Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

ONTAP管理员身份验证和RBAC设置工作表

贡献者 netapp-mwallis netapp-aaron-holt netapp-thomi netapp-aoife netapp-dbagwell netapp-barbe netapp-forry netapp-aherbin netapp-bhouser netapp-ahibbard
PDF

在创建登录帐户和设置基于角色的访问控制( Role-Based Access Control , RBAC )之前,您应收集配置工作表中每个项目的信息。

有关此过程中所述命令的更多信息,请参见"ONTAP 命令参考"

创建或修改登录帐户

在启用登录帐户以访问Storage VM时、可以在命令中提供这些值 security login create。有关的详细信息 security login create,请参见"ONTAP 命令参考"

在修改帐户访问Storage VM的方式时、您可以在命令中提供相同的值 security login modify。有关的详细信息 security login modify,请参见"ONTAP 命令参考"

字段

Description

您的价值

-vserver

帐户访问的Storage VM的名称。默认值为集群的管理Storage VM的名称。

-user-or-group-name

帐户的用户名或组名称。通过指定组名称,可以访问组中的每个用户。您可以将一个用户名或组名称与多个应用程序相关联。

-application

用于访问Storage VM的应用程序:

  • http

  • ontapi

  • snmp

  • ssh

-authmethod

用于对帐户进行身份验证的方法:

  • cert 用于SSL证书身份验证

  • domain 用于Active Directory身份验证

  • nsswitch 用于LDAP或NIS身份验证

  • password 用于用户密码身份验证

  • publickey 用于公共密钥身份验证

  • community 用于SNMP社区字符串

  • usm 适用于SNMP用户安全模型

  • saml 用于安全断言标记语言(SAML)身份验证

-remote-switch-ipaddress

远程交换机的 IP 地址。远程交换机可以是由集群交换机运行状况监控器( CSHM )监控的集群交换机,也可以是由 MetroCluster 运行状况监控器( MCC-HM )监控的光纤通道( FC )交换机。此选项仅在应用程序为时适用 snmp 身份验证方法为 usm

-role

分配给帐户的访问控制角色:

  • 对于集群(管理Storage VM)、默认值为 admin

  • 对于数据Storage VM、默认值为 vsadmin

-comment

(可选)帐户的描述性文本。文本应用双引号( " )括起来。

-is-ns-switch-group

帐户是LDAP组帐户还是NIS组帐户 (yesno)。

-second-authentication-method

多因素身份验证的第二种身份验证方法:

  • none 如果不使用多因素身份验证、则为默认值

  • publickey 用于公共密钥身份验证 authmethod 是password或nsswitch

  • password 用于用户密码身份验证 authmethod 是公共密钥

  • nsswitch 当auth方法 为publickey时用于用户密码身份验证

身份验证顺序始终是公有密钥和密码。

-is-ldap-fastbind

从ONTAP 9.11.1开始、如果设置为true、则会为nsswitch身份验证启用LDAP快速绑定;默认值为false。要使用LDAP快速绑定,必须将该 -authentication-method`值设置为 `nsswitch"使用 LDAP 快速绑定对 ONTAP NFS SVM 进行 nsswitch 身份验证"(英文)

配置Cisco Duo安全信息

如果要为Storage VM启用通过SSH登录进行Cisco Duo双重身份验证、请在命令中提供以下值 security login duo create。有关的详细信息 security login duo create,请参见"ONTAP 命令参考"

字段

Description

您的价值

-vserver

要应用Duo身份验证设置的Storage VM (在ONTAP命令行界面中称为Vserver)。

-integration-key

您的集成密钥、在向Duo注册SSH应用程序时获得。

-secret-key

您的机密密钥、在向Duo注册SSH应用程序时获得。

-api-host

向Duo注册SSH应用程序时获得的API主机名。例如:

api-<HOSTNAME>.duosecurity.com

-fail-mode

如果出现服务或配置错误、导致无法进行Duo身份验证、则操作将失败 safe (允许访问)或 secure (拒绝访问)。默认值为 safe,这意味着如果Duo身份验证因诸如Duo API服务器不可访问等错误而失败,则会绕过它。

