릴리스 정보
ONTAP 중재자 서비스를 관리합니다
변경 제안
PDF
사용자 자격 증명 변경, 서비스 중지 및 다시 활성화, 상태 확인, 호스트 유지 보수를 위한 SCST 설치 또는 제거를 비롯한 ONTAP 중재자 서비스를 관리합니다. 또한 자체 서명된 인증서 다시 생성, 신뢰할 수 있는 타사 인증서로 대체, 인증서 관련 문제 해결 등의 인증서를 관리할 수 있습니다.
사용자 이름을 변경합니다
다음 절차를 사용하여 사용자 이름을 변경할 수 있습니다.
ONTAP 중재자 서비스가 설치된 Linux 호스트에서 이 작업을 수행합니다.
이 명령에 액세스할 수 없는 경우 다음 예에 표시된 대로 전체 경로를 사용하여 명령을 실행해야 할 수 있습니다.
'/usr/local/bin/중재자_username'
다음 옵션 중 하나를 선택하여 사용자 이름을 변경합니다.
-
* option (a) * : 명령을 실행합니다
mediator_change_user를 클릭하고 다음 예에 표시된 프롬프트에 응답합니다.[root@mediator-host ~]# mediator_change_user Modify the Mediator API username by entering the following values: Mediator API User Name: mediatoradmin Password: New Mediator API User Name: mediator The account username has been modified successfully. [root@mediator-host ~]# -
* option(b) *: 다음 명령을 실행합니다.
MDIATOR_USERNAME=중재자_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin 중재자_CHANGE_USER
[root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user The account username has been modified successfully. [root@mediator-host ~]#
암호를 변경합니다
다음 절차를 사용하여 암호를 변경할 수 있습니다.
ONTAP 중재자 서비스가 설치된 Linux 호스트에서 이 작업을 수행합니다.
이 명령에 액세스할 수 없는 경우 다음 예에 표시된 대로 전체 경로를 사용하여 명령을 실행해야 할 수 있습니다.
'/usr/local/bin/중재자_change_password'
다음 옵션 중 하나를 선택하여 암호를 변경합니다.
-
* option (a) * : 를 실행합니다
mediator_change_password다음 예에 표시된 대로 명령을 실행하고 프롬프트에 응답합니다.[root@mediator-host ~]# mediator_change_password Change the Mediator API password by entering the following values: Mediator API User Name: mediatoradmin Old Password: New Password: Confirm Password: The password has been updated successfully. [root@mediator-host ~]# -
* option(b) *: 다음 명령을 실행합니다.
MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password이 예제에서는 암호가 "mediator1"에서 "mediator2"로 변경되었음을 보여 줍니다.
[root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password The password has been updated successfully. [root@mediator-host ~]#
ONTAP 중재자 서비스를 중지합니다
ONTAP 중재자 서비스를 중지하려면 다음 단계를 수행하십시오.
-
ONTAP 중재자 중지:
systemctl stop ontap_mediator -
SCST 중지:
systemctl stop mediator-scst -
ONTAP 중재자 및 SCST 비활성화:
systemctl diable ontap_mediator mediator-scst
ONTAP 중재자 서비스를 다시 활성화합니다
ONTAP 중재자 서비스를 다시 활성화하려면 다음 단계를 수행하십시오.
-
ONTAP 중재자 및 SCST 활성화:
systemctl enable ontap_mediator mediator-scst -
SCST 시작:
systemctl start mediator-scst -
ONTAP 중재자 시작:
systemctl start ontap_mediator
ONTAP 중재자가 양호한 상태인지 확인합니다
ONTAP 중재자를 설치한 후에는 ONTAP 중재자 서비스가 실행 중인지 확인해야 합니다.
-
ONTAP 중재자 서비스 상태 보기:
-
systemctl status ontap_mediator[root@scspr1915530002 ~]# systemctl status ontap_mediator ontap_mediator.service - ONTAP Mediator Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS) Main PID: 286712 (uwsgi) Status: "uWSGI is ready" Tasks: 3 (limit: 49473) Memory: 139.2M CGroup: /system.slice/ontap_mediator.service ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini [root@scspr1915530002 ~]# -
systemctl status mediator-scst[root@scspr1915530002 ~]# systemctl status mediator-scst Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS) Main PID: 286662 (iscsi-scstd) Tasks: 1 (limit: 49473) Memory: 1.2M CGroup: /system.slice/mediator-scst.service └─286662 /usr/local/sbin/iscsi-scstd [root@scspr1915530002 ~]#
-
-
ONTAP 중재자 서비스에서 사용하는 포트를 확인합니다.
netstat[root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784' tcp 0 0 0.0.0.0:31784 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:3260 0.0.0.0:* LISTEN tcp6 0 0 :::3260 :::* LISTEN
호스트 유지 관리를 수행하려면 SCST를 수동으로 제거합니다
SCST를 제거하려면 설치된 ONTAP 중재자 버전에 사용되는 SCST tar 번들이 필요합니다.
