Skip to main content
ONTAP Select
本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

保护ONTAP Select部署

PDF

在保护ONTAP Select部署的过程中,您可以执行多项相关任务。

更改 Deploy 管理员密码

您可以根据需要使用 Web 用户界面更改 Deploy 虚拟机管理员帐户的密码。

步骤

  1. 使用管理员帐户Sign in部署实用程序 Web 用户界面。

  2. 点击页面右上角的数字图标,选择*更改密码*。

  3. 根据提示提供当前密码和新密码,然后单击“提交”。

添加管理服务器帐户

您可以将管理服务器帐户添加到部署凭据存储数据库。

开始之前

您应该熟悉凭证的类型以及ONTAP Select Deploy 如何使用它们。

步骤

  1. 使用管理员帐户Sign in部署实用程序 Web 用户界面。

  2. 单击页面顶部的“管理”选项卡。

  3. 单击“管理服务器”,然后单击“添加 vCenter”。

  4. 输入以下信息并单击*添加*。

    在这个领域…… 执行以下操作…​

    名称/IP 地址

    提供 vCenter 服务器的域名或 IP 地址。

    用户名

    输入访问 vCenter 的帐户用户名。

    密码

    输入关联用户名的密码。

  5. 添加新的管理服务器后,您可以选择单击选项并选择以下选项之一:

    • 更新凭据

    • 验证凭证

    • 删除管理服务器

配置 MFA

从ONTAP Select 9.13.1 开始, ONTAP Select Deploy 管理员帐户支持多重身份验证 (MFA):

ONTAP Select使用 YubiKey PIV 或 FIDO2 身份验证部署 CLI MFA 登录

YubiKey PIV

配置 YubiKey PIN 并按照以下步骤生成或导入远程支持代理 (RSA) 或椭圆曲线数字签名算法 (ECDSA) 私钥和证书"TR-4647: ONTAP中的多因素身份验证"

  • 对于 Windows:技术报告的 YubiKey PIV 客户端 Windows 配置 部分。

  • 对于 MacOS:技术报告的 YubiKey PIV 客户端配置(适用于 MAC OS 和 Linux) 部分。

FIDO2

如果您选择使用 YubiKey FIDO2 身份验证,请使用 YubiKey 管理器配置 YubiKey FIDO2 PIN 码,并使用 PuTTY-CAC(通用访问卡) (Windows) 或 ssh-keygen (MacOS) 生成 FIDO2 密钥。具体步骤请参阅技术报告。 "TR-4647: ONTAP中的多因素身份验证"

  • 对于 Windows:技术报告的 YubiKey FIDO2 客户端配置(适用于 Windows) 部分。

  • 对于 MacOS:技术报告的 YubiKey FIDO2 客户端配置(适用于 Mac OS 和 Linux) 部分。

获取 YubiKey PIV 或 FIDO2 公钥

获取公钥取决于您是 Windows 还是 MacOS 客户端,以及您是否使用 PIV 或 FIDO2。

对于 Windows:

  • 按照 TR-4647 第 16 页上的*为 YubiKey PIV 身份验证配置 Windows PuTTY-CAC SSH 客户端*部分中的说明,使用 SSH → 证书下的 复制到剪贴板 功能导出 PIV 公钥。

  • 按照 TR-4647 第 30 页上的*为 YubiKey FIDO2 身份验证配置 Windows PuTTY-CAC SSH 客户端*部分中的说明,使用 SSH → 证书下的 复制到剪贴板 功能导出 FIDO2 公钥。

对于 MacOS:

  • PIV 公钥应使用 `ssh-keygen -e`按照 TR-4647 第 24 页的“为 YubiKey PIV 身份验证配置 Mac OS 或 Linux SSH 客户端”部分中的说明执行命令。

  • FIDO2 公钥位于 `id_ecdsa_sk.pub`文件或 `id_edd519_sk.pub`文件,取决于您使用 ECDSA 还是 EDD519,如 TR-4647 第 39 页的“为 YubiKey FIDO2 身份验证配置 MAC OS 或 Linux SSH 客户端”部分所述。

