Añadir un rol de RBAC de ONTAP mediante comandos de inicio de sesión de seguridad

Puede utilizar los comandos security login para añadir un rol de RBAC de ONTAP si los sistemas de almacenamiento ejecutan ONTAP almacenado en clúster.

Antes de empezar

Antes de crear un rol de RBAC de ONTAP para sistemas de almacenamiento que ejecutan ONTAP almacenado en clúster, debe identificar los siguientes aspectos:

Acerca de esta tarea

Para configurar un rol de RBAC es necesario que lleve a cabo las siguientes acciones:

Para simplificar la configuración de estos roles en los sistemas de almacenamiento, puede usar la herramienta RBAC User Creator for Data ONTAP, que se encuentra disponible en el foro de comunidad NetApp Communities Forum en

NetApp Community Document: RBAC User Creator for Data ONTAP

Esta herramienta se encarga automáticamente de configurar los privilegios de ONTAP correctamente. Por ejemplo, la herramienta RBAC User Creator for Data ONTAP agrega automáticamente los privilegios en el orden correcto, para que los privilegios de acceso total aparezcan primero. Si añade primero los privilegios solo de lectura y después añade los privilegios de acceso total, ONTAP marca los privilegios de acceso total como duplicados y los omite.

Nota: Si posteriormente actualiza SnapCenter u ONTAP, debe volver a ejecutar la herramienta RBAC User Creator for Data ONTAP para actualizar los roles de usuario que ha creado previamente. Los roles de usuario creados para una versión anterior de SnapCenter u ONTAP no funcionan correctamente con las versiones actualizadas. Cuando vuelva a ejecutar la herramienta, automáticamente se encarga de la actualización. No es necesario que vuelva a recrear los roles.

Encontrará más información acerca de la configuración de los roles RBAC de ONTAP en la información sobre administración de ONTAP.

Guía de administración de SAN de ONTAP 9

Nota: Para salvaguardar la consistencia, la documentación de SnapCenter se refiere a los roles como funciones que usan privilegios. La interfaz gráfica de usuario de OnCommand System Manager utiliza el término "atributo" (attribute) en lugar de "privilegio" (privilege). Al configurar roles de RBAC de ONTAP, ambos términos significan lo mismo.

Pasos

  1. En el sistema de almacenamiento, cree un nuevo rol introduciendo el siguiente comando: security login role create <role_name> -cmddirname "command" -access all –vserver <svm_name>

    svm_name es el nombre de la máquina virtual SVM. Si deja este espacio en blanco, se tomará de forma predeterminada el administrador del clúster.

    role_name es el nombre que usted especifica para el rol.

    command es la capacidad de ONTAP.

    Nota: Debe repetir este comando para cada permiso.
    Nota: Recuerde que los comandos de acceso total deben enumerarse antes que los comandos de solo lectura.
  2. Cree un nombre de usuario introduciendo el siguiente comando: security login create -username <user_name> -application ontapi -authmethod <password> -role <name_of_role_in_step_1> –vserver <svm_name> -comment "user_description"

    user_name es el nombre de usuario que va a crear.

    <password> es su contraseña. Si no especifica una contraseña, el sistema le solicitará una.

    svm_name es el nombre de la máquina virtual SVM.

  3. Para asignar el rol al usuario, introduzca este comando: security login modify username <user_name> –vserver <svm_name> -role <role_name> -application ontapi -application console -authmethod <password>

    <user_name> es el nombre del usuario que creó en el Paso 2. Este comando permite que usted modifique el usuario para asociarlo al rol.

    <svm_name> es el nombre de la máquina virtual SVM.

    <role_name> es el nombre del rol que creó en el Paso 1.

    <password> es su contraseña. Si no especifica una contraseña, el sistema le solicitará una.

  4. Para verificar que el usuario se ha creado correctamente, introduzca el siguiente comando: security login show –vserver <svm_name> -user-or-group-name <user_name>

    user_name es el nombre del usuario que creó en el Paso 3.

    Este comando muestra información sobre el usuario y el rol.