Funções, aplicativos e autenticação
O ONTAP fornece à empresa com consciência de segurança a capacidade de fornecer acesso granular a diferentes administradores por meio de diferentes aplicativos e métodos de login. Isso ajuda os clientes a criar um modelo de confiança zero centrado nos dados.
Estas são as funções disponíveis para administradores de máquinas virtuais de administração e armazenamento. Os métodos de aplicação de início de sessão e os métodos de autenticação de início de sessão são especificados.
Funções
Com o controle de acesso baseado em funções (RBAC), os usuários têm acesso apenas aos sistemas e opções necessários para suas funções e funções de trabalho. A solução RBAC no ONTAP limita o acesso administrativo dos usuários ao nível concedido para sua função definida, o que permite que os administradores gerenciem os usuários por função atribuída. O ONTAP fornece várias funções predefinidas. Os operadores e administradores podem criar, modificar ou excluir funções de controle de acesso personalizadas e podem especificar restrições de conta para funções específicas.
Funções predefinidas para administradores de cluster
Esta função… |
Tem este nível de acesso… |
Para os seguintes comandos ou diretórios de comandos |
|
Tudo |
Todos os diretórios de comando ( |
|
Leitura/escrita |
|
Somente leitura |
|
Nenhum |
|
|
Tudo |
|
Nenhum |
Todos os outros diretórios de comando ( |
|
Tudo |
|
Somente leitura |
|
Nenhum |
Todos os outros diretórios de comando ( |
|
Tudo |
|
Nenhum |
|
Somente leitura |
Todos os outros diretórios de comando ( |
|
A autosupport função é atribuída à conta predefinida autosupport , que é usada pelo AutoSupport OnDemand. O ONTAP impede que você modifique ou exclua a autosupport conta. O ONTAP também impede que você atribua autosupport a função a outras contas de usuário.
|
Funções predefinidas para administradores de máquina virtual de storage (SVM)
Nome da função |
Recursos |
|
|
|
|
|
|
|
|
|
|
|
|
Métodos de aplicação
O método de aplicação especifica o tipo de acesso do método de início de sessão. Os valores possíveis incluem console, http, ontapi, rsh, snmp, service-processor, ssh,
e telnet
.
Definir este parâmetro para service-processor
conceder ao utilizador acesso ao processador de serviço. Quando este parâmetro está definido como service-processor
, o -authentication-method
parâmetro tem de ser definido como password
porque o processador de serviço suporta apenas password
a autenticação. As contas de usuário do SVM não podem acessar o processador de serviços. Portanto, os operadores e administradores não podem usar o -vserver
parâmetro quando este parâmetro está definido como service-processor
.
Para restringir ainda mais o acesso ao service-processor
use o comando system service-processor ssh add-allowed-addresses
. O comando system service-processor api-service
pode ser usado para atualizar as configurações e certificados.
Por motivos de segurança, o Telnet e o Shell remoto (RSH) são desativados por padrão porque o NetApp recomenda o Shell seguro (SSH) para acesso remoto seguro. Se houver um requisito ou necessidade exclusiva para Telnet ou RSH, eles devem ser ativados.
O security protocol modify
comando modifica a configuração existente em todo o cluster do RSH e Telnet. Ative o RSH e o Telnet no cluster definindo o campo ativado para true
.
Métodos de autenticação
O parâmetro método de autenticação especifica o método de autenticação usado para logins.
Método de autenticação | Descrição |
---|---|
|
Autenticação de certificado SSL |
|
Strings de comunidade SNMP |
|
Autenticação do ative Directory |
|
Autenticação LDAP ou NIS |
|
Palavra-passe |
|
Autenticação de chave pública |
|
Modelo de segurança do utilizador SNMP |
O uso de NIS não é recomendado devido a falhas de segurança do protocolo. |
A partir do ONTAP 9.3, a autenticação de dois fatores encadeada está disponível para contas SSH locais admin
usando publickey
e password
como os dois métodos de autenticação. Além do -authentication-method
campo no security login
comando, um novo campo chamado -second-authentication-method
foi adicionado. publickey`Ou `password
pode ser especificado como -authentication-method
ou -second-authentication-method
. No entanto, durante a autenticação SSH, a ordem é sempre publickey
com autenticação parcial, seguida pelo prompt de senha para autenticação completa.
[user@host01 ~]$ ssh ontap.netapp.local Authenticated with partial success. Password: cluster1::>
Começando com ONTAP 9.4, nsswitch
pode ser usado como um segundo método de autenticação com publickey
.
A partir do ONTAP 9.12,1, o FIDO2 também pode ser usado para autenticação SSH usando um dispositivo de autenticação de hardware YubiKey ou outros dispositivos compatíveis com o FIDO2.
Começando com ONTAP 9.13,1:
-
domain
as contas podem ser usadas como um segundo método de autenticação com `publickey`o . -
Senha única baseada no tempo (
totp
) é uma senha temporária gerada por um algoritmo que usa a hora atual do dia como um de seus fatores de autenticação para o segundo método de autenticação. -
A revogação de chaves públicas é suportada com chaves públicas SSH, bem como certificados que serão verificados para expiração/revogação durante o SSH.
Para obter mais informações sobre autenticação multifator (MFA) para Gerenciador de sistemas, Active IQ Unified Manager e SSH da ONTAP, "TR-4647: Autenticação multifator no ONTAP 9"consulte .