Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

启用多因素身份验证

贡献者
PDF

通过多因素身份验证(MFA)、您可以要求用户提供两种身份验证方法来登录到管理员或数据SVM、从而增强安全性。

关于此任务

  • 您必须是集群管理员才能执行此任务。

  • 如果您不确定要分配给登录帐户的访问控制角色、可以使用 security login modify 命令以稍后添加此角色。

    "修改分配给管理员的角色"

  • 如果您使用公共密钥进行身份验证、则必须先将此公共密钥与此帐户关联、然后此帐户才能访问SVM。

    "将公有密钥与用户帐户关联"

    您可以在启用帐户访问之前或之后执行此任务。

  • 从ONTAP 9.12.1开始、您可以使用FID02 (快速身份联机)或个人身份验证(PIV)身份验证标准对SSH客户端MFA使用优键硬件身份验证设备。

使用SSH公共密钥和用户密码启用MFA

从ONTAP 9.3开始、集群管理员可以设置本地用户帐户、以便使用SSH公共密钥和用户密码登录MFA。

  1. 使用SSH公共密钥和用户密码在本地用户帐户上启用MFA:

    security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method <password|publickey> -role admin -second-authentication-method <password|publickey>

    以下命令需要SVM管理员帐户 admin2 和预定义的 admin 用于登录到SVM的角色engData1 使用SSH公共密钥和用户密码:

    cluster-1::> security login create -vserver engData1 -user-or-group-name admin2 -application ssh -authentication-method publickey -role admin -second-authentication-method password

Please enter a password for user 'admin2':
Please enter it again:
Warning: To use public-key authentication, you must create a public key for user "admin2".

使用TOTP启用MFA

从ONTAP 9.13.1开始、您可以通过要求本地用户同时使用SSH公共密钥或用户密码以及基于时间的一次性密码(TOTP)登录到管理员或数据SVM来增强安全性。使用TOTP为帐户启用MFA后、本地用户必须登录到 "完成配置"

TOTP是一种计算机算法、使用当前时间生成一次性密码。 如果使用TOTP、则它始终是继SSH公共密钥或用户密码之后的第二种身份验证形式。

开始之前

您必须是存储管理员才能执行这些任务。

步骤

您可以将MFA设置为、并将用户密码或SSH公共密钥作为第一种身份验证方法、将TOTP作为第二种身份验证方法。

使用用户密码和TOTP启用MFA

  1. 使用用户密码和TOTP为用户帐户启用多因素身份验证。

    新用户帐户

    security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>

    用于现有用户帐户

    security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>

  2. 验证是否已启用具有TOTP的MFA:

    security login show
使用SSH公共密钥和TOTP启用MFA

  1. 使用SSH公共密钥和TOTP为用户帐户启用多因素身份验证。

    新用户帐户

    security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>

    用于现有用户帐户

    security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>

  2. 验证是否已启用具有TOTP的MFA:

    security login show
完成后
相关信息

了解更多信息 "ONTAP 9中的多因素身份验证(TR-4647)"