Skip to main content
ONTAP Select
Uma versão mais recente deste produto está disponível.
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Proteja uma implantação do ONTAP Select

PDFs

Existem diversas tarefas relacionadas que você pode executar como parte da proteção de uma implantação do ONTAP Select.

Alterar a senha do administrador de Deploy

Você pode alterar a senha da conta de administrador da máquina virtual Deploy conforme necessário, usando a interface de usuário web.

Passos

  1. Sign in na interface web de usuário do Deploy utility usando a conta de administrador.

  2. Clique no ícone de figura no canto superior direito da página e selecione Change Password.

  3. Digite a senha atual e a nova senha conforme solicitado e clique em Submit.

Adicionar uma conta de servidor de gerenciamento

Você pode adicionar uma conta de servidor de gerenciamento ao banco de dados de armazenamento de credenciais do Deploy.

Antes de começar

Você deve estar familiarizado com os tipos de credenciais e como elas são usadas pelo ONTAP Select Deploy.

Passos

  1. Sign in na interface web de usuário do Deploy utility usando a conta de administrador.

  2. Clique na aba Administração na parte superior da página.

  3. Clique em Servidores de Gerenciamento e depois em Adicionar vCenter.

  4. Insira as seguintes informações e clique em Adicionar.

    Neste campo… Faça o seguinte…

    Nome/Endereço IP

    Forneça o nome de domínio ou endereço IP do servidor vCenter.

    Nome de usuário

    Digite o nome de usuário da conta para acessar vCenter.

    Senha

    Digite a senha para o nome de usuário associado.

  5. Após adicionar o novo servidor de gerenciamento, você pode clicar Opções e selecionar uma das seguintes opções:

    • Atualizar credenciais

    • Verificar credenciais

    • Remover servidor de gerenciamento

Configurar MFA

A partir do ONTAP Select 9.13.1, a autenticação multifator (MFA) é compatível com a conta de administrador do ONTAP Select Deploy:

ONTAP Select Deploy CLI login MFA usando YubiKey PIV ou FIDO2 autenticação

YubiKey PIV

Configure o PIN do YubiKey e gere ou importe a chave privada e o certificado do Agente de Suporte Remoto (RSA) ou do Algoritmo de Assinatura Digital de Curva Elíptica (ECDSA) com as etapas em "TR-4647: autenticação multifator no ONTAP".

  • Para Windows: A seção YubiKey PIV Client configuration for Windows do relatório técnico.

  • Para MacOS: A seção YubiKey PIV client configuration For MAC OS and Linux do relatório técnico.

FIDO2

Se optar pela autenticação FIDO2 do YubiKey, configure o PIN FIDO2 do YubiKey usando o YubiKey Manager e gere a chave FIDO2 com um PuTTY-CAC (Common Access Card) para Windows ou ssh-keygen para MacOS. Os passos para isso estão no relatório técnico "TR-4647: autenticação multifator no ONTAP".

  • Para Windows: A seção YubiKey FIDO2 configuração do cliente para Windows do relatório técnico.

  • Para MacOS: A seção YubiKey configuração do cliente FIDO2 para Mac OS e Linux do relatório técnico.

Obtenha a chave pública PIV ou FIDO2 da YubiKey

A obtenção da chave pública depende de você ser um cliente Windows ou MacOS e se estiver usando PIV ou FIDO2.

Para Windows:

  • Exporte a chave pública PIV usando o recurso Copiar para a área de transferência em SSH → Certificado, conforme descrito na seção Configurando o cliente SSH PuTTY-CAC do Windows para YubiKey PIV autenticação na página 16 do TR-4647.

  • Exporte a chave pública FIDO2 usando o recurso Copiar para a área de transferência em SSH → Certificado, conforme descrito na seção Configurando o cliente SSH PuTTY-CAC do Windows para YubiKey FIDO2 autenticação na página 30 do TR-4647.

Para MacOS:

  • A chave pública PIV deve ser exportada usando o comando ssh-keygen -e conforme descrito na seção Configurar o cliente SSH do Mac OS ou Linux para autenticação PIV do YubiKey na página 24 do TR-4647.

  • A chave pública FIDO2 está no id_ecdsa_sk.pub arquivo ou id_edd519_sk.pub arquivo, dependendo se você usa ECDSA ou EDD519, conforme descrito na seção Configurar o cliente SSH do MAC OS ou Linux para autenticação FIDO2 do YubiKey na página 39 do TR-4647.

