Skip to main content
ONTAP Select
本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

保护 ONTAP Select 部署

PDF

在确保 ONTAP Select 部署安全的过程中,可以执行几个相关任务。

更改 Deploy 管理员密码

您可以根据需要使用 Web 用户界面更改 Deploy 虚拟机管理员帐户的密码。

步骤

  1. 使用管理员帐户 Sign in 到 Deploy 实用程序 Web 用户界面。

  2. 单击页面右上角的图标并选择 Change Password

  3. 根据提示提供当前密码和新密码,然后单击 Submit

添加管理服务器帐户

您可以将管理服务器帐户添加到 Deploy 凭据存储数据库。

开始之前

您应熟悉 ONTAP Select Deploy 的凭据类型及其使用方式。

步骤

  1. 使用管理员帐户 Sign in 到 Deploy 实用程序 Web 用户界面。

  2. 单击页面顶部的 Administration 选项卡。

  3. 单击 Management Servers,然后单击 Add vCenter

  4. 输入以下信息,然后单击 Add

    在这个领域…… 执行以下操作…

    名称/IP 地址

    提供 vCenter 服务器的域名或 IP 地址。

    用户名

    输入访问 vCenter 的账户用户名。

    密码

    输入关联用户名的密码。

  5. 添加新管理服务器后,可以选择单击 选项 并选择以下选项之一:

    • 更新凭据

    • 验证凭据

    • 删除管理服务器

配置 MFA

从 ONTAP Select 9.13.1 开始,ONTAP Select Deploy 管理员帐户支持多因素身份验证 (MFA):

使用 YubiKey PIV 或 FIDO2 身份验证的 ONTAP Select Deploy CLI MFA 登录

YubiKey PIV

配置 YubiKey PIN 并使用 "TR-4647:ONTAP 中的多因素身份验证" 中的步骤生成或导入远程支持代理 (RSA) 或椭圆曲线数字签名算法 (ECDSA) 私钥和证书。

  • 对于 Windows:技术报告的 YubiKey PIV Client configuration for Windows 部分。

  • 对于 MacOS:技术报告的 YubiKey PIV 客户端配置 For MAC OS and Linux 部分。

FIDO2

如果选择 YubiKey FIDO2 身份验证,请使用 YubiKey Manager 配置 YubiKey FIDO2 PIN,并使用适用于 Windows 的 PuTTY-CAC(Common Access Card)或适用于 MacOS 的 ssh-keygen 生成 FIDO2 密钥。具体步骤见技术报告"TR-4647:ONTAP 中的多因素身份验证"

  • 对于 Windows:技术报告的 适用于 Windows 的 YubiKey FIDO2 客户端配置 部分。

  • 对于 MacOS:技术报告的 YubiKey FIDO2 客户端配置 For Mac OS and Linux 部分。

获取 YubiKey PIV 或 FIDO2 公钥

获取公钥取决于您是 Windows 还是 MacOS 客户端,以及您使用的是 PIV 还是 FIDO2。

对于 Windows:

  • 如 TR-4647 第 16 页*为 YubiKey PIV 身份验证配置 Windows PuTTY-CAC SSH 客户端*一节所述,使用 SSH → 证书下的*复制到剪贴板*功能导出 PIV 公钥。

  • 如 TR-4647 第 30 页*为 YubiKey FIDO2 身份验证配置 Windows PuTTY-CAC SSH 客户端*一节所述,使用 SSH → 证书下的*复制到剪贴板*功能导出 FIDO2 公钥。

对于 MacOS:

  • 应使用 ssh-keygen -e 命令导出 PIV 公钥,如 TR-4647 第 24 页*配置 Mac OS 或 Linux SSH 客户端进行 YubiKey PIV 身份验证*一节中所述。

  • FIDO2 公钥位于 id_ecdsa_sk.pub 文件或 id_edd519_sk.pub 文件中,具体取决于您使用的是 ECDSA 还是 EDD519,如 TR-4647 第 39 页*配置 MAC OS 或 Linux SSH 客户端进行 YubiKey FIDO2 身份验证*一节所述。