-http-proxy

使用指定的HTTP代理。如果HTTP代理需要身份验证、请在代理URL中包含凭据。例如:

http-proxy=http://username:password@proxy.example.org:8080

-autopush

两者之一 truefalse。默认值为 false。条件 true,Duo会自动向用户的电话发送推入登录请求,如果推入不可用,则恢复到电话呼叫。请注意、这会有效地禁用密码身份验证。条件 false,则系统将提示用户选择一种身份验证方法。

配置时 autopush = true,我们建议设置 max-prompts = 1

-max-prompts

如果用户无法通过第二个因素进行身份验证、Duo会提示用户再次进行身份验证。此选项设置Duo拒绝访问前显示的最大提示数。必须为 12`或 `3。默认值为 1

例如、何时 max-prompts = 1,则用户需要在第一个提示符处成功进行身份验证,而如果 max-prompts = 2,如果用户在初始提示符处输入的信息不正确,则会再次提示他/她进行身份验证。

配置时 autopush = true,我们建议设置 max-prompts = 1

为了获得最佳体验、仅使用公共密钥身份验证的用户将始终拥有 max-prompts 设置为 1

-enabled

启用Duo双重身份验证。设置为 true 默认情况下。启用后、在SSH登录期间会根据配置的参数强制实施Duo双重身份验证。禁用Duo时(设置为 false)、则会忽略Duo身份验证。

-pushinfo

此选项可在推送通知中提供追加信息、例如正在访问的应用程序或服务的名称。这有助于用户验证他们是否登录到正确的服务、并提供额外的安全层。

定义自定义角色

定义自定义角色时、可以在命令中提供这些值 security login role create。有关的详细信息 security login role create,请参见"ONTAP 命令参考"

字段

Description

您的价值

-vserver

(可选)与角色关联的Storage VM的名称(在ONTAP命令行界面中称为Vserver)。

-role

角色的名称。

-cmddirname

角色授予访问权限的命令或命令目录。您应将命令子目录名称用双引号( " )括起来。例如: "volume snapshot"。您必须输入 DEFAULT 指定所有命令目录。

-access

(可选)角色的访问级别。对于命令目录:

  • none (自定义角色的默认值)拒绝访问命令目录中的命令

  • readonly 授予对的访问权限 show 命令目录及其子目录中的命令

  • all 授予对命令目录及其子目录中所有命令的访问权限

对于_noninsic commands_(不以 createmodifydelete`或 `show):

  • none (自定义角色的默认值)拒绝访问命令

  • readonly 不适用

  • all 授予对命令的访问权限

要授予或拒绝对内部命令的访问权限,必须指定命令目录。

-query

(可选)用于筛选访问级别的查询对象,该对象以命令或命令目录中某个命令的有效选项的形式指定。您应将查询对象用双引号( " )括起来。例如、如果命令目录为 volume,查询对象 "-aggr aggr0" 将启用对的访问 aggr0 仅聚合。

将公有密钥与用户帐户关联

将SSH公共密钥与用户帐户关联时、可以在命令中提供这些值 security login publickey create。有关的详细信息 security login publickey create,请参见"ONTAP 命令参考"

字段

Description

您的价值

-vserver

(可选)帐户访问的Storage VM的名称。

-username

帐户的用户名。默认值、 admin,这是集群管理员的默认名称。

-index

公有密钥的索引编号。如果密钥是为帐户创建的第一个密钥,则默认值为 0 ;否则,默认值将比帐户的最高现有索引编号多一个。

-publickey

OpenSSH 公有密钥。您应将密钥用双引号( " )括起来。

-role

分配给帐户的访问控制角色。

-comment

(可选)公有密钥的描述性文本。文本应用双引号( " )括起来。

-x509-certificate

(可选)从ONTAP 9.13.1开始、可用于管理与SSH公共密钥的X.509证书关联。

将X.509证书与SSH公共密钥关联后、ONTAP会在SSH登录时检查此证书是否有效。如果已过期或已撤销、则不允许登录、并禁用关联的SSH公共密钥。可能值:

