启用或禁用动态授权
建议更改
PDF
从ONTAP 9.15.1开始、管理员可以在中配置和启用动态授权 visibility 用于测试配置的模式、或在中 enforced 用于为通过SSH连接的CLI用户激活配置的模式。如果您不再需要动态授权、可以将其禁用。禁用动态授权后、配置设置仍可用、如果您决定重新启用、可以稍后使用这些设置。
有关 `security dynamic-authorization modify`命令参数的详细信息,请参阅 "ONTAP 手册页"。
为测试启用动态授权
您可以在可见性模式下启用动态授权、以便测试此功能并确保用户不会意外锁定。在此模式下、系统会对每个受限活动检查信任得分、但不会强制执行此得分。但是、系统会记录任何可能会被拒绝或面临其他身份验证挑战的活动。作为最佳实践、您应在此模式下测试所需设置、然后再强制实施。
|
即使尚未配置任何其他动态授权设置、也可以按照此步骤首次启用动态授权。"自定义动态授权"有关配置其他动态授权设置以根据您的环境对其进行自定义的步骤、请参见。 |
-
通过配置全局设置并将功能状态更改为、在可见性模式下启用动态授权
visibility。如果不使用-vserver参数、则命令将在集群级别运行。更新括号<>中的值以匹配您的环境。参数必须以粗体显示:security dynamic-authorization modify \ -state visibility \ -lower-challenge-boundary <percent> \ -upper-challenge-boundary <percent> \ -suppression-interval <interval> \ -vserver <storage_VM_name> -
使用检查结果
show命令以显示全局配置:security dynamic-authorization show
在强制模式下启用动态授权
您可以在强制模式下启用动态授权。通常、在使用可见性模式完成测试后、您会使用此模式。在此模式下、系统会对每个受限活动检查信任得分、如果满足限制条件、则会强制实施活动限制。此外、还会强制实施禁止间隔、以防止在指定间隔内出现其他身份验证问题。
|
|
此步骤假定您之前已在中配置并启用动态授权 visibility 模式、强烈建议使用此模式。
|
-
在中启用动态授权
enforced模式、方法是将其状态更改为enforced。如果不使用-vserver参数、则命令将在集群级别运行。更新括号<>中的值以匹配您的环境。参数必须以粗体显示:security dynamic-authorization modify \ -state enforced \ -vserver <storage_VM_name> -
使用检查结果
show命令以显示全局配置:security dynamic-authorization show
禁用动态授权
如果您不再需要添加的身份验证安全性、则可以禁用动态授权。
-
通过将动态授权的状态更改为来禁用它
disabled。如果不使用-vserver参数、则命令将在集群级别运行。更新括号<>中的值以匹配您的环境。参数必须以粗体显示:security dynamic-authorization modify \ -state disabled \ -vserver <storage_VM_name> -
使用检查结果
show命令以显示全局配置:security dynamic-authorization show
下一步行动
(可选)"自定义动态授权"要配置其他动态授权设置、请参见、具体取决于您的环境。