简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

用于管理员身份验证和 RBAC 配置的工作表

提供者 netapp-thomi

在创建登录帐户和设置基于角色的访问控制( Role-Based Access Control , RBAC )之前,您应收集配置工作表中每个项目的信息。

创建或修改登录帐户

当您允许登录帐户访问 Storage Virtual Machine ( SVM )时,您可以在 ssecurity login create 命令中提供这些值。当您修改帐户访问 SVM 的方式时,可以使用 ssecurity login modify 命令提供相同的值。

字段

Description

您的价值

` -vserver`

帐户访问的 SVM 的名称。默认值为集群的管理 SVM 的名称。

` 用户或组名称`

帐户的用户名或组名称。通过指定组名称,可以访问组中的每个用户。您可以将一个用户名或组名称与多个应用程序相关联。

` 应用`

用于访问 SVM 的应用程序:

  • http

  • ontapi

  • snmp

  • ssh

` -authmethod`

用于对帐户进行身份验证的方法:

  • cert 用于 SSL 证书身份验证

  • domain 用于 Active Directory 身份验证

  • nsswitch 用于 LDAP 或 NIS 身份验证

  • password 用于用户密码身份验证

  • publickey 用于公有密钥身份验证

  • community 用于 SNMP 社区字符串

  • USM 用于 SNMP 用户安全模型

  • sAML 适用于安全断言标记语言( SAML )身份验证

` -remote-switch-ipaddress`

远程交换机的 IP 地址。远程交换机可以是由集群交换机运行状况监控器( CSHM )监控的集群交换机,也可以是由 MetroCluster 运行状况监控器( MCC-HM )监控的光纤通道( FC )交换机。只有当应用程序为 snmp 且身份验证方法为 USM 时,此选项才适用。

` - 角色`

分配给帐户的访问控制角色:

  • 对于集群(管理 SVM ),默认值为 admin

  • 对于数据 SVM ,默认值为 vsadmin

` 注释`

(可选)帐户的描述性文本。文本应用双引号( " )括起来。

` -is-ns-switch-group`

帐户是 LDAP 组帐户还是 NIS 组帐户(yesno )。

` 第二身份验证方法`

在 * ONTAP 9.3* 中进行多因素身份验证时使用的第二种身份验证方法:

  • none 如果不使用多因素身份验证,则为默认值

  • authmethod 为 password 或 nsswitch 时,用于公有密钥身份验证的` publickey `

  • authmethod 为公有密钥时,用于用户密码身份验证的 password

  • 当 authmethod 为 publickey 时, nsswitch 用于用户密码身份验证

    注

    可从 * ONTAP 9.4* 获得对 nsswitch 的支持

身份验证顺序始终是公有密钥和密码。

定义自定义角色

定义自定义角色时,您可以在 ssecurity login role create 命令中提供这些值。

字段

Description

您的价值

` -vserver`

(可选)与角色关联的 SVM 的名称。

` - 角色`

角色的名称。

` -cmddirname`

角色授予访问权限的命令或命令目录。您应将命令子目录名称用双引号( " )括起来。例如, ` "volume snapshot"` 。要指定所有命令目录,必须输入 Default

` 访问`

(可选)角色的访问级别。对于命令目录:

  • none (自定义角色的默认值)拒绝访问命令目录中的命令

  • readonly 授予对命令目录及其子目录中 show 命令的访问权限

  • all 授予对命令目录及其子目录中所有命令的访问权限

对于 nonintrinsic commands( 不以 createmodifydeleteshow 结尾的命令):

  • none (自定义角色的默认值)拒绝访问命令

  • re仅支持 不适用

  • all 授予对命令的访问权限

要授予或拒绝对内部命令的访问权限,必须指定命令目录。

` 查询`

(可选)用于筛选访问级别的查询对象,该对象以命令或命令目录中某个命令的有效选项的形式指定。您应将查询对象用双引号( " )括起来。例如,如果命令目录为 volume ,则查询对象 ` -aggr aggr0"` 将仅为 aggr0 聚合启用访问。

将公有密钥与用户帐户关联

在将 SSH 公有密钥与用户帐户关联时,您可以在 ssecurity login publickey create 命令中提供这些值。

字段

Description

您的价值

` -vserver`

(可选)帐户访问的 SVM 的名称。

` 用户名`

帐户的用户名。默认值 admin ,这是集群管理员的默认名称。

` 索引`

公有密钥的索引编号。如果密钥是为帐户创建的第一个密钥,则默认值为 0 ;否则,默认值将比帐户的最高现有索引编号多一个。

` - 公共密钥`

OpenSSH 公有密钥。您应将密钥用双引号( " )括起来。

` - 角色`

分配给帐户的访问控制角色。

` 注释`

(可选)公有密钥的描述性文本。文本应用双引号( " )括起来。

安装 CA 签名的服务器数字证书。

在生成用于将 SVM 作为 SSL 服务器进行身份验证的数字证书签名请求( CSR )时,您可以在 security certificate generate-csr 命令中提供这些值。

字段

Description

您的价值

` 公用名`

证书的名称,即完全限定域名( FQDN )或自定义公用名。

` 大小`

专用密钥中的位数。值越高,密钥越安全。默认值为 2048 。可能值为 512102415362048

` 国家或地区`

SVM 的国家 / 地区,采用双字母代码。默认值为 US 。有关代码列表,请参见手册页。

` 状态`

SVM 的省 / 自治区 / 直辖市。

` - 位置`

SVM 的位置。

` 组织`

SVM 的组织结构。

` 单位`

SVM 组织中的单位。

` 电子邮件地址`

SVM 的联系管理员的电子邮件地址。

` 哈希函数`

用于对证书签名的加密哈希函数。默认值为 s 256 。可能值为 SHA1s 256MD5

在安装 CA 签名数字证书以将集群或 SVM 作为 SSL 服务器进行身份验证时,您可以在 security certificate install 命令中提供这些值。下表仅显示了与本指南相关的选项。