-
다음 표와 같이 적절한 SCST 번들을 다운로드하여 압축을 풉니다.
이 버전의 경우…
이 tar 번들을 사용합니다…
ONTAP 중재자 1.8
scst-3.8.0.tar.bz2
ONTAP 중재자 1.7
scst - 3.7.0.tar.bz2
ONTAP 중재자 1.6
scst - 3.7.0.tar.bz2
ONTAP 중재자 1.5
scst - 3.6.0.tar.bz2
ONTAP 중재자 1.4
scst - 3.6.0.tar.bz2
ONTAP 중재자 1.3
scst - 3.5.0.tar.bz2
ONTAP 중재자 1.1
scst - 3.4.0.tar.bz2
ONTAP 중재자 1.0
scst - 3.3.0.tar.bz2
-
"scst" 디렉토리에서 다음 명령을 실행합니다.
-
systemctl stop mediator-scst -
make scstadm_uninstall -
make iscsi_uninstall -
make usr_uninstall -
make scst_uninstall -
depmod
-
SCST를 수동으로 설치하여 호스트 유지 관리를 수행합니다
SCST를 수동으로 설치하려면 설치된 ONTAP 중재자 버전에 사용되는 SCST tar 번들이 필요합니다( 참조) 위 표)를 클릭합니다.
-
"scst" 디렉토리에서 다음 명령을 실행합니다.
-
make 2release -
make scst_install -
make usr_install -
make iscsi_install -
make scstadm_install -
depmod -
cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/. -
cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/. -
patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch
-
-
선택적으로 Secure Boot가 활성화되어 있는 경우 재부팅하기 전에 다음 단계를 수행하십시오.
-
"scst_vdisk", "scst" 및 "iscsi_scst" 모듈의 각 파일 이름을 확인합니다.
[root@localhost ~]# modinfo -n scst_vdisk [root@localhost ~]# modinfo -n scst [root@localhost ~]# modinfo -n iscsi_scst
-
커널 릴리스를 확인합니다.
[root@localhost ~]# uname -r
-
커널로 각 파일에 서명:
[root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \ /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \ /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \ _module-filename_
-
UEFI 펌웨어와 올바른 키를 설치합니다.
UEFI 키 설치 지침은 다음 웹 사이트에서 확인할 수 있습니다.
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing생성된 UEFI 키는 다음 위치에 있습니다.
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der -
-
재부팅 수행:
reboot
ONTAP 중재자 서비스를 제거합니다
필요한 경우 ONTAP 중재자 서비스를 제거할 수 있습니다.
ONTAP 중재자 서비스를 제거하기 전에 ONTAP 중재자를 ONTAP에서 분리해야 합니다.
ONTAP 중재자 서비스가 설치된 Linux 호스트에서 이 작업을 수행해야 합니다.
이 명령에 액세스할 수 없는 경우 다음 예에 표시된 대로 전체 경로를 사용하여 명령을 실행해야 할 수 있습니다.
'/usr/local/bin/uninstall_ontap_중재자'
-
ONTAP 중재자 서비스를 제거합니다.
uninstall_ontap_중재자
[root@mediator-host ~]# uninstall_ontap_mediator ONTAP Mediator: Self Extracting Uninstaller + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log) + Remove successful. [root@mediator-host ~]#
자체 서명된 임시 인증서를 다시 생성합니다
다음 절차를 사용하여 임시 자체 서명된 인증서를 다시 생성할 수 있습니다.
-
ONTAP 중재자 서비스가 설치된 Linux 호스트에서 이 작업을 수행합니다.
-
ONTAP 중재자를 설치한 후 호스트의 호스트 이름 또는 IP 주소가 변경되어 생성된 자체 서명된 인증서가 사용되지 않는 경우에만 이 작업을 수행할 수 있습니다.
