Skip to main content
ONTAP Select
Uma versão mais recente deste produto está disponível.
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Garanta uma implantação do ONTAP Select

PDFs

Há várias tarefas relacionadas que você pode executar como parte da proteção de uma implantação do ONTAP Select .

Alterar a senha do administrador de implantação

Você pode alterar a senha da conta de administrador da máquina virtual Deploy conforme necessário usando a interface de usuário da web.

Passos

  1. Sign in na interface de usuário da Web do utilitário Deploy usando a conta de administrador.

  2. Clique no ícone de figura no canto superior direito da página e selecione Alterar senha.

  3. Forneça a senha atual e a nova conforme solicitado e clique em Enviar.

Adicionar uma conta de servidor de gerenciamento

Você pode adicionar uma conta de servidor de gerenciamento ao banco de dados de armazenamento de credenciais do Deploy.

Antes de começar

Você deve estar familiarizado com os tipos de credenciais e como elas são usadas pelo ONTAP Select Deploy.

Passos

  1. Sign in na interface de usuário da Web do utilitário Deploy usando a conta de administrador.

  2. Clique na aba Administração na parte superior da página.

  3. Clique em Servidores de gerenciamento e depois em Adicionar vCenter.

  4. Insira as seguintes informações e clique em Adicionar.

    Neste campo… Faça o seguinte…

    Nome/Endereço IP

    Forneça o nome de domínio ou endereço IP do servidor vCenter.

    Nome de usuário

    Digite o nome de usuário da conta para acessar o vCenter.

    Senha

    Digite a senha para o nome de usuário associado.

  5. Depois que o novo servidor de gerenciamento for adicionado, você pode clicar opcionalmente Opções e selecione uma das seguintes opções:

    • Atualizar credenciais

    • Verificar credenciais

    • Remover servidor de gerenciamento

Configurar MFA

A partir do ONTAP Select 9.13.1, a autenticação multifator (MFA) é suportada para a conta de administrador do ONTAP Select Deploy:

ONTAP Select Implantar login CLI MFA usando autenticação YubiKey PIV ou FIDO2

YubiKey PIV

Configure o PIN do YubiKey e gere ou importe a chave privada e o certificado do Remote Support Agent (RSA) ou do Elliptic Curve Digital Signature Algorithm (ECDSA) seguindo as etapas em "TR-4647: Autenticação multifator no ONTAP" .

  • Para Windows: A seção Configuração do cliente YubiKey PIV para Windows do relatório técnico.

  • Para MacOS: A seção Configuração do cliente YubiKey PIV para MAC OS e Linux do relatório técnico.

FIDO2

Se optar pela autenticação YubiKey FIDO2, configure o PIN YubiKey FIDO2 usando o YubiKey Manager e gere a chave FIDO2 com um PuTTY-CAC (Common Access Card) para Windows ou ssh-keygen para macOS. Os passos para isso estão no relatório técnico. "TR-4647: Autenticação multifator no ONTAP" .

  • Para Windows: A seção Configuração do cliente YubiKey FIDO2 para Windows do relatório técnico.

  • Para MacOS: A seção Configuração do cliente YubiKey FIDO2 para Mac OS e Linux do relatório técnico.

Obtenha a chave pública YubiKey PIV ou FIDO2

A obtenção da chave pública depende se você é um cliente Windows ou MacOS e se está usando PIV ou FIDO2.

Para Windows:

  • Exporte a chave pública PIV usando o recurso Copiar para a área de transferência em SSH → Certificado, conforme descrito na seção Configurando o cliente SSH do Windows PuTTY-CAC para autenticação YubiKey PIV na página 16 do TR-4647.

  • Exporte a chave pública FIDO2 usando o recurso Copiar para a área de transferência em SSH → Certificado, conforme descrito na seção Configurando o cliente SSH do Windows PuTTY-CAC para autenticação YubiKey FIDO2 na página 30 do TR-4647.

Para MacOS:

  • A chave pública PIV deve ser exportada usando o ssh-keygen -e comando conforme descrito na seção Configurar o cliente SSH do Mac OS ou Linux para autenticação YubiKey PIV na página 24 do TR-4647.

  • A chave pública FIDO2 está no id_ecdsa_sk.pub arquivo ou id_edd519_sk.pub arquivo, dependendo se você usa ECDSA ou EDD519, conforme descrito na seção Configurar o cliente SSH do MAC OS ou Linux para autenticação YubiKey FIDO2 na página 39 do TR-4647.

