Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

为使用ONTAP进行SSH登录配置Cisco Duo 2FA

贡献者

从ONTAP 9.14.1开始、您可以将ONTAP配置为在SSH登录期间使用Cisco Duo进行双重身份验证(2FA)。您可以在集群级别配置Duo、并默认配置IT适用场景所有用户帐户。或者、您也可以在Storage VM (以前称为Vserver)级别配置Duo、在这种情况下、它仅适用于该Storage VM的用户。如果您启用并配置Duo、它将作为一种附加的身份验证方法、对所有用户的现有方法进行补充。

如果您为SSH登录启用Duo身份验证、用户下次使用SSH登录时需要注册设备。有关注册信息,请参阅Cisco Duo "注册文档"

您可以使用ONTAP命令行界面对Cisco Duo执行以下任务:

配置Cisco Duo

您可以使用命令为整个集群或特定Storage VM (在ONTAP命令行界面中称为Vserver)创建Cisco Duo配置[security login duo create。执行此操作时、系统会为此集群或Storage VM启用Cisco Duo SSH登录。要详细了解ONTAP命令参考中的link:https://docs NetApp.ONTAP-CLI//security-login-duo-create.html[security login duo create^)命令。

步骤
  1. 登录到Cisco Duo管理面板。

  2. 转到*应用程序> UNIX应用程序*。

  3. 记录您的集成密钥、机密密钥和API主机名。

  4. 使用SSH登录到您的ONTAP帐户。

  5. 为此Storage VM启用Cisco Duo身份验证、将环境中的信息替换为方括号中的值:

    security login duo create \
    -vserver <STORAGE_VM_NAME> \
    -integration-key <INTEGRATION_KEY> \
    -secret-key <SECRET_KEY> \
    -apihost <API_HOSTNAME>

    有关命令的详细信息,请参见"用于管理员身份验证和 RBAC 配置的工作表"

更改Cisco Duo配置

您可以更改Cisco Duo对用户进行身份验证的方式(例如、提供的身份验证提示数或使用的HTTP代理)。如果您需要更改Storage VM (在ONTAP命令行界面中称为Vserver)的Cisco Duo配置、可以使用命令。[security login duo modify`要详细了解ONTAP命令参考中的link:https://docs NetApp.ONTAP-CLI//security-login-duo-modify.html[`security login duo modify^)命令。

步骤
  1. 登录到Cisco Duo管理面板。

  2. 转到*应用程序> UNIX应用程序*。

  3. 记录您的集成密钥、机密密钥和API主机名。

  4. 使用SSH登录到您的ONTAP帐户。

  5. 更改此Storage VM的Cisco Duo配置、将您环境中的更新信息替换为方括号中的值:

    security login duo modify \
    -vserver <STORAGE_VM_NAME> \
    -integration-key <INTEGRATION_KEY> \
    -secret-key <SECRET_KEY> \
    -apihost <API_HOSTNAME> \
    -pushinfo true|false \
    -http-proxy <HTTP_PROXY_URL> \
    -autopush true|false \
    -prompts 1|2|3 \
    -max-unenrolled-logins <NUM_LOGINS> \
    -is-enabled true|false \
    -fail-mode safe|secure

删除Cisco Duo配置

您可以删除Cisco Duo配置、这样SSH用户无需在登录时使用Duo进行身份验证。要删除Storage VM (在ONTAP命令行界面中称为Vserver)的Cisco Duo配置、可以使用命令。[security login duo delete`要详细了解ONTAP命令参考中的link:https://docs NetApp.ONTAP-CLI//security-login-duo-delete.html[`security login duo delete^)命令。

步骤
  1. 使用SSH登录到您的ONTAP帐户。

  2. 删除此Storage VM的Cisco Duo配置、将您的Storage VM名称替换为 <STORAGE_VM_NAME>

    security login duo delete  -vserver <STORAGE_VM_NAME>

    此操作将永久删除此Storage VM的Cisco Duo配置。

查看Cisco Duo配置

您可以使用命令查看Storage VM (在ONTAP命令行界面中称为Vserver)的现有Cisco Duo配置。[security login duo show`要详细了解ONTAP命令参考中的link:https://docs NetApp.ONTAP-CLI//security-login-duo-show.html[`security login duo show^)命令。

