Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar o Cisco Duo 2FA para logins de SSH do ONTAP

Colaboradores
PDFs

A partir do ONTAP 9.14,1, você pode configurar o ONTAP para usar o Cisco Duo para autenticação de dois fatores (2FA) durante logins SSH. Você configura o Duo no nível do cluster e se aplica a todas as contas de usuário por padrão. Como alternativa, você pode configurar o Duo no nível da VM de armazenamento (anteriormente chamado de vserver), caso em que ele se aplica apenas aos usuários dessa VM de armazenamento. Se você ativar e configurar o Duo, ele serve como um método de autenticação adicional, complementando os métodos existentes para todos os usuários.

Se você ativar a autenticação Duo para logins SSH, os usuários precisarão Registrar um dispositivo na próxima vez que fizerem login usando SSH. Para obter informações sobre a inscrição, consulte o Cisco "documentação de inscrição" Duo .

Você pode usar a interface de linha de comando ONTAP para executar as seguintes tarefas com o Cisco Duo:

Configure o Cisco Duo

Você pode criar uma configuração do Cisco Duo para todo o cluster ou para uma VM de armazenamento específica (chamada de vserver na CLI do ONTAP) usando o security login duo create comando. Quando você faz isso, o Cisco Duo é habilitado para logins SSH para esse cluster ou VM de armazenamento. Saiba mais sobre security login duo create o "Referência do comando ONTAP"na .

Passos

  1. Inicie sessão no Painel de Administração do Cisco Duo.

  2. Aceda a aplicações > aplicação UNIX.

  3. Registre sua chave de integração, chave secreta e nome de host da API.

  4. Faça login na sua conta ONTAP usando SSH.

  5. Ative a autenticação do Cisco Duo para esta VM de armazenamento, substituindo as informações do seu ambiente pelos valores entre parênteses:

    security login duo create \
-vserver <STORAGE_VM_NAME> \
-integration-key <INTEGRATION_KEY> \
-secret-key <SECRET_KEY> \
-apihost <API_HOSTNAME>
    Cli
    Copy

Altere a configuração do Cisco Duo

Você pode alterar a maneira como o Cisco Duo autentica os usuários (por exemplo, quantos prompts de autenticação são fornecidos ou qual proxy HTTP é usado). Se você precisar alterar a configuração do Cisco Duo para uma VM de armazenamento (chamada de vserver na CLI do ONTAP), use o security login duo modify comando. Saiba mais sobre security login duo modify o "Referência do comando ONTAP"na .

Passos

  1. Inicie sessão no Painel de Administração do Cisco Duo.

  2. Aceda a aplicações > aplicação UNIX.

  3. Registre sua chave de integração, chave secreta e nome de host da API.

  4. Faça login na sua conta ONTAP usando SSH.

  5. Altere a configuração do Cisco Duo para esta VM de armazenamento, substituindo as informações atualizadas do seu ambiente pelos valores entre parênteses:

    security login duo modify \
-vserver <STORAGE_VM_NAME> \
-integration-key <INTEGRATION_KEY> \
-secret-key <SECRET_KEY> \
-apihost <API_HOSTNAME> \
-pushinfo true|false \
-http-proxy <HTTP_PROXY_URL> \
-autopush true|false \
-max-prompts 1|2|3 \
-is-enabled true|false \
-fail-mode safe|secure
    Cli
    Copy

Remova a configuração do Cisco Duo

Você pode remover a configuração do Cisco Duo, que removerá a necessidade de os usuários SSH se autenticarem usando o Duo no início de sessão. Para remover a configuração do Cisco Duo para uma VM de armazenamento (conhecida como vserver na CLI do ONTAP), você pode usar o security login duo delete comando. Saiba mais sobre security login duo delete o "Referência do comando ONTAP"na .

Passos

  1. Faça login na sua conta ONTAP usando SSH.

  2. Remova a configuração do Cisco Duo para esta VM de armazenamento, substituindo o nome da VM de armazenamento por <STORAGE_VM_NAME>:

    security login duo delete  -vserver <STORAGE_VM_NAME>
    Cli
    Copy

    Isso exclui permanentemente a configuração do Cisco Duo para essa VM de armazenamento.

Veja a configuração do Cisco Duo

Você pode exibir a configuração existente do Cisco Duo para uma VM de armazenamento (chamada de vserver na CLI do ONTAP) usando o security login duo show comando. Saiba mais sobre security login duo show o "Referência do comando ONTAP"na .