在ONTAP Select Deploy 中配置公钥

管理员帐户使用 SSH 进行公钥身份验证方法。无论身份验证方法是标准 SSH 公钥身份验证还是 YubiKey PIV 或 FIDO2 身份验证,使用的命令都是相同的。

对于基于硬件的 SSH MFA,除了在ONTAP Select Deploy 上配置的公钥之外,其他身份验证因素如下:

  • PIV 或 FIDO2 PIN

  • 拥有 YubiKey 硬件设备。对于 FIDO2,通过在身份验证过程中物理接触 YubiKey 来确认。

开始之前

设置针对 YubiKey 配置的 PIV 或 FIDO2 公钥。ONTAPONTAP Select Deploy CLI 命令 `security publickey add -key`对于PIV或FIDO2来说是一样的,只是公钥字符串不同。

公钥的获取方式如下:

  • PuTTY-CAC 的 PIV 和 FIDO2 的“复制到剪贴板”功能(Windows)

  • 使用 SSH 兼容格式导出公钥 ssh-keygen -e PIV 命令

  • 公钥文件位于 ~/.ssh/id_***_sk.pub FIDO2 文件(MacOS)

步骤

  1. 在 `.ssh/id_***.pub`文件。

  2. ONTAP Select `security publickey add -key <key>`命令。

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. 使用 `security multifactor authentication enable`命令。

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

使用 YubiKey PIV 身份验证通过 SSH 登录到ONTAP Select Deploy

您可以使用 YubiKey PIV 身份验证通过 SSH 登录到ONTAP Select Deploy。

步骤

  1. 配置 YubiKey 令牌、SSH 客户端和ONTAP Select Deploy 后,您可以通过 SSH 使用 MFA YubiKey PIV 身份验证。

  2. 登录ONTAP Select Deploy。如果您使用的是 Windows PuTTY-CAC SSH 客户端,则会弹出一个对话框,提示您输入 YubiKey PIN。

  3. 使用已连接的 YubiKey 从您的设备登录。

示例输出
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

ONTAP Select使用 ssh-keygen 部署 CLI MFA 登录

这 `ssh-keygen`命令是一个用于为 SSH 创建新身份验证密钥对的工具。这些密钥对可用于自动登录、单点登录以及主机身份验证。

这 `ssh-keygen`命令支持多种用于身份验证密钥的公钥算法。

  • 选择算法时 `-t`选项

  • 密钥大小是通过 `-b`选项

示例输出
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
步骤

  1. 在 `.ssh/id_***.pub`文件。

  2. ONTAP Select `security publickey add -key <key>`命令。

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. 使用 `security multifactor authentication enable`命令。

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

  4. 启用 MFA 后登录ONTAP Select Deploy 系统。您应该会收到类似于以下示例的输出。

    [<user ID> ~]$ ssh <admin>
Authenticated with partial success.
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

从 MFA 迁移到单因素身份验证

可以使用以下方法为 Deploy 管理员帐户禁用 MFA:

  • 如果您可以使用安全外壳 (SSH) 以管理员身份登录到 Deploy CLI,请通过运行以下命令禁用 MFA `security multifactor authentication disable`来自 Deploy CLI 的命令。

    (ONTAPdeploy) security multifactor authentication disable
MFA disabled Successfully

  • 如果您无法使用 SSH 以管理员身份登录 Deploy CLI:

    1. 通过 vCenter 或 vSphere 连接到 Deploy 虚拟机 (VM) 视频控制台。

    2. 使用管理员帐户登录 Deploy CLI。

    3. 运行 `security multifactor authentication disable`命令。

      Debian GNU/Linux 11 <user ID> tty1

<hostname> login: admin
Password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy) security multifactor authentication disable
MFA disabled successfully

(ONTAPdeploy)

  • 管理员可以使用以下命令删除公钥:
    security publickey delete -key