Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

安全性

贡献者
PDF

在确保 ONTAP Select 部署安全的过程中,您可以执行多项相关任务。

更改Deploy管理员密码

您可以根据需要使用 Web 用户界面更改 Deploy 虚拟机管理员帐户的密码。

步骤

  1. 使用管理员帐户登录到 Deploy 实用程序 Web 用户界面。

  2. 单击页面右上角的图图标并选择 * 更改密码 * 。

  3. 根据提示提供当前密码和新密码,然后单击 * 提交 * 。

添加管理服务器帐户

您可以将管理服务器帐户添加到 Deploy 凭据存储数据库中。

开始之前

您应熟悉凭据类型以及 ONTAP Select Deploy 如何使用这些凭据。

步骤

  1. 使用管理员帐户登录到 Deploy 实用程序 Web 用户界面。

  2. 单击页面顶部的 * 管理 * 选项卡。

  3. 单击 * 管理服务器 * ,然后单击 * 添加 vCenter* 。

  4. 输入以下信息并单击 * 添加 * 。

    在此字段中为… 执行以下操作…

    名称 /IP 地址

    提供 vCenter Server 的域名或 IP 地址。

    用户名

    输入帐户用户名以访问 vCenter 。

    密码

    输入关联用户名的密码。

  5. 添加新管理服务器后、您可以选择单击并选择以下选项选项之一:

    • 更新凭据

    • 验证凭据

    • 删除管理服务器

配置MFA

从ONTAP Select 9.13.1开始、ONTAP Select Deploy管理员帐户支持多因素身份验证(MFA):

使用YukiKey PIV或FIDO2身份验证登录ONTAP Select Deploy命令行界面MFA

YukikiKey PIV

按照中的步骤配置YukiKey PIN并生成或导入远程支持代理(RSA)或椭圆曲线数字签名算法(ECDSA)私钥和证书"TR-4647:《ONTAP中的多因素身份验证》"

  • 对于Windows:技术报告的“* YukiKey PIV客户端Windows*配置”部分。

  • 对于MacOS:技术报告中用于MAC OS和Linux*的*YUBIKey PIV客户端配置部分。

FIDO2

如果选择使用YukiKey FIDO2身份验证、请使用YukiKey Manager配置YukbiKey FIDO2 PIN、并使用适用于Windows的PuTTY-CAC (通用访问卡)或适用于MacOS的ssh-keygen生成FIDO2密钥。执行此操作的步骤请参阅技术报告"TR-4647:《ONTAP中的多因素身份验证》"

  • 对于Windows:技术报告的“Windows** YUBIKey FIDO2客户端配置”部分。

  • 对于MacOS:技术报告中用于Mac OS和Linux*的*YUBIKey FIDO2客户端配置部分。

获取YobiKey PIV或FIDO2公共密钥

获取公共密钥取决于您是Windows客户端还是MacOS客户端、以及您使用的是PIV还是FIDO2。

对于 Windows :

  • 按照TR-4647第16页的*为Windows PuTTY-CAC SSH客户端配置YUBIKey PIV身份验证*一节所述,使用SSH→证书下的*复制到剪贴板*功能导出PIV公共密钥。

  • 按照TR-4647第30页的*为Windows PuTTY-CAC SSH客户端配置YUBIKey FIDO2身份验证*一节所述,使用SSH→证书下的*复制到剪贴板*功能导出FIDO2公共密钥。

对于MacOS:

  • 应使用TR-4647第24页上的*为Mac OS或Linux SSH客户端配置YUBIKey PIV身份验证*一节所述的命令导出PIV公共 `ssh-keygen -e`密钥。

  • FIDO2公共密钥位于文件或 id_edd519_sk.pub`文件中 `id_ecdsa_sk.pub、具体取决于您是使用ECDSA还是EDD519、如TR-4647第39页的*为YUBIKey FIDO2身份验证配置MAC操作系统或Linux SSH客户端一节所述。

