Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Funções, aplicativos e autenticação

Colaboradores

O ONTAP fornece à empresa com consciência de segurança a capacidade de fornecer acesso granular a diferentes administradores por meio de diferentes aplicativos e métodos de login. Isso ajuda os clientes a criar um modelo de confiança zero centrado nos dados.

Estas são as funções disponíveis para administradores de máquinas virtuais de administração e armazenamento. Os métodos de aplicação de início de sessão e os métodos de autenticação de início de sessão são especificados.

Funções

Com o controle de acesso baseado em funções (RBAC), os usuários têm acesso apenas aos sistemas e opções necessários para suas funções e funções de trabalho. A solução RBAC no ONTAP limita o acesso administrativo dos usuários ao nível concedido para sua função definida, o que permite que os administradores gerenciem os usuários por função atribuída. O ONTAP fornece várias funções predefinidas. Os operadores e administradores podem criar, modificar ou excluir funções de controle de acesso personalizadas e podem especificar restrições de conta para funções específicas.

Funções predefinidas para administradores de cluster

Esta função…​

Tem este nível de acesso…​

Para os seguintes comandos ou diretórios de comandos

admin

Tudo

Todos os diretórios de comando (DEFAULT)

admin-no-fsa (Disponível a partir de ONTAP 9.12,1)

Leitura/escrita

  • Todos os diretórios de comando (DEFAULT)

  • security login rest-role

  • security login role

Somente leitura

  • security login rest-role create

  • security login rest-role delete

  • security login rest-role modify

  • security login rest-role show

  • security login role create

  • security login role create

  • security login role delete

  • security login role modify

  • security login role show

  • volume activity-tracking

  • volume analytics

Nenhum

volume file show-disk-usage

autosupport

Tudo

  • set

  • system node autosupport

Nenhum

Todos os outros diretórios de comando (DEFAULT)

backup

Tudo

vserver services ndmp

Somente leitura

volume

Nenhum

Todos os outros diretórios de comando (DEFAULT)

readonly

Tudo

  • security login password

    Apenas para gerir a palavra-passe local da conta de utilizador e as informações das chaves

  • set

Nenhum

security

Somente leitura

Todos os outros diretórios de comando (DEFAULT)

none

Observação A autosupport função é atribuída à conta predefinida autosupport, que é usada pelo AutoSupport OnDemand. O ONTAP impede que você modifique ou exclua a autosupport conta. O ONTAP também impede que você atribua autosupport a função a outras contas de usuário.

Funções predefinidas para administradores de máquina virtual de storage (SVM)