步骤
  1. 使用SSH登录到您的ONTAP帐户。

  2. 显示了此Storage VM的Cisco Duo配置。(可选)您可以使用 vserver 参数以指定Storage VM、并将Storage VM名称替换为 <STORAGE_VM_NAME>

    security login duo show -vserver <STORAGE_VM_NAME>

    您应看到类似于以下内容的输出:

    Vserver: testcluster
    Enabled: true
    
    Status: ok
    INTEGRATION-KEY: DI89811J9JWMJCCO7IOH
    SKEY SHA Fingerprint:
    b79ffa4b1c50b1c747fbacdb34g671d4814
    API Host: api-host.duosecurity.com
    Autopush: true
    Push info: true
    Failmode: safe
    Http-proxy: 192.168.0.1:3128
    Prompts: 1
    Comments: -

创建Duo组

您可以指示Cisco Duo在Duo身份验证过程中仅包括特定Active Directory、LDAP或本地用户组中的用户。如果您创建Duo组、则只会提示该组中的用户进行Duo身份验证。您可以使用命令创建Duo组[security login duo group create。创建组时、您可以选择从Duo身份验证过程中排除该组中的特定用户。要详细了解ONTAP命令参考中的link:https://docs NetApp.ONTAP-CLI//security-login-duo-group-create.html[security login duo group create^)命令。

步骤
  1. 使用SSH登录到您的ONTAP帐户。

  2. 创建Duo组、将环境中的信息替换为方括号中的值。如果省略 -vserver 参数、则在集群级别创建组:

    security login duo group create -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -exclude-users <USER1, USER2>

    Duo组的名称必须与Active Directory、LDAP或本地组匹配。使用可选指定的用户 -exclude-users 参数不会包含在Duo身份验证过程中。

查看Duo组

您可以使用命令查看现有Cisco Duo组条目[security login duo group show。要详细了解ONTAP命令参考中的link:https://docs NetApp.ONTAP-CLI//security-login-duo-group-show.html[security login duo group show^)命令。

步骤
  1. 使用SSH登录到您的ONTAP帐户。

  2. 显示Duo组条目、将环境中的信息替换为方括号中的值。如果省略 -vserver 参数中、组将在集群级别显示:

    security login duo group show -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME> -exclude-users <USER1, USER2>

    Duo组的名称必须与Active Directory、LDAP或本地组匹配。使用可选指定的用户 -exclude-users 参数将不会显示。

删除Duo组

您可以使用命令删除Duo组条目[security login duo group delete。如果删除组、则该组中的用户将不再包括在Duo身份验证过程中。要详细了解ONTAP命令参考中的link:https://docs NetApp.ONTAP-CLI//security-login-duo-group-delete.html[security login duo group delete^)命令。

步骤
  1. 使用SSH登录到您的ONTAP帐户。

  2. 删除Duo组条目、将环境中的信息替换为方括号中的值。如果省略 -vserver 参数、则组将在集群级别删除:

    security login duo group delete -vserver <STORAGE_VM_NAME> -group-name <GROUP_NAME>

    Duo组的名称必须与Active Directory、LDAP或本地组匹配。

为用户绕过Duo身份验证

您可以从Duo SSH身份验证过程中排除所有用户或特定用户。

排除所有Duo用户

您可以为所有用户禁用Cisco Duo SSH身份验证。

步骤
  1. 使用SSH登录到您的ONTAP帐户。

  2. 为SSH用户禁用Cisco Duo身份验证、并将Vserver名称替换为 <STORAGE_VM_NAME>

    security login duo -vserver <STORAGE_VM_NAME> -is-duo-enabled-false

排除Duo组用户

您可以从Duo SSH身份验证过程中排除属于Duo组的某些用户。

步骤
  1. 使用SSH登录到您的ONTAP帐户。

  2. 为组中的特定用户禁用Cisco Duo身份验证。将组名称和要排除的用户列表替换为方括号中的值:

    security login group modify -group-name <GROUP_NAME> -exclude-users <USER1, USER2>

    Duo组的名称必须与Active Directory、LDAP或本地组匹配。使用指定的用户 -exclude-users 参数不会包含在Duo身份验证过程中。

排除本地Duo用户

您可以使用Cisco Duo管理面板排除特定本地用户使用Duo身份验证。有关说明,请参见 "Cisco Duo文档"