Planilhas para autenticação de administrador e configuração RBAC
Antes de criar contas de login e configurar o controle de acesso baseado em funções (RBAC), você deve coletar informações para cada item nas planilhas de configuração.
Criar ou modificar contas de login
Você fornece esses valores com o security login create
comando ao habilitar contas de login para acessar uma VM de armazenamento. Você fornece os mesmos valores com o security login modify
comando quando modifica como uma conta acessa uma VM de armazenamento.
Campo |
Descrição |
O seu valor |
|
O nome da VM de armazenamento que a conta acessa. O valor padrão é o nome da VM de armazenamento de administrador para o cluster. |
|
|
O nome de usuário ou nome de grupo da conta. Especificar um nome de grupo permite o acesso a cada usuário no grupo. Você pode associar um nome de usuário ou nome de grupo a vários aplicativos. |
|
|
O aplicativo usado para acessar a VM de storage:
|
|
|
O método utilizado para autenticar a conta:
|
|
|
O endereço IP do interrutor remoto. O switch remoto pode ser um switch de cluster monitorado pelo monitor de integridade do switch de cluster (CSHM) ou um switch Fibre Channel (FC) monitorado pelo monitor de integridade do MetroCluster (MCC-HM). Esta opção é aplicável apenas quando a aplicação é |
|
|
A função de controle de acesso atribuída à conta:
|
|
|
(Opcional) texto descritivo para a conta. Você deve incluir o texto entre aspas duplas ("). |
|
|
Se a conta é uma conta de grupo LDAP ou uma conta de grupo NIS ( |
|
|
Segundo método de autenticação no caso de autenticação multifator:
A ordem de autenticação é sempre a chave pública seguida pela senha. |
|
|
A partir do ONTAP 9.11,1, quando definido como verdadeiro, ativa a vinculação rápida LDAP para autenticação nsswitch; o padrão é falso. Para utilizar a ligação rápida LDAP, o |
Configure as informações de segurança do Cisco Duo
Você fornece esses valores com o security login duo create
comando quando ativa a autenticação de dois fatores do Cisco Duo com logins SSH para uma VM de armazenamento.
Campo |
Descrição |
O seu valor |
|
A VM de armazenamento (referida como vserver na CLI do ONTAP) à qual as configurações de autenticação Duo se aplicam. |
|
|
Sua chave de integração, obtida ao Registrar seu aplicativo SSH com Duo. |
|
|
Sua chave secreta, obtida ao Registrar seu aplicativo SSH com Duo. |
|
|
O nome de host da API, obtido ao Registrar seu aplicativo SSH com Duo. Por exemplo: api-<HOSTNAME>.duosecurity.com |
|
|
Em erros de serviço ou configuração que impedem a autenticação Duo, |
|
|
Use o proxy HTTP especificado. Se o proxy HTTP exigir autenticação, inclua as credenciais no URL do proxy. Por exemplo: http-proxy=http://username:password@proxy.example.org:8080 |
|
|
`true` `false`Ou . A predefinição é `false`. Se `true`o , o Duo enviar automaticamente uma solicitação de login por push para o telefone do usuário, revertendo para uma chamada telefônica se o push não estiver disponível. Observe que isso desabilita efetivamente a autenticação por senha. Se `false`, o usuário for solicitado a escolher um método de autenticação. Quando configurado com |
|
|
Se um usuário não conseguir autenticar com um segundo fator, o Duo solicitará que ele se autentique novamente. Esta opção define o número máximo de prompts que o Duo exibe antes de negar acesso. Deve ser Por exemplo, quando Quando configurado com Para obter a melhor experiência, um usuário com apenas autenticação publickey sempre terá |
|
|
Ative a autenticação de dois fatores Duo. Defina como |
|
|
Esta opção fornece informações adicionais na notificação push, como o nome do aplicativo ou serviço que está sendo acessado. Isso ajuda os usuários a verificar se estão fazendo login no serviço correto e fornece uma camada adicional de segurança. |
Definir funções personalizadas
Você fornece esses valores com o security login role create
comando quando define uma função personalizada.
