Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Acesse o cluster usando SSH

Colaboradores

Você pode emitir solicitações SSH para um cluster ONTAP para executar tarefas administrativas. O SSH está ativado por predefinição.

Antes de começar
  • Você deve ter uma conta de usuário configurada para usar ssh como método de acesso.

    O -application parâmetro dos[security login comandos especifica o método de acesso para uma conta de usuário. Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli/security-login-create.html[security login na referência de comando do ONTAP.

  • Se você usar uma conta de usuário de domínio do ative Directory (AD) para acessar o cluster, um túnel de autenticação para o cluster deve ter sido configurado por meio de uma VM de armazenamento habilitada para CIFS e sua conta de usuário de domínio do AD também deve ter sido adicionada ao cluster ssh como método de acesso e domain como método de autenticação.

Sobre esta tarefa
  • Você deve usar um cliente OpenSSH 5,7 ou posterior.

  • Apenas o protocolo SSH v2 é suportado; o SSH v1 não é suportado.

  • O ONTAP suporta um máximo de 64 sessões de SSH simultâneas por nó.

    Se o LIF de gerenciamento de cluster reside no nó, ele compartilha esse limite com o LIF de gerenciamento de nós.

    Se a taxa de conexões de entrada for superior a 10 por segundo, o serviço será temporariamente desativado por 60 segundos.

  • O ONTAP suporta apenas os algoritmos de criptografia AES e 3DES (também conhecidos como cifras) para SSH.

    O AES é suportado com 128, 192 e 256 bits no comprimento da chave. 3DES tem 56 bits no comprimento da chave como no DES original, mas é repetido três vezes.

  • Quando o modo FIPS está ativado, os clientes SSH devem negociar com algoritmos de chave pública Elliptic Curve Digital Signature Algorithm (ECDSA) para que a conexão seja bem-sucedida.

  • Se você quiser acessar a CLI do ONTAP a partir de um host do Windows, você pode usar um utilitário de terceiros, como o PuTTY.

  • Se você usar um nome de usuário do Windows AD para fazer login no ONTAP, use as mesmas letras maiúsculas ou minúsculas que foram usadas quando o nome de usuário e o nome de domínio do AD foram criados no ONTAP.

    Os nomes de usuários DE ANÚNCIOS e nomes de domínio não diferenciam maiúsculas de minúsculas. No entanto, os nomes de usuário do ONTAP são sensíveis a maiúsculas e minúsculas. A incompatibilidade de casos entre o nome de utilizador criado no ONTAP e o nome de utilizador criado no AD resulta numa falha de início de sessão.

Opções de autenticação SSH
  • A partir do ONTAP 9.3, você pode "Ative a autenticação multifator SSH" para contas de administrador locais.

    Quando a autenticação multifator SSH está ativada, os usuários são autenticados usando uma chave pública e uma senha.

  • A partir do ONTAP 9.4, você pode "Ative a autenticação multifator SSH" para usuários remotos LDAP e NIS.

  • A partir do ONTAP 9.13,1, você pode opcionalmente adicionar validação de certificado ao processo de autenticação SSH para melhorar a segurança de login. Para fazer isso, "Associar um certificado X,509 à chave pública"uma conta usa. Se você fizer login usando SSH com uma chave pública SSH e um certificado X,509, o ONTAP verificará a validade do certificado X,509 antes de autenticar com a chave pública SSH. O login SSH é recusado se esse certificado estiver expirado ou revogado e a chave pública SSH for desativada automaticamente.

  • A partir do ONTAP 9.14,1, os administradores do ONTAP podem "Adicione a autenticação de dois fatores do Cisco Duo ao processo de autenticação SSH"melhorar a segurança de login. Após o primeiro login depois de ativar a autenticação Cisco Duo, os usuários precisarão Registrar um dispositivo para servir como autenticador para sessões SSH.

  • A partir do ONTAP 9.15,1, os administradores podem "Configurar autorização dinâmica"fornecer autenticação adaptativa adicional aos usuários SSH com base na pontuação de confiança do usuário.

Passos
  1. A partir de um host com acesso à rede do cluster ONTAP, digite o ssh comando em um dos seguintes formatos:

    • ssh username@hostname_or_IP [command]

    • ssh -l username hostname_or_IP [command]

Se você estiver usando uma conta de usuário de domínio do AD, você deve especificar username no formato domainname\\AD_accountname (com backslashes duplos após o nome de domínio) ou "domainname\AD_accountname" (entre aspas duplas e com uma única barra invertida após o nome de domínio).

hostname_or_IP É o nome do host ou o endereço IP do LIF de gerenciamento de cluster ou um LIF de gerenciamento de nós. Recomenda-se a utilização do LIF de gestão de clusters. Você pode usar um endereço IPv4 ou IPv6.

command Não é necessário para sessões interativas SSH.

Exemplos de solicitações SSH

Os exemplos a seguir mostram como a conta de usuário chamada "joe" pode emitir uma solicitação SSH para acessar um cluster cujo LIF de gerenciamento de cluster é 10.72.137.28:

$ ssh joe@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

Os exemplos a seguir mostram como a conta de usuário chamada "john" do domínio chamado "domain1" pode emitir uma solicitação SSH para acessar um cluster cujo LIF de gerenciamento de cluster é 10.72.137.28:

$ ssh DOMAIN1\\john@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

O exemplo a seguir mostra como a conta de usuário chamada "joe" pode emitir uma solicitação SSH MFA para acessar um cluster cujo LIF de gerenciamento de cluster é 10.72.137.32:

$ ssh joe@10.72.137.32
Authenticated with partial success.
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
Informações relacionadas

"Autenticação de administrador e RBAC"