在 ONTAP Select Deploy 中配置公钥

SSH 由管理员帐户用于公钥身份验证方法。无论身份验证方法是标准 SSH 公钥身份验证还是 YubiKey PIV 或 FIDO2 身份验证,使用的命令都是相同的。

对于基于硬件的 SSH MFA,除了在 ONTAP Select Deploy 上配置的公钥之外,身份验证因素如下:

  • PIV 或 FIDO2 PIN

  • 拥有 YubiKey 硬件设备。对于 FIDO2,在身份验证过程中通过物理接触 YubiKey 来确认。

开始之前

设置为 YubiKey 配置的 PIV 或 FIDO2 公钥。ONTAP Select Deploy CLI 命令 `security publickey add -key`对于 PIV 或 FIDO2 是相同的,公钥字符串不同。

公钥来自:

  • 适用于 PIV 和 FIDO2 的 PuTTY-CAC 的 Copy to Clipboard 功能(Windows)

  • 使用 ssh-keygen -e 命令以 SSH 兼容格式导出 PIV 公钥

  • 位于 ~/.ssh/id_***_sk.pub 文件中的 FIDO2 (MacOS) 公钥文件

步骤

  1. .ssh/id_***.pub 文件中查找生成的密钥。

  2. 使用 security publickey add -key <key> 命令将生成的密钥添加到 ONTAP Select Deploy。

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. 使用 security multifactor authentication enable 命令启用 MFA 身份验证。

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

使用 SSH 上的 YubiKey PIV 身份验证登录到 ONTAP Select Deploy

您可以使用 SSH 上的 YubiKey PIV 身份验证登录 ONTAP Select Deploy。

步骤

  1. 配置 YubiKey 令牌、SSH 客户端和 ONTAP Select Deploy 后,您可以通过 SSH 使用 MFA YubiKey PIV 身份验证。

  2. 登录 ONTAP Select Deploy。如果您使用的是 Windows PuTTY-CAC SSH 客户端,则会弹出一个对话框,提示您输入 YubiKey PIN。

  3. 使用连接的 YubiKey 从您的设备登录。

输出示例
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

使用 ssh-keygen 的 ONTAP Select Deploy CLI MFA 登录

`ssh-keygen` 命令是一种为 SSH 创建新身份验证密钥对的工具。密钥对用于自动登录、单点登录和身份验证主机。
`ssh-keygen` 命令支持身份验证密钥的几种公钥算法。

  • 该算法通过 -t 选项进行选择

  • 使用 -b 选项选择密钥大小

输出示例
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
步骤

  1. .ssh/id_***.pub 文件中查找生成的密钥。

  2. 使用 security publickey add -key <key> 命令将生成的密钥添加到 ONTAP Select Deploy。

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. 使用 security multifactor authentication enable 命令启用 MFA 身份验证。

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

  4. 启用 MFA 后登录到 ONTAP Select Deploy 系统。您将收到类似于以下示例的输出。

    [<user ID> ~]$ ssh <admin>
Authenticated with partial success.
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

从 MFA 迁移到单因素身份验证

可以使用以下方法为 Deploy 管理员帐户禁用 MFA:

  • 如果可以管理员身份使用 Secure Shell (SSH) 登录到 Deploy CLI,请通过从 Deploy CLI 运行 security multifactor authentication disable 命令禁用 MFA。

    (ONTAPdeploy) security multifactor authentication disable
MFA disabled Successfully

  • 如果无法使用 SSH 以管理员身份登录到 Deploy CLI:

    1. 通过 vCenter 或 vSphere 连接到 Deploy 虚拟机 (VM) 视频控制台。

    2. 使用管理员帐户登录到 Deploy CLI。

    3. 运行 security multifactor authentication disable 命令。

      Debian GNU/Linux 11 <user ID> tty1

<hostname> login: admin
Password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy) security multifactor authentication disable
MFA disabled successfully

(ONTAPdeploy)

  • 管理员可以通过以下方式删除公钥:
    security publickey delete -key