-
임시 자체 서명된 인증서가 신뢰할 수 있는 타사 인증서로 대체되면 이 작업을 사용하여 인증서를 다시 생성합니다. 자체 서명된 인증서가 없으면 이 절차가 실패합니다.
현재 호스트에 대해 자체 서명된 새 임시 인증서를 다시 생성하려면 다음 단계를 수행하십시오.
-
ONTAP 중재자 서비스를 다시 시작합니다.
./make_self_signed_certs.sh overwrite[root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite Adding Subject Alternative Names to the self-signed server certificate # # OpenSSL example configuration file. Generating self-signed certificates Generating RSA private key, 4096 bit long modulus (2 primes) ..................................................................................................................................................................++++ ........................................................++++ e is 65537 (0x010001) Generating a RSA private key ................................................++++ .............................................................................................................................................++++ writing new private key to 'ontap_mediator_server.key' ----- Signature ok subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com Getting CA Private Key
자체 서명된 인증서를 신뢰할 수 있는 타사 인증서로 바꿉니다
자체 서명된 인증서를 신뢰할 수 있는 타사 인증서로 바꿀 수 있습니다.
-
ONTAP 중재자 서비스가 설치된 Linux 호스트에서 이 작업을 수행합니다.
-
생성된 자체 서명된 인증서를 신뢰할 수 있는 하위 CA(인증 기관)에서 가져온 인증서로 교체해야 하는 경우 이 작업을 수행할 수 있습니다. 이렇게 하려면 신뢰할 수 있는 PKI(공개 키 인프라) 권한에 액세스할 수 있어야 합니다.
1단계: CA 인증서를 발급하는 타사로부터 인증서를 받습니다
다음 절차를 사용하여 PKI 기관으로부터 인증서를 얻을 수 있습니다.
다음 예제에서는 자체 서명된 인증서 액터, 즉 를 교체하는 방법을 보여 줍니다 ca.key, ca.csr, ca.srl, 및 ca.crt 에 있습니다 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ 타사 인증서 액터 사용.
|
이 예제에서는 ONTAP 중재자 서비스에 필요한 인증서에 필요한 기준을 보여 줍니다. 이 절차와 다른 방법으로 PKI 기관으로부터 인증서를 얻을 수 있습니다. 비즈니스 요구에 따라 절차를 조정합니다. |
-
개인 키를 만듭니다
ca.key및 구성 파일openssl_ca.cnfPKI 기관에서 인증서를 생성하기 위해 사용합니다.-
개인 키를 생성합니다
ca.key:-
예 *
-
openssl genrsa -aes256 -out ca.key 4096-
구성 파일
openssl_ca.cnf(에 위치/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf)은 생성된 인증서에 있어야 하는 속성을 정의합니다.
-
-
개인 키 및 구성 파일을 사용하여 인증서 서명 요청을 만듭니다
ca.csr`:-
예: *
openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf
[root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr Enter pass phrase for ca.key: [root@scs000216655 server_config]# cat ca.csr -----BEGIN CERTIFICATE REQUEST----- MIIE6TCCAtECAQAwgaMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlh ... erARKhY9z0e8BHPl3g== -----END CERTIFICATE REQUEST-----
-
-
인증서 서명 요청을 보냅니다
ca.csr서명을 위한 PKI 권한PKI 권한은 요청을 확인하고 에 서명합니다
.csr`에서 인증서를 생성합니다 `ca.crt.
SnapMirror Business Continuity(SM-BC) 클러스터의 경우 인증서를 추가해야 합니다 ca.crtONTAP 클러스터로 마이그레이션합니다. 을 참조하십시오 "SM-BC용 ONTAP 중재자 및 클러스터를 구성합니다".
2단계: 타사 CA 인증서로 서명하여 서버 인증서를 생성합니다
서버 인증서는 개인 키로 서명해야 합니다 ca.key 및 타사 인증서 ca.crt. 또한 구성 파일도 있습니다 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf OpenSSL에서 발급한 서버 인증서에 필요한 속성을 지정하는 특정 특성이 포함되어 있습니다.
다음 명령을 사용하여 서버 인증서를 생성할 수 있습니다.
서버 인증서를 생성하려면 폴더에서 다음 명령을 실행합니다 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config:
openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr
openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt
-CAcreateserial 옵션을 사용하여 파일을 생성합니다 ca.srl.