字段

Description

您的价值

` -vserver`

要安装证书的 SVM 的名称。

` 类型`

证书类型:

  • s服务器 用于服务器证书和中间证书

  • client-ca 表示 SSL 客户端根 CA 的公有密钥证书

  • 对于 ONTAP 作为客户端的 SSL 服务器的根 CA 的公有密钥证书,请 sserver-ca

  • client 用于自签名或 CA 签名数字证书以及 ONTAP 作为 SSL 客户端的专用密钥

配置 Active Directory 域控制器访问

如果您已为数据 SVM 配置 CIFS 服务器,并且要将 SVM 配置为用于 Active Directory 域控制器访问集群的网关或 tunnet ,则可以使用 ssecurity login domain-tunnel create 命令提供这些值。

字段

Description

您的价值

` -vserver`

已为其配置 CIFS 服务器的 SVM 的名称。

如果您尚未配置 CIFS 服务器,并且要在 Active Directory 域上创建 SVM 计算机帐户,则可以使用 vserver active-directory create 命令提供这些值。

字段

Description

您的价值

` -vserver`

要为其创建 Active Directory 计算机帐户的 SVM 的名称。

` 帐户名`

计算机帐户的 NetBIOS 名称。

` 域`

完全限定域名( FQDN )。

` -ou`

域中的组织单位。默认值为 CN=Computers 。ONTAP 会将此值附加到域名中,以生成 Active Directory 可分辨名称。

配置 LDAP 或 NIS 服务器访问

在为 SVM 创建 LDAP 客户端配置时,您可以使用 vserver services name-service ldap client create 命令提供这些值。

注

从 ONTAP 9.2 开始, ` -ldap-servers` 字段将取代 ` -servers` 字段。此新字段可以使用主机名或 IP 地址作为 LDAP 服务器的值。

下表仅显示与本指南相关的选项:

字段

Description

您的价值

` -vserver`

客户端配置的 SVM 的名称。

` 客户端配置`

客户端配置的名称。

` 服务器`

  • ONTAP 9.0 , 9.1* :客户端连接到的 LDAP 服务器的 IP 地址列表,以英文逗号分隔。

` LDAP 服务器`

  • ONTAP 9.2 * :以英文逗号分隔的列表,其中列出了客户端所连接的 LDAP 服务器的 IP 地址和主机名。

` 架构`

客户端用于进行 LDAP 查询的模式。

` -use-start-tls`

客户端是否使用 Start TLS 对与 LDAP 服务器的通信进行加密(truefalse )。

注

仅支持使用启动 TLS 访问数据 SVM 。不支持访问管理 SVM 。

在将 LDAP 客户端配置与 SVM 关联时,您可以使用 vserver services name-service ldap create 命令提供这些值。

字段

Description

您的价值

` -vserver`

要与客户端配置关联的 SVM 的名称。

` 客户端配置`

客户端配置的名称。

已启用 ` 客户端`

SVM 是否可以使用 LDAP 客户端配置(truefalse )。

在 SVM 上创建 NIS 域配置时,可以使用 vserver services name-service nis-domain create 命令提供这些值。

注

从 ONTAP 9.2 开始, ` -nis-servers` 字段将取代 ` -servers` 字段。此新字段可以使用主机名或 IP 地址作为 NIS 服务器的值。

字段

Description

您的价值

` -vserver`

要创建域配置的 SVM 的名称。

` 域`

域的名称。

` - 主动`

域是否处于活动状态(truefalse )。

` 服务器`

  • ONTAP 9.0 , 9.1* :域配置所使用的 NIS 服务器的 IP 地址列表,以英文逗号分隔。

` nis-servers`

  • ONTAP 9.2 * :域配置所使用的 NIS 服务器的 IP 地址和主机名的逗号分隔列表。

在指定名称服务源的查找顺序时,您可以在 vserver services name-service ns-switch create 命令中提供这些值。

字段

Description

您的价值

` -vserver`

要配置名称服务查找顺序的 SVM 的名称。

` 数据库`

名称服务数据库:

  • hosts 用于文件和 DNS 名称服务

  • group 用于文件, LDAP 和 NIS 名称服务

  • 对于文件, LDAP 和 NIS 名称服务,请 passwd

  • netgroup 用于文件, LDAP 和 NIS 名称服务

  • namemap 用于文件和 LDAP 名称服务

` 源`

查找名称服务源的顺序(在逗号分隔列表中):

  • 文件

  • dns

  • LDAP

  • nis

配置 SAML 访问

从 ONTAP 9.3 开始,您可以通过 security SAML SAML -sp create 命令提供这些值来配置 SAML 身份验证。

字段

Description

您的价值

` -idp-uri`

可从中下载 IdP 元数据的身份提供程序( Identity Provider , IdP )主机的 FTP 地址或 HTTP 地址。

` -sp-host`

SAML 服务提供程序主机( ONTAP 系统)的主机名或 IP 地址。默认情况下,使用集群管理 LIF 的 IP 地址。

{` cert-ca` } 和 ` 证书串行` } 或` 证书公用名`

服务提供商主机( ONTAP 系统)的服务器证书详细信息。

` -verify-metadata-server`

是否必须验证 IdP 元数据服务器的身份(truefalse )。最佳实践是始终将此值设置为 true