  • install:安装指定的PEM编码X.509证书并将其与SSH公共密钥关联。包括要安装的证书的全文。

  • modify:使用指定证书更新现有PEM编码的X.509证书,并将其与SSH公共密钥关联。包括新证书的全文。

  • delete:删除与SSH公共密钥的现有X.509证书关联。

配置动态授权全局设置

从ONTAP 9.15.1开始、您可以在命令中提供这些值 security dynamic-authorization modify。有关的详细信息 security dynamic-authorization modify,请参见"ONTAP 命令参考"

字段

Description

您的价值

-vserver

应修改其信任得分设置的Storage VM的名称。如果省略此参数、则会使用集群级别设置。

-state

动态授权模式。可能值:

  • disabled:(默认)已禁用动态授权。

  • visibility:此模式对于测试动态授权非常有用。在此模式下、系统会对每个受限活动检查信任得分、但不会强制执行此得分。但是、系统会记录任何可能会被拒绝或面临其他身份验证挑战的活动。

  • enforced:适用于在完成测试后使用 visibility 模式。在此模式下、系统会对每个受限活动检查信任得分、如果满足限制条件、则会强制实施活动限制。此外、还会强制实施禁止间隔、以防止在指定间隔内出现其他身份验证问题。

-suppression-interval

防止在指定的时间间隔内出现其他身份验证问题。此间隔采用ISO-8601格式、接受1分钟到1小时(含1分钟)的值。如果设置为0、则会禁用禁止间隔、如果需要身份验证质询、系统会始终提示用户。

-lower-challenge-boundary

较低的多因素身份验证(MFA)质询百分比边界。有效范围为0到99。值100无效、因为这会导致拒绝所有请求。默认值为0。

-upper-challenge-boundary

MFA挑战百分比上限。有效范围为0到100。此值必须等于或大于下边界的值。值为100表示每个请求都将被拒绝或受到额外的身份验证质询的影响;任何请求都不允许未经质询。默认值为90。

安装 CA 签名的服务器数字证书。

在生成数字证书签名请求(CSR)以将Storage VM作为SSL服务器进行身份验证时、可以在命令中提供以下值 security certificate generate-csr。有关的详细信息 security certificate generate-csr,请参见"ONTAP 命令参考"

字段

Description

您的价值

-common-name

证书的名称,即完全限定域名( FQDN )或自定义公用名。

-size

专用密钥中的位数。值越高,密钥越安全。默认值为 2048。可能值为 51210241536,和 2048

-country

Storage VM所在的国家/地区、以双字母代码表示。默认值为 US。有关代码列表,请参阅"ONTAP 命令参考"

-state

Storage VM的州或省。

-locality

Storage VM的位置。

-organization

Storage VM的组织。

-unit

Storage VM组织中的单位。

-email-addr

Storage VM的联系人管理员的电子邮件地址。

-hash-function

用于对证书签名的加密哈希函数。默认值为 SHA256。可能值为 SHA1SHA256,和 MD5

在安装用于将集群或Storage VM作为SSL服务器进行身份验证的CA签名数字证书时、可以在命令中提供以下值 security certificate install。下表仅显示与帐户配置相关的选项。有关的详细信息 security certificate install,请参见"ONTAP 命令参考"

字段

Description

您的价值

-vserver

要安装证书的Storage VM的名称。

-type

证书类型:

  • server 服务器证书和中间证书

  • client-ca SSL客户端根CA的公共密钥证书

  • server-ca ONTAP为客户端的SSL服务器的根CA的公共密钥证书

  • client 作为SSL客户端的ONTAP的自签名或CA签名数字证书和专用密钥

配置 Active Directory 域控制器访问

如果已为数据Storage VM配置SMB服务器、并且要将此Storage VM配置为网关或_tn通道_以使Active Directory域控制器能够访问集群、则可以在命令中提供这些值 security login domain-tunnel create。有关的详细信息 security login domain-tunnel create,请参见"ONTAP 命令参考"