Campo |
Descrição |
O seu valor |
|
(Opcional) o nome da VM de armazenamento (referida como vserver na CLI do ONTAP) que está associado à função. |
|
|
O nome da função. |
|
|
O diretório de comando ou comando ao qual a função dá acesso. Você deve incluir nomes de subdiretório de comando em aspas duplas ("). Por exemplo, |
|
|
(Opcional) o nível de acesso para a função. Para diretórios de comando:
Para comandos não intrínsecos (comandos que não terminam em
Para conceder ou negar acesso a comandos intrínsecos, você deve especificar o diretório de comandos. |
|
|
(Opcional) o objeto de consulta que é usado para filtrar o nível de acesso, que é especificado na forma de uma opção válida para o comando ou para um comando no diretório de comandos. Você deve incluir o objeto de consulta em aspas duplas ("). Por exemplo, se o diretório de comando for |
Associar uma chave pública a uma conta de utilizador
Você fornece esses valores com o security login publickey create
comando ao associar uma chave pública SSH a uma conta de usuário.
Campo |
Descrição |
O seu valor |
|
(Opcional) o nome da VM de armazenamento que a conta acessa. |
|
|
O nome de utilizador da conta. O valor padrão, |
|
|
O número de índice da chave pública. O valor padrão é 0 se a chave for a primeira chave criada para a conta; caso contrário, o valor padrão é mais um do que o número de índice mais alto existente para a conta. |
|
|
A chave pública OpenSSH. Você deve incluir a chave entre aspas duplas ("). |
|
|
A função de controle de acesso atribuída à conta. |
|
|
(Opcional) texto descritivo para a chave pública. Você deve incluir o texto entre aspas duplas ("). |
|
|
(Opcional) começando com ONTAP 9.13,1, permite gerenciar a associação de certificados X,509 com a chave pública SSH. Quando você associa um certificado X,509 à chave pública SSH, o ONTAP verifica o login SSH para ver se esse certificado é válido. Se tiver expirado ou tiver sido revogado, o início de sessão é proibido e a chave pública SSH associada está desativada. Valores possíveis:
|
Configure as definições globais de autorização dinâmica
Começando com ONTAP 9.15,1, você fornece esses valores com o security dynamic-authorization modify
comando. Para obter mais informações sobre a configuração de autorização dinâmica, "descrição geral da autorização dinâmica"consulte .
Campo |
Descrição |
O seu valor |
|
O nome da VM de armazenamento para a qual a configuração de pontuação de confiança deve ser modificada. Se você omitir esse parâmetro, a configuração de nível do cluster será usada. |
|
|
O modo de autorização dinâmica. Valores possíveis:
|
|
|
Impede desafios de autenticação adicionais dentro do intervalo especificado. O intervalo está no formato ISO-8601 e aceita valores de 1 minuto a 1 hora inclusive. Se definido como 0, o intervalo de supressão será desativado e o usuário sempre será solicitado a um desafio de autenticação, se for necessário. |
|
|
O limite inferior da porcentagem de desafio de autenticação multifator (MFA). O intervalo válido é de 0 a 99. O valor 100 é inválido, pois isso faz com que todas as solicitações sejam negadas. O valor padrão é 0. |
|
|
O limite superior da porcentagem de desafio do MFA. O intervalo válido é de 0 a 100. Isto deve ser igual ou superior ao valor do limite inferior. Um valor de 100 significa que cada solicitação será negada ou sujeita a um desafio de autenticação adicional; não há solicitações que sejam permitidas sem um desafio. O valor padrão é 90. |
Instale um certificado digital de servidor assinado pela CA
Você fornece esses valores com o security certificate generate-csr
comando ao gerar uma solicitação de assinatura de certificado digital (CSR) para uso na autenticação de uma VM de armazenamento como um servidor SSL.
Campo |
Descrição |
O seu valor |
|
O nome do certificado, que é um nome de domínio totalmente qualificado (FQDN) ou um nome comum personalizado. |
|
|
O número de bits na chave privada. Quanto maior o valor, mais segura a chave. O valor padrão é |
|
|
O país da VM de armazenamento, em um código de duas letras. O valor padrão é |
|
|
O estado ou a província da VM de armazenamento. |
|
|
A localidade da VM de armazenamento. |
|
|
A organização da VM de storage. |
|
|
A unidade na organização da VM de armazenamento. |
|
|
O endereço de e-mail do administrador do Contato para a VM de armazenamento. |
|
|
A função de hash criptográfico para assinar o certificado. O valor padrão é |
Você fornece esses valores com o security certificate install
comando ao instalar um certificado digital assinado pela CA para uso na autenticação do cluster ou da VM de armazenamento como um servidor SSL. Apenas as opções relevantes para a configuração da conta são mostradas na tabela a seguir.