Nome da função

Recursos

vsadmin

  • Gerencie a senha local da própria conta de usuário e as informações chave

  • Gerencie volumes, exceto movimentos de volume

  • Gerencie cotas, qtrees, cópias Snapshot e arquivos

  • Gerenciar LUNs

  • Executar operações SnapLock, exceto exclusão privilegiada

  • Configurar protocolos: NFS, SMB, iSCSI, FC, FCoE, NVMe/FC e NVMe/TCP

  • Configurar serviços: DNS, LDAP e NIS

  • Monitorizar trabalhos

  • Monitore conexões de rede e interface de rede

  • Monitorar a integridade do SVM

vsadmin-volume

  • Gerencie a senha local da própria conta de usuário e as informações chave

  • Gerencie volumes, incluindo movimentos de volume

  • Gerencie cotas, qtrees, cópias Snapshot e arquivos

  • Gerenciar LUNs

  • Configurar protocolos: NFS, SMB, iSCSI, FC, FCoE, NVMe/FC e NVMe/TCP

  • Configurar serviços: DNS, LDAP e NIS

  • Monitorar a interface de rede

  • Monitorar a integridade do SVM

vsadmin-protocol

  • Gerencie a senha local da própria conta de usuário e as informações chave

  • Configurar protocolos: NFS, SMB, iSCSI, FC, FCoE, NVMe/FC e NVMe/TCP

  • Configurar serviços: DNS, LDAP e NIS

  • Gerenciar LUNs

  • Monitorar a interface de rede

  • Monitorar a integridade do SVM

vsadmin-backup

  • Gerencie a senha local da própria conta de usuário e as informações chave

  • Gerenciar operações NDMP

  • Faça uma leitura/gravação de volume restaurada

  • Gerencie relacionamentos do SnapMirror e cópias Snapshot

  • Exibir volumes e informações de rede

vsadmin-snaplock

  • Gerencie a senha local da própria conta de usuário e as informações chave

  • Gerencie volumes, exceto movimentos de volume

  • Gerencie cotas, qtrees, cópias Snapshot e arquivos

  • Executar operações SnapLock, incluindo exclusão privilegiada

  • Configurar protocolos: NFS e SMB

  • Configurar serviços: DNS, LDAP e NIS

  • Monitorizar trabalhos

  • Monitore conexões de rede e interface de rede

vsadmin-readonly

  • Gerencie a senha local da própria conta de usuário e as informações chave

  • Monitorar a integridade do SVM

  • Monitorar a interface de rede

  • Visualizar volumes e LUNs

  • Exibir serviços e protocolos

Métodos de aplicação

O método de aplicação especifica o tipo de acesso do método de início de sessão. Os valores possíveis incluem console, http, ontapi, rsh, snmp, service-processor, ssh, e telnet.

Definir este parâmetro para service-processor conceder ao utilizador acesso ao processador de serviço. Quando este parâmetro está definido como service-processor, o -authentication-method parâmetro tem de ser definido como password porque o processador de serviço suporta apenas password a autenticação. As contas de usuário do SVM não podem acessar o processador de serviços. Portanto, os operadores e administradores não podem usar o -vserver parâmetro quando este parâmetro está definido como service-processor.

Para restringir ainda mais o acesso ao service-processor use o comando system service-processor ssh add-allowed-addresses. O comando system service-processor api-service pode ser usado para atualizar as configurações e certificados.

Por motivos de segurança, o Telnet e o Shell remoto (RSH) são desativados por padrão porque o NetApp recomenda o Shell seguro (SSH) para acesso remoto seguro. Se houver um requisito ou necessidade exclusiva para Telnet ou RSH, eles devem ser ativados.

O security protocol modify comando modifica a configuração existente em todo o cluster do RSH e Telnet. Ative o RSH e o Telnet no cluster definindo o campo ativado para true.

Métodos de autenticação

O parâmetro método de autenticação especifica o método de autenticação usado para logins.

Método de autenticação Descrição

cert

Autenticação de certificado SSL

community

Strings de comunidade SNMP

domain

Autenticação do ative Directory

nsswitch

Autenticação LDAP ou NIS

password

Palavra-passe

publickey

Autenticação de chave pública

usm

Modelo de segurança do utilizador SNMP

Observação O uso de NIS não é recomendado devido a falhas de segurança do protocolo.

A partir do ONTAP 9.3, a autenticação de dois fatores encadeada está disponível para contas SSH locais admin usando publickey e password como os dois métodos de autenticação. Além do -authentication-method campo no security login comando, um novo campo chamado -second-authentication-method foi adicionado. publickey`Ou `password pode ser especificado como -authentication-method ou -second-authentication-method . No entanto, durante a autenticação SSH, a ordem é sempre publickey com autenticação parcial, seguida pelo prompt de senha para autenticação completa.

[user@host01 ~]$ ssh ontap.netapp.local
Authenticated with partial success.
Password:
cluster1::>

Começando com ONTAP 9.4, nsswitch pode ser usado como um segundo método de autenticação com publickey.

A partir do ONTAP 9.12,1, o FIDO2 também pode ser usado para autenticação SSH usando um dispositivo de autenticação de hardware YubiKey ou outros dispositivos compatíveis com o FIDO2.

Começando com ONTAP 9.13,1:

  • domain as contas podem ser usadas como um segundo método de autenticação com `publickey`o .

  • Senha única baseada no tempo (totp) é uma senha temporária gerada por um algoritmo que usa a hora atual do dia como um de seus fatores de autenticação para o segundo método de autenticação.

  • A revogação de chaves públicas é suportada com chaves públicas SSH, bem como certificados que serão verificados para expiração/revogação durante o SSH.

Para obter mais informações sobre autenticação multifator (MFA) para Gerenciador de sistemas, Active IQ Unified Manager e SSH da ONTAP, "TR-4647: Autenticação multifator no ONTAP 9"consulte .