Passos

  1. Faça login na sua conta ONTAP usando SSH.

  2. Mostrar a configuração do Cisco Duo para esta VM de armazenamento. Opcionalmente, você pode usar o vserver parâmetro para especificar uma VM de armazenamento, substituindo o nome da VM de armazenamento por <STORAGE_VM_NAME>:

    security login duo show -vserver <STORAGE_VM_NAME>
    Cli
    Copy

    Você deve ver saída semelhante ao seguinte:

    Vserver: testcluster
Enabled: true

Status: ok
INTEGRATION-KEY: DI89811J9JWMJCCO7IOH
SKEY SHA Fingerprint:
b79ffa4b1c50b1c747fbacdb34g671d4814
API Host: api-host.duosecurity.com
Autopush: true
Push info: true
Failmode: safe
Http-proxy: 192.168.0.1:3128
Prompts: 1
Comments: -
    Cli
    Copy

Crie um grupo Duo

Você pode instruir o Cisco Duo a incluir somente os usuários em um determinado ative Directory, LDAP ou grupo de usuários local no processo de autenticação Duo. Se você criar um grupo Duo, somente os usuários desse grupo serão solicitados a autenticação Duo. Você pode criar um grupo Duo usando o security login duo group create comando. Quando você cria um grupo, você pode excluir usuários específicos desse grupo do processo de autenticação Duo. Saiba mais sobre security login duo group create o "Referência do comando ONTAP"na .

Passos

  1. Faça login na sua conta ONTAP usando SSH.

  2. Crie o grupo Duo, substituindo as informações do seu ambiente pelos valores entre parênteses. Se você omitir o -vserver parâmetro, o grupo será criado no nível do cluster:

    security login duo group create -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -excluded-users <USER1, USER2>
    Cli
    Copy

    O nome do grupo Duo tem de corresponder a um grupo ative Directory, LDAP ou local. Os usuários que você especificar com o parâmetro opcional -excluded-users não serão incluídos no processo de autenticação Duo.

Ver grupos Duo

Você pode exibir entradas de grupo existentes do Cisco Duo usando o security login duo group show comando. Saiba mais sobre security login duo group show o "Referência do comando ONTAP"na .

Passos

  1. Faça login na sua conta ONTAP usando SSH.

  2. Mostre as entradas do grupo Duo, substituindo as informações do seu ambiente pelos valores entre parênteses. Se você omitir o -vserver parâmetro, o grupo será mostrado no nível do cluster:

    security login duo group show -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -excluded-users <USER1, USER2>
    Cli
    Copy

    O nome do grupo Duo tem de corresponder a um grupo ative Directory, LDAP ou local. Os usuários que você especificar com o parâmetro opcional -excluded-users não serão exibidos.

Remova um grupo Duo

Você pode remover uma entrada de grupo Duo usando o security login duo group delete comando. Se você remover um grupo, os usuários desse grupo não serão mais incluídos no processo de autenticação Duo. Saiba mais sobre security login duo group delete o "Referência do comando ONTAP"na .

Passos

  1. Faça login na sua conta ONTAP usando SSH.

  2. Remova a entrada do grupo Duo, substituindo as informações do ambiente pelos valores entre parênteses. Se você omitir o -vserver parâmetro, o grupo será removido no nível do cluster:

    security login duo group delete -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME>
    Cli
    Copy

    O nome do grupo Duo tem de corresponder a um grupo ative Directory, LDAP ou local.

Ignorar a autenticação Duo para usuários

Você pode excluir todos os usuários ou usuários específicos do processo de autenticação Duo SSH.

Excluir todos os usuários Duo

Você pode desativar a autenticação SSH do Cisco Duo para todos os usuários.

Passos

  1. Faça login na sua conta ONTAP usando SSH.

  2. Desative a autenticação Cisco Duo para usuários SSH, substituindo o nome do SVM para <STORAGE_VM_NAME>:

    security login duo modify -vserver <STORAGE_VM_NAME> -is-enabled false
    Cli
    Copy

Excluir usuários do grupo Duo

Você pode excluir certos usuários que fazem parte de um grupo Duo do processo de autenticação Duo SSH.

Passos

  1. Faça login na sua conta ONTAP usando SSH.

  2. Desative a autenticação Cisco Duo para usuários específicos em um grupo. Substitua o nome do grupo e a lista de usuários para excluir pelos valores entre parênteses:

    security login duo group modify -group-name <GROUP_NAME> -excluded-users <USER1, USER2>
    Cli
    Copy

    O nome do grupo Duo tem de corresponder a um grupo ative Directory, LDAP ou local. Os usuários que você especificar com o -excluded-users parâmetro não serão incluídos no processo de autenticação Duo.

Excluir usuários locais Duo

Você pode excluir usuários locais específicos do uso da autenticação Duo usando o Painel de Administração do Cisco Duo. Para obter instruções, consulte "Documentação do Cisco Duo" a .