Campo |
Descrição |
O seu valor |
|
O nome da VM de armazenamento na qual o certificado deve ser instalado. |
|
|
O tipo de certificado:
|
Configurar o acesso do controlador de domínio do ative Directory
Você fornece esses valores com o security login domain-tunnel create
comando quando já configurou um servidor SMB para uma VM de armazenamento de dados e deseja configurar a VM de armazenamento como gateway ou tunnel para acesso ao controlador de domínio do ative Directory ao cluster.
Campo |
Descrição |
O seu valor |
|
O nome da VM de armazenamento para a qual o servidor SMB foi configurado. |
Você fornece esses valores com o vserver active-directory create
comando quando não configurou um servidor SMB e deseja criar uma conta de computador VM de armazenamento no domínio do ative Directory.
Campo |
Descrição |
O seu valor |
|
O nome da VM de armazenamento para a qual você deseja criar uma conta de computador do ative Directory. |
|
|
O nome NetBIOS da conta do computador. |
|
|
O nome de domínio totalmente qualificado (FQDN). |
|
|
A unidade organizacional no domínio. O valor padrão é |
Configurar o acesso ao servidor LDAP ou NIS
Você fornece esses valores com o vserver services name-service ldap client create
comando ao criar uma configuração de cliente LDAP para a VM de armazenamento.
Apenas as opções relevantes para a configuração da conta são mostradas na tabela a seguir:
Campo |
Descrição |
O seu valor |
||
|
O nome da VM de armazenamento para a configuração do cliente. |
|||
|
O nome da configuração do cliente. |
|||
|
Uma lista separada por vírgulas de endereços IP e nomes de host para os servidores LDAP aos quais o cliente se coneta. |
|||
|
O esquema que o cliente usa para fazer consultas LDAP. |
|||
|
Se o cliente usa Iniciar TLS para criptografar a comunicação com o servidor LDAP (
|
Você fornece esses valores com o vserver services name-service ldap create
comando ao associar uma configuração de cliente LDAP à VM de armazenamento.
Campo |
Descrição |
O seu valor |
|
O nome da VM de armazenamento com a qual a configuração do cliente deve ser associada. |
|
|
O nome da configuração do cliente. |
|
|
Se a VM de armazenamento pode usar a configuração do cliente LDAP ( |
Você fornece esses valores com o vserver services name-service nis-domain create
comando ao criar uma configuração de domínio NIS em uma VM de armazenamento.
Campo |
Descrição |
O seu valor |
|
O nome da VM de armazenamento na qual a configuração do domínio deve ser criada. |
|
|
O nome do domínio. |
|
|
ONTAP 9.0, 9,1: Uma lista separada por vírgulas de endereços IP para os servidores NIS usados pela configuração do domínio. |
|
|
Uma lista separada por vírgulas de endereços IP e nomes de host para os servidores NIS que são usados pela configuração de domínio. |
Você fornece esses valores com o vserver services name-service ns-switch create
comando quando especifica a ordem de pesquisa para fontes de serviço de nome.
Campo |
Descrição |
O seu valor |
|
O nome da VM de armazenamento na qual a ordem de consulta do serviço de nomes deve ser configurada. |
|
|
O banco de dados do serviço de nomes:
|
|
|
A ordem pela qual procurar fontes do serviço de nomes (em uma lista separada por vírgulas):
|
Configurar o acesso SAML
A partir do ONTAP 9.3, você fornece esses valores com o security saml-sp create
comando para configurar a autenticação SAML.
Campo |
Descrição |
O seu valor |
|
O endereço FTP ou o endereço HTTP do host do provedor de identidade (IDP) de onde os metadados de IDP podem ser baixados. |
|
|
O nome do host ou o endereço IP do host do provedor de serviços SAML (sistema ONTAP). Por padrão, o endereço IP do LIF de gerenciamento de cluster é usado. |
|
|
Os detalhes do certificado do servidor do host do provedor de serviços (sistema ONTAP). Você pode inserir a autoridade de certificação de emissão de certificado do provedor de serviços (CA) e o número de série do certificado ou o Nome Comum do certificado do servidor. |
|
|
Se a identidade do servidor de metadados IDP deve ser validada |