3단계: ONTAP 중재자 구성에서 새로운 타사 CA 인증서와 서버 인증서를 교체합니다
인증서 구성은 에 있는 구성 파일의 ONTAP 중재자 서비스에 제공됩니다 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml. 이 파일에는 다음과 같은 속성이 포함되어 있습니다.
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'
-
cert_path및key_path서버 인증서 변수입니다. -
ca_cert_path,ca_key_path, 및ca_serial_pathCA 인증서 변수입니다.
-
를 교체합니다
ca.*타사 인증서가 있는 파일 -
ONTAP 중재자 다시 시작:
systemctl restart ontap_mediator
4단계: 타사 인증서에 다른 경로나 이름을 사용할 수도 있습니다
이외의 다른 이름을 가진 타사 인증서를 사용할 수 있습니다 ca.* 또는 타사 인증서를 다른 위치에 저장합니다.
-
파일을 구성합니다
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml의 기본 변수 값을 재정의합니다ontap_mediator.config.yaml파일.예를 들어, 을 얻을 수 있습니다
intermediate.crtPKI 권한을 통해 개인 키를 저장합니다intermediate.key및 인증서 서명 요청intermediate.csr위치 `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config`그런 다음 user_config 파일이 다음과 같이 표시됩니다.[root@scs000216655 server_config]# cat ontap_mediator.user_config.yaml # This config file can be used to override the default settings in ontap_mediator.config.yaml # To override a setting, copy the property key from ontap_mediator.config.yaml to this file and # set the property to the desired value. e.g., # # The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml # # To override this value with 6 mailboxes per target, add the following key/value pair # below this comment: # # 'default_mailboxes_per_target': 6 # cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'
-
구성 파일에서 인증서가 업데이트되면 ONTAP 중재자를 다시 시작합니다.
systemctl restart ontap_mediator
인증서 관련 문제 해결
인증서의 특정 속성을 확인할 수 있습니다.
인증서 만료 여부를 확인합니다
다음 명령을 사용하여 인증서 유효 범위를 식별합니다.
[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
Data:
...
Validity
Not Before: Feb 22 19:57:25 2024 GMT
Not After : Feb 15 19:57:25 2029 GMT
CA 인증에서 X509v3 확장을 확인합니다
다음 명령을 사용하여 CA 인증에서 X509v3 확장을 확인합니다.
에 정의된 속성 v3_ca 인치 openssl_ca.cnf 로 표시됩니다 X509v3 extensions 인치 ca.crt.
[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@scs000216982 server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign
[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
Data:
...
X509v3 extensions:
X509v3 Subject Key Identifier:
9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
X509v3 Authority Key Identifier:
keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
서버 인증서 및 주체 대체 이름에서 X509v3 확장을 확인합니다
를 클릭합니다 v3_req 에 정의된 속성 openssl_server.cnf 구성 파일은 로 표시됩니다 X509v3 extensions 인증서에 입력합니다.
다음 예제에서는 에서 변수를 가져올 수 있습니다 alt_names 섹션을 참조하십시오 hostname -A 및 hostname -I ONTAP 중재자가 설치된 Linux VM에서
변수의 올바른 값은 네트워크 관리자에게 문의하십시오.
[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@scs000216982 server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints = CA:false
extendedKeyUsage = serverAuth
keyUsage = keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd
[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
Data:
...
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 Key Usage:
Key Encipherment, Data Encipherment
X509v3 Subject Alternative Name:
DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
개인 키가 인증서와 일치하는지 확인합니다
특정 개인 키가 인증서와 일치하는지 확인할 수 있습니다.
키와 인증서에서 각각 다음 OpenSSL 명령을 사용합니다.
[root@scs000216982 server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5 Enter pass phrase for intermediate.key: (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc [root@scs000216982 server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5 (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
를 누릅니다 -modulus 특성 일치 모두에 대해 개인 키와 인증서 쌍이 호환되며 서로 작동할 수 있음을 나타냅니다.
서버 인증서가 특정 CA 인증서에서 생성되었는지 확인합니다
다음 명령을 사용하여 서버 인증서가 특정 CA 인증서에서 생성되었는지 확인할 수 있습니다.
[root@scs000216982 server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt ontap_mediator_server.crt: OK
OCSP(Online Certificate Status Protocol) 유효성 검사가 사용 중인 경우 명령을 사용합니다 "OpenSSL - 확인".