SSH를 사용하여 클러스터에 액세스합니다
ONTAP 클러스터에 SSH 요청을 전송하여 관리 작업을 수행할 수 있습니다. SSH는 기본적으로 사용하도록 설정됩니다.
-
'sh'를 액세스 방법으로 사용하도록 구성된 사용자 계정이 있어야 합니다.
를 클릭합니다
-application
의 매개 변수입니다security login
명령은 사용자 계정에 대한 액세스 방법을 지정합니다. 를 클릭합니다security login
"Man 페이지" 추가 정보를 포함합니다. -
AD(Active Directory) 도메인 사용자 계정을 사용하여 클러스터에 액세스하는 경우 CIFS 지원 스토리지 VM을 통해 클러스터에 대한 인증 터널을 설정해야 하며 AD 도메인 사용자 계정도 를 사용하여 클러스터에 추가되어야 합니다
ssh
액세스 방법 및 로domain
인증 방법으로 사용합니다.
-
OpenSSH 5.7 이상 클라이언트를 사용해야 합니다.
-
SSH v2 프로토콜만 지원되며 SSH v1은 지원되지 않습니다.
-
ONTAP는 노드당 최대 64개의 동시 SSH 세션을 지원합니다.
클러스터 관리 LIF가 노드에 상주하는 경우 이 제한을 노드 관리 LIF와 공유합니다.
들어오는 연결의 비율이 초당 10보다 높을 경우 서비스가 60초 동안 일시적으로 비활성화됩니다.
-
ONTAP는 SSH에 대해 AES 및 3DES 암호화 알고리즘(_ciphers _ 라고도 함)만 지원합니다.
AES는 키 길이가 128, 192 및 256비트인 경우 지원됩니다. 3DES는 원래 DES와 마찬가지로 키 길이가 56비트이지만 세 번 반복됩니다.
-
FIPS 모드가 켜져 있는 경우 SSH 클라이언트는 연결이 성공할 수 있도록 Elliptic Curve Digital Signature Algorithm(ECDSA) 공개 키 알고리즘과 협상해야 합니다.
-
Windows 호스트에서 ONTAP CLI에 액세스하려는 경우 PuTTY와 같은 타사 유틸리티를 사용할 수 있습니다.
-
Windows AD 사용자 이름을 사용하여 ONTAP에 로그인하는 경우 ONTAP에서 AD 사용자 이름과 도메인 이름을 만들 때 사용한 대문자나 소문자를 동일하게 사용해야 합니다.
AD 사용자 이름과 도메인 이름은 대소문자를 구분하지 않습니다. 그러나 ONTAP 사용자 이름은 대/소문자를 구분합니다. ONTAP에서 생성된 사용자 이름과 AD에서 생성된 사용자 이름 간의 케이스 불일치로 인해 로그인 오류가 발생합니다.
-
ONTAP 9.3부터 가능합니다 "SSH 다단계 인증 지원" 로컬 관리자 계정의 경우.
SSH 다단계 인증을 사용하면 공개 키와 암호를 사용하여 사용자를 인증할 수 있습니다.
-
ONTAP 9.4부터 가능합니다 "SSH 다단계 인증 지원" LDAP 및 NIS 원격 사용자의 경우
-
ONTAP 9.13.1 부터는 선택적으로 SSH 인증 프로세스에 인증서 유효성 검사를 추가하여 로그인 보안을 강화할 수 있습니다. 이렇게 하려면 "X.509 인증서를 공개 키와 연결합니다" 계정이 사용하는 것입니다. SSH 공개 키와 X.509 인증서를 모두 사용하여 SSH에 로그인하는 경우 ONTAP는 SSH 공개 키로 인증하기 전에 X.509 인증서의 유효성을 검사합니다. 인증서가 만료되거나 해지되고 SSH 공개 키가 자동으로 비활성화되면 SSH 로그인이 거부됩니다.
-
ONTAP 9.14.1부터 ONTAP 관리자는 다음을 수행할 수 있습니다 "SSH 인증 프로세스에 Cisco Duo 2단계 인증을 추가합니다" 로그인 보안 강화 Cisco Duo 인증을 활성화한 후 처음 로그인할 때 사용자는 SSH 세션에 대한 인증자로 사용할 장치를 등록해야 합니다.
-
ONTAP 9.15.1부터 관리자가 수행할 수 있습니다 "동적 권한 부여를 구성합니다" 사용자의 신뢰 점수에 따라 SSH 사용자에게 추가 적응형 인증을 제공합니다.
-
ONTAP 클러스터의 네트워크에 액세스할 수 있는 호스트에서 를 입력합니다
ssh
다음 형식 중 하나로 된 명령:-
'* ssh_username@hostname_or_ip_[command] *'
-
'* ssh-l_username hostname_or_ip_[command] * '
-
AD 도메인 사용자 계정을 사용하는 경우 'username'을 'domainname\\AD_accountname'(도메인 이름 뒤에 이중 백슬래시를 사용하여) 또는 '"domainname\AD_accountname"'(큰따옴표로 묶고 도메인 이름 뒤에 백슬래시를 하나씩 붙여야 합니다) 형식으로 지정해야 합니다.
'hostname_or_ip'은 클러스터 관리 LIF 또는 노드 관리 LIF의 호스트 이름 또는 IP 주소입니다. 클러스터 관리 LIF를 사용하는 것이 좋습니다. IPv4 또는 IPv6 주소를 사용할 수 있습니다.
SSH-Interactive 세션에는 'command'가 필요하지 않습니다.
다음 예에서는 사용자 계정 ""Joe""가 클러스터 관리 LIF가 10.72.137.28인 클러스터에 액세스하는 SSH 요청을 발행하는 방법을 보여줍니다.
$ ssh joe@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
다음 예에서는 "DOMAIN1" 도메인의 사용자 계정 ""John""이 클러스터 관리 LIF가 10.72.137.28인 클러스터에 액세스하기 위한 SSH 요청을 실행할 수 있는 방법을 보여줍니다.
$ ssh DOMAIN1\\john@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
다음 예에서는 사용자 계정 ""Joe""가 클러스터 관리 LIF가 10.72.137.32인 클러스터에 액세스하는 SSH MFA 요청을 발행하는 방법을 보여줍니다.
$ ssh joe@10.72.137.32 Authenticated with partial success. Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.