Acesse o cluster usando SSH
Você pode emitir solicitações SSH para um cluster ONTAP para executar tarefas administrativas. O SSH está ativado por predefinição.
-
Você deve ter uma conta de usuário configurada para usar
ssh
como método de acesso.O
-application
parâmetro dos[security login
comandos especifica o método de acesso para uma conta de usuário. Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli/security-login-create.html[security login
na referência de comando do ONTAP. -
Se você usar uma conta de usuário de domínio do ative Directory (AD) para acessar o cluster, um túnel de autenticação para o cluster deve ter sido configurado por meio de uma VM de armazenamento habilitada para CIFS e sua conta de usuário de domínio do AD também deve ter sido adicionada ao cluster
ssh
como método de acesso edomain
como método de autenticação.
-
Você deve usar um cliente OpenSSH 5,7 ou posterior.
-
Apenas o protocolo SSH v2 é suportado; o SSH v1 não é suportado.
-
O ONTAP suporta um máximo de 64 sessões de SSH simultâneas por nó.
Se o LIF de gerenciamento de cluster reside no nó, ele compartilha esse limite com o LIF de gerenciamento de nós.
Se a taxa de conexões de entrada for superior a 10 por segundo, o serviço será temporariamente desativado por 60 segundos.
-
O ONTAP suporta apenas os algoritmos de criptografia AES e 3DES (também conhecidos como cifras) para SSH.
O AES é suportado com 128, 192 e 256 bits no comprimento da chave. 3DES tem 56 bits no comprimento da chave como no DES original, mas é repetido três vezes.
-
Quando o modo FIPS está ativado, os clientes SSH devem negociar com algoritmos de chave pública Elliptic Curve Digital Signature Algorithm (ECDSA) para que a conexão seja bem-sucedida.
-
Se você quiser acessar a CLI do ONTAP a partir de um host do Windows, você pode usar um utilitário de terceiros, como o PuTTY.
-
Se você usar um nome de usuário do Windows AD para fazer login no ONTAP, use as mesmas letras maiúsculas ou minúsculas que foram usadas quando o nome de usuário e o nome de domínio do AD foram criados no ONTAP.
Os nomes de usuários DE ANÚNCIOS e nomes de domínio não diferenciam maiúsculas de minúsculas. No entanto, os nomes de usuário do ONTAP são sensíveis a maiúsculas e minúsculas. A incompatibilidade de casos entre o nome de utilizador criado no ONTAP e o nome de utilizador criado no AD resulta numa falha de início de sessão.
-
A partir do ONTAP 9.3, você pode "Ative a autenticação multifator SSH" para contas de administrador locais.
Quando a autenticação multifator SSH está ativada, os usuários são autenticados usando uma chave pública e uma senha.
-
A partir do ONTAP 9.4, você pode "Ative a autenticação multifator SSH" para usuários remotos LDAP e NIS.
-
A partir do ONTAP 9.13,1, você pode opcionalmente adicionar validação de certificado ao processo de autenticação SSH para melhorar a segurança de login. Para fazer isso, "Associar um certificado X,509 à chave pública"uma conta usa. Se você fizer login usando SSH com uma chave pública SSH e um certificado X,509, o ONTAP verificará a validade do certificado X,509 antes de autenticar com a chave pública SSH. O login SSH é recusado se esse certificado estiver expirado ou revogado e a chave pública SSH for desativada automaticamente.
-
A partir do ONTAP 9.14,1, os administradores do ONTAP podem "Adicione a autenticação de dois fatores do Cisco Duo ao processo de autenticação SSH"melhorar a segurança de login. Após o primeiro login depois de ativar a autenticação Cisco Duo, os usuários precisarão Registrar um dispositivo para servir como autenticador para sessões SSH.
-
A partir do ONTAP 9.15,1, os administradores podem "Configurar autorização dinâmica"fornecer autenticação adaptativa adicional aos usuários SSH com base na pontuação de confiança do usuário.
-
A partir de um host com acesso à rede do cluster ONTAP, digite o
ssh
comando em um dos seguintes formatos:-
ssh username@hostname_or_IP [command]
-
ssh -l username hostname_or_IP [command]
-
Se você estiver usando uma conta de usuário de domínio do AD, você deve especificar username
no formato domainname\\AD_accountname
(com backslashes duplos após o nome de domínio) ou "domainname\AD_accountname"
(entre aspas duplas e com uma única barra invertida após o nome de domínio).
hostname_or_IP
É o nome do host ou o endereço IP do LIF de gerenciamento de cluster ou um LIF de gerenciamento de nós. Recomenda-se a utilização do LIF de gestão de clusters. Você pode usar um endereço IPv4 ou IPv6.
command
Não é necessário para sessões interativas SSH.
Os exemplos a seguir mostram como a conta de usuário chamada "joe" pode emitir uma solicitação SSH para acessar um cluster cujo LIF de gerenciamento de cluster é 10.72.137.28:
$ ssh joe@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
Os exemplos a seguir mostram como a conta de usuário chamada "john" do domínio chamado "domain1" pode emitir uma solicitação SSH para acessar um cluster cujo LIF de gerenciamento de cluster é 10.72.137.28:
$ ssh DOMAIN1\\john@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
O exemplo a seguir mostra como a conta de usuário chamada "joe" pode emitir uma solicitação SSH MFA para acessar um cluster cujo LIF de gerenciamento de cluster é 10.72.137.32:
$ ssh joe@10.72.137.32 Authenticated with partial success. Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.