Configurar a chave pública no ONTAP Select Implantar

O SSH é usado pela conta de administrador para o método de autenticação de chave pública. O comando usado é o mesmo, independentemente de o método de autenticação ser a autenticação de chave pública SSH padrão ou a autenticação YubiKey PIV ou FIDO2.

Para SSH MFA baseado em hardware, os fatores de autenticação, além da chave pública configurada no ONTAP Select Deploy, são os seguintes:

  • O PIN PIV ou FIDO2

  • Posse do dispositivo de hardware YubiKey. No caso do FIDO2, isso é confirmado pelo toque físico na YubiKey durante o processo de autenticação.

Antes de começar

Defina a chave pública PIV ou FIDO2 configurada para a YubiKey. O comando CLI ONTAP Select Deploy security publickey add -key é o mesmo para PIV ou FIDO2 e a sequência de chave pública é diferente.

A chave pública é obtida de:

  • A função Copiar para a área de transferência para PuTTY-CAC para PIV e FIDO2 (Windows)

  • Exportando a chave pública em um formato compatível com SSH usando o ssh-keygen -e comando para PIV

  • O arquivo de chave pública localizado no ~/.ssh/id_***_sk.pub arquivo para FIDO2 (MacOS)

Passos

  1. Encontre a chave gerada no .ssh/id_***.pub arquivo.

  2. Adicione a chave gerada ao ONTAP Select Implantar usando o security publickey add -key <key> comando.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Habilitar autenticação MFA com o security multifactor authentication enable comando.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

Faça login no ONTAP Select Implantar usando a autenticação YubiKey PIV via SSH

Você pode efetuar login no ONTAP Select Deploy usando a autenticação YubiKey PIV via SSH.

Passos

  1. Depois que o token YubiKey, o cliente SSH e o ONTAP Select Deploy estiverem configurados, você poderá usar a autenticação MFA YubiKey PIV via SSH.

  2. Efetue login no ONTAP Select "Implementar". Se estiver usando o cliente SSH PuTTY-CAC do Windows, uma caixa de diálogo será exibida solicitando que você insira seu PIN do YubiKey.

  3. Efetue login no seu dispositivo com o YubiKey conectado.

Exemplo de saída
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

ONTAP Select Implantar login CLI MFA usando ssh-keygen

O ssh-keygen O comando é uma ferramenta para criar novos pares de chaves de autenticação para SSH. Os pares de chaves são usados para automatizar logins, login único e autenticação de hosts.

O ssh-keygen O comando suporta vários algoritmos de chave pública para chaves de autenticação.

  • O algoritmo é selecionado com o -t opção

  • O tamanho da chave é selecionado com o -b opção

Exemplo de saída
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
Passos

  1. Encontre a chave gerada no .ssh/id_***.pub arquivo.

  2. Adicione a chave gerada ao ONTAP Select Implantar usando o security publickey add -key <key> comando.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Habilitar autenticação MFA com o security multifactor authentication enable comando.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

  4. Efetue login no sistema ONTAP Select Deploy após habilitar o MFA. Você deverá receber uma saída semelhante ao exemplo a seguir.

    [<user ID> ~]$ ssh <admin>
Authenticated with partial success.
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

Migrar da MFA para a autenticação de fator único

O MFA pode ser desabilitado para a conta de administrador do Deploy usando os seguintes métodos:

  • Se você puder efetuar login no Deploy CLI como administrador usando Secure Shell (SSH), desabilite o MFA executando o comando security multifactor authentication disable comando do Deploy CLI.

    (ONTAPdeploy) security multifactor authentication disable
MFA disabled Successfully

  • Se você não conseguir efetuar login no Deploy CLI como administrador usando SSH:

    1. Conecte-se ao console de vídeo da máquina virtual (VM) de implantação por meio do vCenter ou vSphere.

    2. Efetue login no Deploy CLI usando a conta de administrador.

    3. Execute o security multifactor authentication disable comando.

      Debian GNU/Linux 11 <user ID> tty1

<hostname> login: admin
Password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy) security multifactor authentication disable
MFA disabled successfully

(ONTAPdeploy)

  • O administrador pode excluir a chave pública com:
    security publickey delete -key