在ONTAP Select Deploy中配置公共密钥

管理员帐户使用SSH执行公共密钥身份验证方法。无论身份验证方法是标准SSH公共密钥身份验证、YukiKey PIV还是FIDO2身份验证、使用的命令都相同。

对于基于硬件的SSH MFA、除了在ONTAP Select Deploy上配置的公共密钥之外、身份验证因素如下所示:

  • PIV或FIDO2 PIN

  • 拥有YukiKey硬件设备。对于FIDO2、可通过在身份验证过程中物理触摸YukiKey来确认这一点。

开始之前

设置为YukiKey配置的PIV或FIDO2公共密钥。PIV或FIDO2的ONTAP Select Deploy命令行界面命令 `security publickey add -key`相同、公共密钥字符串也不同。

公共密钥可从以下位置获取:

  • 用于PIV和FIDO2的PuTTY-CAC的*复制到剪贴板*功能(Windows)

  • 对PIV使用命令以SSH兼容格式导出公共密钥 ssh-keygen -e

  • FIDO2 (MacOS)文件中的公共密钥文件 ~/.ssh/id_***_sk.pub

步骤

  1. 在文件中查找生成的密钥 .ssh/id_***.pub

  2. 使用命令将生成的密钥添加到ONTAP Select Deploy security publickey add -key <key>

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. 使用命令启用MFA身份验证 security multifactor authentication enable

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

通过SSH使用YukiKey PIV身份验证登录到ONTAP Select Deploy

您可以使用基于SSH的YukiKey PIV身份验证登录到ONTAP Select Deploy。

步骤

  1. 配置完YukiKey令牌、SSH客户端和ONTAP Select Deploy后、您可以通过SSH使用MFA YukiKey PIV身份验证。

  2. 登录到ONTAP Select Deploy。如果您使用的是Windows PuTTY-CAC SSH客户端、则会弹出一个对话框、提示您输入YukiKey PIN。

  3. 在连接了YukiKey的情况下从您的设备登录。

示例输出
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

使用ssh-keygen登录ONTAP Select Deploy命令行界面MFA

`ssh-keygen`命令是一个用于为SSH创建新身份验证密钥对的工具。密钥对用于自动执行登录、单点登录和主机身份验证。
`ssh-keygen`命令支持多种用于身份验证密钥的公共密钥算法。

  • 可使用选项选择该算法 -t

  • 密钥大小通过选项进行选择 -b

示例输出
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
步骤

  1. 在文件中查找生成的密钥 .ssh/id_***.pub

  2. 使用命令将生成的密钥添加到ONTAP Select Deploy security publickey add -key <key>

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. 使用命令启用MFA身份验证 security multifactor authentication enable

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

  4. 启用MFA后、登录到ONTAP Select Deploy系统。您应收到类似于以下示例的输出。

    [<user ID> ~]$ ssh <admin>
Authenticated with partial success.
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

从MFA迁移到单因素身份验证

可以使用以下方法为Deploy管理员帐户禁用MFA:

  • 如果您可以使用安全Shell (SSH)以管理员身份登录到Deploy命令行界面、请从Deploy命令行界面运行命令以禁用MFA security multifactor authentication disable

    (ONTAPdeploy) security multifactor authentication disable
MFA disabled Successfully

  • 如果您无法使用SSH以管理员身份登录到Deploy命令行界面:

    1. 通过vCenter或vSphere连接到Deploy虚拟机(VM)视频控制台。

    2. 使用管理员帐户登录到Deploy命令行界面。

    3. 运行 `security multifactor authentication disable`命令。

      Debian GNU/Linux 11 <user ID> tty1

<hostname> login: admin
Password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy) security multifactor authentication disable
MFA disabled successfully

(ONTAPdeploy)

  • 管理员可以使用以下命令删除公共密钥:
    security publickey delete -key