Configure a chave pública no ONTAP Select Deploy

O SSH é usado pela conta de administrador para o método de autenticação por chave pública. O comando utilizado é o mesmo, seja o método de autenticação o padrão de autenticação por chave pública SSH ou YubiKey PIV ou autenticação FIDO2.

Para autenticação multifator (MFA) SSH baseada em hardware, os fatores de autenticação, além da chave pública configurada no ONTAP Select Deploy, são os seguintes:

  • O PIN PIV ou FIDO2

  • Posse do dispositivo de hardware YubiKey. Para FIDO2, isso é confirmado ao tocar fisicamente o YubiKey durante o processo de autenticação.

Antes de começar

Defina a chave pública PIV ou FIDO2 que está configurada para o YubiKey. O comando ONTAP Select Deploy CLI security publickey add -key é o mesmo para PIV ou FIDO2 e a string da chave pública é diferente.

A chave pública é obtida a partir de:

  • A função Copiar para a área de transferência para PuTTY-CAC para PIV e FIDO2 (Windows)

  • Exportando a chave pública em um formato compatível com SSH usando o comando ssh-keygen -e para PIV

  • O arquivo de chave pública localizado no ~/.ssh/id_***_sk.pub arquivo para FIDO2 (MacOS)

Passos

  1. Localize a chave gerada no arquivo .ssh/id_***.pub.

  2. Adicione a chave gerada ao ONTAP Select Deploy usando o comando security publickey add -key <key>.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Habilite a autenticação MFA com o comando security multifactor authentication enable.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

Faça login no ONTAP Select Deploy usando a autenticação PIV do YubiKey via SSH

Você pode fazer login no ONTAP Select Deploy usando YubiKey autenticação PIV via SSH.

Passos

  1. Após a configuração do token YubiKey, do cliente SSH e do ONTAP Select Deploy, você pode usar a autenticação PIV YubiKey MFA via SSH.

  2. Faça login no ONTAP Select Deploy. Se você estiver usando o cliente SSH PuTTY-CAC do Windows, uma caixa de diálogo será exibida solicitando que você insira seu PIN do YubiKey.

  3. Faça login a partir do seu dispositivo com o YubiKey conectado.

Exemplo de saída
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

ONTAP Select Deploy CLI login MFA usando ssh-keygen

O comando ssh-keygen é uma ferramenta para criar novos pares de chave de autenticação para SSH. Os pares de chaves são usados para automatizar logins, single sign-on e para autenticar hosts.

O `ssh-keygen`comando suporta diversos algoritmos de chave pública para chaves de autenticação.

  • O algoritmo é selecionado com a -t opção

  • O tamanho da chave é selecionado com a -b opção

Exemplo de saída
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
Passos

  1. Localize a chave gerada no arquivo .ssh/id_***.pub.

  2. Adicione a chave gerada ao ONTAP Select Deploy usando o comando security publickey add -key <key>.

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. Habilite a autenticação MFA com o comando security multifactor authentication enable.

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

  4. Faça login no sistema ONTAP Select Deploy após habilitar a MFA. Você deverá receber uma saída semelhante ao exemplo a seguir.

    [<user ID> ~]$ ssh <admin>
Authenticated with partial success.
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

Migre da autenticação multifator (MFA) para a autenticação de fator único

A autenticação multifator (MFA) pode ser desativada para a conta de administrador do Deploy usando os seguintes métodos:

  • Se você conseguir acessar a CLI do Deploy como administrador usando Secure Shell (SSH), desative a MFA executando o security multifactor authentication disable comando na CLI do Deploy.

    (ONTAPdeploy) security multifactor authentication disable
MFA disabled Successfully

  • Se você não conseguir fazer login na Deploy CLI como administrador usando SSH:

    1. Conecte-se ao console de vídeo da máquina virtual (VM) de Deploy através do vCenter ou vSphere.

    2. Faça login na CLI de implantação usando a conta de administrador.

    3. Execute o comando security multifactor authentication disable.

      Debian GNU/Linux 11 <user ID> tty1

<hostname> login: admin
Password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy) security multifactor authentication disable
MFA disabled successfully

(ONTAPdeploy)

  • O administrador pode excluir a chave pública com:
    security publickey delete -key