'HA256', 'MD5'입니다.

이러한 값은 에 제공됩니다 security certificate install 클러스터 또는 스토리지 VM을 SSL 서버로 인증하는 데 사용할 CA 서명 디지털 인증서를 설치할 때 사용하는 명령입니다. 다음 표에는 계정 구성과 관련된 옵션만 나와 있습니다.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

인증서를 설치할 스토리지 VM의 이름입니다.

``유형’’

인증서 유형:

  • 서버 인증서 및 중간 인증서에 대한 서버

  • SSL 클라이언트의 루트 CA의 공개 키 인증서에 대한 client-ca

  • ONTAP가 클라이언트인 SSL 서버의 루트 CA의 공개 키 인증서에 대한 서버-카

  • SSL 클라이언트로서 ONTAP의 자체 서명 또는 CA 서명 디지털 인증서 및 개인 키용 '클라이언트'

Active Directory 도메인 컨트롤러 액세스를 구성합니다

이러한 값은 에 제공됩니다 security login domain-tunnel create 데이터 스토리지 VM에 사용할 SMB 서버를 이미 구성한 상태에서 스토리지 VM을 게이트웨이로 구성하거나 클러스터에 대한 Active Directory 도메인 컨트롤러 액세스를 위해 _tunnel_을 구성하려는 경우에 명령을 실행합니다.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

SMB 서버가 구성된 스토리지 VM의 이름입니다.

이러한 값은 에 제공됩니다 vserver active-directory create SMB 서버를 구성하지 않은 상태에서 Active Directory 도메인에 스토리지 VM 컴퓨터 계정을 생성하려는 경우 명령

필드에 입력합니다

설명

귀사의 가치

'-vserver'

Active Directory 컴퓨터 계정을 생성할 스토리지 VM의 이름입니다.

'-계정-이름'

컴퓨터 계정의 NetBIOS 이름입니다.

``도메인’

FQDN(정규화된 도메인 이름)입니다.

'-ou'

도메인의 조직 단위입니다. 기본값은 CN=Computers입니다. ONTAP는 이 값을 도메인 이름에 더하여 Active Directory 고유 이름을 생성합니다.

LDAP 또는 NIS 서버 액세스를 구성합니다

이러한 값은 에 제공됩니다 vserver services name-service ldap client create 명령을 사용하여 스토리지 VM에 대한 LDAP 클라이언트 구성을 생성할 수 있습니다.

다음 표에는 계정 구성과 관련된 옵션만 나와 있습니다.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

클라이언트 구성에 대한 스토리지 VM의 이름입니다.

'-client-config'입니다

클라이언트 구성의 이름입니다.

'-LDAP-서버'

클라이언트가 연결되는 LDAP 서버의 IP 주소 및 호스트 이름을 쉼표로 구분하여 나열합니다.

'-스키마'

클라이언트가 LDAP 쿼리를 만드는 데 사용하는 스키마입니다.

'-use-start-tls'

클라이언트가 Start TLS를 사용하여 LDAP 서버와의 통신을 암호화하는지 여부("true" 또는 "false")

참고

TLS 시작은 데이터 스토리지 VM에 대한 액세스에만 지원됩니다. 관리자 스토리지 VM에 대한 액세스는 지원되지 않습니다.

이러한 값은 에 제공됩니다 vserver services name-service ldap create LDAP 클라이언트 구성을 스토리지 VM에 연결하는 명령입니다.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

클라이언트 구성을 연결할 스토리지 VM의 이름입니다.

'-client-config'입니다

클라이언트 구성의 이름입니다.

'-client-enabled'

스토리지 VM이 LDAP 클라이언트 구성을 사용할 수 있는지 여부를 나타냅니다 (true 또는 false)를 클릭합니다.

이러한 값은 에 제공됩니다 vserver services name-service nis-domain create 명령을 사용하여 스토리지 VM에 NIS 도메인 구성을 생성할 수 있습니다.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

도메인 구성을 생성할 스토리지 VM의 이름입니다.

``도메인’

도메인의 이름입니다.

'-활성'

도메인이 활성 상태인지('true' 또는 'false') 여부

'-서버'

  • ONTAP 9.0, 9.1 *: 도메인 구성에 사용되는 NIS 서버의 IP 주소 목록을 쉼표로 구분하여 표시합니다.

'-NIS-서버'

도메인 구성에 사용되는 NIS 서버의 IP 주소 및 호스트 이름을 쉼표로 구분된 목록입니다.

이름 서비스 소스에 대한 조회 순서를 지정할 때 이러한 값을 'vserver services name-service ns-switch create' 명령과 함께 제공합니다.

필드에 입력합니다

설명

귀사의 가치

'-vserver'

이름 서비스 조회 순서를 구성할 스토리지 VM의 이름입니다.

'-데이터베이스'

네임 서비스 데이터베이스:

  • 파일 및 DNS 이름 서비스를 위한 호스트

  • 파일, LDAP, NIS 이름 서비스에 대한 그룹

  • 파일, LDAP 및 NIS 이름 서비스의 'passwd'

  • 파일, LDAP 및 NIS 이름 서비스에 대한 넷그룹

  • 파일 및 LDAP 이름 서비스에 대한 이름 맵

``근원’’

쉼표로 구분된 목록에서 이름 서비스 소스를 조회하는 순서:

  • '파일'

  • 드문들

  • "LDAP"

  • 국정원

SAML 액세스를 구성합니다

ONTAP 9.3부터는 SAML 인증을 구성하기 위해 'Security SAML-SP create' 명령을 사용하여 이러한 값을 제공합니다.

필드에 입력합니다

설명

귀사의 가치

'-IDP-Uri'

IDP 메타데이터를 다운로드할 수 있는 IDP(Identity Provider) 호스트의 FTP 주소 또는 HTTP 주소입니다.

``SP-HOST’’

SAML 서비스 공급자 호스트(ONTAP 시스템)의 호스트 이름 또는 IP 주소입니다. 기본적으로 클러스터 관리 LIF의 IP 주소가 사용됩니다.

-cert-ca-cert-serial, 또는 -cert-common-name

서비스 공급자 호스트(ONTAP 시스템)의 서버 인증서 세부 정보입니다. 서비스 공급자의 CA(인증 기관)와 인증서의 일련 번호 또는 서버 인증서 공통 이름을 입력할 수 있습니다.

'-verify-metadata-server'

IDP 메타데이터 서버의 ID를 검증해야 하는지 여부('true' 또는 'false'). 가장 좋은 방법은 이 값을 항상 TRUE로 설정하는 것입니다.