字段

Description

您的价值

-vserver

已配置SMB服务器的Storage VM的名称。

如果尚未配置SMB服务器、但要在Active Directory域上创建Storage VM计算机帐户、请在命令中提供这些值 vserver active-directory create。有关的详细信息 vserver active-directory create,请参见"ONTAP 命令参考"

字段

Description

您的价值

-vserver

要创建Active Directory计算机帐户的Storage VM的名称。

-account-name

计算机帐户的 NetBIOS 名称。

-domain

完全限定域名( FQDN )。

-ou

域中的组织单位。默认值为 CN=Computers。ONTAP 会将此值附加到域名中,以生成 Active Directory 可分辨名称。

配置 LDAP 或 NIS 服务器访问

在为Storage VM创建LDAP客户端配置时、可以在命令中提供这些值 vserver services name-service ldap client create。有关的详细信息 vserver services name-service ldap client create,请参见"ONTAP 命令参考"

下表仅显示与帐户配置相关的选项:

字段

Description

您的价值

-vserver

客户端配置中的Storage VM的名称。

-client-config

客户端配置的名称。

-ldap-servers

客户端所连接的LDAP服务器的IP地址和主机名列表、以英文逗号分隔。

-schema

客户端用于进行 LDAP 查询的模式。

-use-start-tls

客户端是否使用Start TLS对与LDAP服务器的通信进行加密 (truefalse)。

备注

仅支持使用Start TLS访问数据Storage VM。不支持访问管理Storage VM。

将LDAP客户端配置与Storage VM关联时、可以在命令中提供这些值 vserver services name-service ldap create。有关的详细信息 vserver services name-service ldap create,请参见"ONTAP 命令参考"

字段

Description

您的价值

-vserver

要与客户端配置关联的Storage VM的名称。

-client-config

客户端配置的名称。

-client-enabled

Storage VM是否可以使用LDAP客户端配置 (truefalse)。

在Storage VM上创建NIS域配置时、可以在命令中提供这些值 vserver services name-service nis-domain create。有关的详细信息 vserver services name-service nis-domain create,请参见"ONTAP 命令参考"

字段

Description

您的价值

-vserver

要在其中创建域配置的Storage VM的名称。

-domain

域的名称。

-nis-servers

域配置所使用的NIS服务器的IP地址和主机名的逗号分隔列表。

在为名称服务源指定查找顺序时、可以在命令中提供这些值 vserver services name-service ns-switch create。有关的详细信息 vserver services name-service ns-switch create,请参见"ONTAP 命令参考"

字段

Description

您的价值

-vserver

要配置名称服务查找顺序的Storage VM的名称。

-database

名称服务数据库:

  • hosts 用于文件和DNS名称服务

  • group 适用于文件、LDAP和NIS名称服务

  • passwd 适用于文件、LDAP和NIS名称服务

  • netgroup 适用于文件、LDAP和NIS名称服务

  • namemap 用于文件和LDAP名称服务

-sources

查找名称服务源的顺序(在逗号分隔列表中):

  • files

  • dns

  • ldap

  • nis

配置 SAML 访问

从ONTAP 9.3开始、您可以在命令中提供这些值 security saml-sp create`来配置SAML身份验证。有关的详细信息 `security saml-sp create,请参见"ONTAP 命令参考"

字段

Description

您的价值

-idp-uri

可从中下载 IdP 元数据的身份提供程序( Identity Provider , IdP )主机的 FTP 地址或 HTTP 地址。

-sp-host

SAML 服务提供程序主机( ONTAP 系统)的主机名或 IP 地址。默认情况下,使用集群管理 LIF 的 IP 地址。

-cert-ca-cert-serial`或 `-cert-common-name

服务提供商主机( ONTAP 系统)的服务器证书详细信息。您可以输入服务提供商的证书颁发机构(CA)和证书的序列号、也可以输入服务器证书通用名称。

-verify-metadata-server

是否必须验证Idp元数据服务器的身份 truefalse)。最佳做法是始终将此值设置为 true