简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

多管理员验证概述

贡献者

PDF

从ONTAP 9.11.1开始、您可以使用多管理员验证(MAV)来确保只有在指定管理员批准后才能执行某些操作、例如删除卷或Snapshot副本。这样可以防止受到影响的管理员、恶意管理员或经验不足的管理员进行不希望的更改或删除数据。

配置多管理员验证包括：

初始配置后、这些元素只能由MAV批准组中的管理员(MAV管理员)进行修改。

启用多管理员验证后、完成每个受保护操作需要执行以下步骤：

当用户启动操作时、将显示 "已生成请求。"
在执行之前、请至少执行一个 "MAV管理员必须批准。"
用户在批准后完成此操作。

如果您需要在未经MAV管理员批准的情况下禁用多管理员验证功能、请联系NetApp支持部门并提及以下知识库文章： "如何在MAV管理不可用时禁用多管理员验证"。

多管理员验证不适用于涉及大量自动化的卷或工作流、因为每个自动化任务都需要获得批准才能完成操作。如果要同时使用自动化和MAV、建议对特定MAV操作使用查询。例如、您可以应用 volume delete MAV规则仅适用于不涉及自动化的卷、您可以使用特定命名方案来指定这些卷。

多管理员验证不适用于Cloud Volumes ONTAP。

多管理员验证的工作原理

多管理员验证包括：

由一个或多个具有批准和否决权限的管理员组成的组。
规则表_中的一组受保护操作或命令。
一个_rules enginer_、用于识别和控制受保护操作的执行。

MAV规则会根据基于角色的访问控制(Role-Based Access Control、RBAC)规则进行评估。因此、执行或批准受保护操作的管理员必须已拥有这些操作的最低RBAC特权。 "了解有关RBAC的更多信息"。

系统定义的规则

启用多管理员验证后、系统定义的规则(也称为_Guard导轨规则)将建立一组MAV操作、以控制绕过MAV进程本身的风险。无法从规则表中删除这些操作。启用MAV后、使用星号(*)指定的操作在执行前需要一个或多个管理员的批准、但*显示*命令除外。

security multi-admin-verify modify 操作 *

控制多管理员验证功能的配置。
security multi-admin-verify approval-group operations *

使用多管理员验证凭据控制管理员组中的成员资格。
security multi-admin-verify rule operations *

控制需要多管理员验证的一组命令。
security multi-admin-verify request operations

控制审批流程。

受规则保护的命令

默认情况下、除了系统定义的操作之外、启用多管理员验证时、以下命令也会受到保护、但您可以修改规则以删除对这些命令的保护。

security login password
security login unlock
set

每个ONTAP版本都提供了更多命令、您可以选择使用多管理员验证规则进行保护。请选择您的ONTAP版本以查看可用于保护的完整命令列表。

9.15.1.

cluster date modify ³
cluster log-forwarding create ³
cluster log-forwarding delete ³
cluster log-forwarding modify ³
cluster peer delete
cluster time-service ntp server create ³
cluster time-service ntp server delete ³
cluster time-service ntp server key create ³
cluster time-service ntp server key delete ³
cluster time-service ntp server key modify ³
cluster time-service ntp server modify ³
event config modify
lun delete ³
security anti-ransomware volume attack clear-suspect ¹
security anti-ransomware volume disable ¹
security anti-ransomware volume pause ¹
security audit modify ³
security ipsec config modify ³
security ipsec policy create ³
security ipsec policy delete ³
security ipsec policy modify ³
security login create
security login delete
security login modify
security saml-sp create ³
security saml-sp delete ³
security saml-sp modify ³
snaplock legal-hold end ³
storage aggregate delete ³
storage encryption disk destroy ³
storage encryption disk modify ³
storage encryption disk revert-to-original-state ³
storage encryption disk sanitize ³
system bridge run-cli ³
system controller flash-cache secure-erase run ³
system controller service-event delete ³
system health alert delete ³
system health alert modify ³
system health policy definition modify ³
system node autosupport modify ³
system node autosupport trigger modify ³
system node coredump delete ³
system node coredump delete-all ³
system node hardware nvram-encryption modify ³
system node run
system node systemshell
system script delete ³
system service-processor ssh add-allowed-addresses ³
system service-processor ssh remove-allowed-addresses ³
system smtape restore ³
system switch ethernet log disable-collection ³
system switch ethernet log modify ³
timezone ³
volume create ³
volume delete
volume encryption conversion start ³
volume encryption rekey start ³
volume file privileged-delete ³
volume flexcache delete
volume modify ³
volume recovery-queue modify ²
volume recovery-queue purge ²
volume recovery-queue purge-all ²
volume snaplock modify ¹
volume snapshot autodelete modify
volume snapshot create ³
volume snapshot delete
volume snapshot modify ³
volume snapshot policy add-schedule
volume snapshot policy create
volume snapshot policy delete
volume snapshot policy modify
volume snapshot policy modify-schedule
volume snapshot policy remove-schedule
volume snapshot rename ³
volume snapshot restore
vserver audit create ³
vserver audit delete ³
vserver audit disable ³
vserver audit modify ³
vserver audit rotate-log ³
vserver delete ³
vserver modify ²
vserver object-store-server audit create ³
vserver object-store-server audit delete ³
vserver object-store-server audit disable ³
vserver object-store-server audit modify ³
vserver object-store-server audit rotate-log ³
vserver options ³
vserver peer delete
vserver security file-directory apply ³
vserver security file-directory remove-slag ³
vserver vscan disable ³
vserver vscan on-access-policy create ³
vserver vscan on-access-policy delete ³
vserver vscan on-access-policy disable ³
vserver vscan on-access-policy modify ³
vserver vscan scanner-pool create ³
vserver vscan scanner-pool delete ³
vserver vscan scanner-pool modify ³

9.14.1.

cluster peer delete
event config modify
security anti-ransomware volume attack clear-suspect ¹
security anti-ransomware volume disable ¹
security anti-ransomware volume pause ¹
security login create
security login delete
security login modify
system node run
system node systemshell
volume delete
volume flexcache delete
volume recovery-queue modify ²
volume recovery-queue purge ²
volume recovery-queue purge-all ²
volume snaplock modify ¹
volume snapshot autodelete modify
volume snapshot delete
volume snapshot policy add-schedule
volume snapshot policy create
volume snapshot policy delete *
volume snapshot policy modify
volume snapshot policy modify-schedule
volume snapshot policy remove-schedule
volume snapshot restore
vserver modify ²
vserver peer delete

9.13.1.

cluster peer delete
event config modify
security anti-ransomware volume attack clear-suspect ¹
security anti-ransomware volume disable ¹
security anti-ransomware volume pause ¹
security login create
security login delete
security login modify
system node run
system node systemshell
volume delete
volume flexcache delete
volume snaplock modify ¹
volume snapshot autodelete modify
volume snapshot delete
volume snapshot policy add-schedule
volume snapshot policy create
volume snapshot policy delete *
volume snapshot policy modify
volume snapshot policy modify-schedule
volume snapshot policy remove-schedule
volume snapshot restore
vserver peer delete

9.12.1/9.11.1.

cluster peer delete
event config modify
security login create
security login delete
security login modify
system node run
system node systemshell
volume delete
volume flexcache delete
volume snapshot autodelete modify
volume snapshot delete
volume snapshot policy add-schedule
volume snapshot policy create
volume snapshot policy delete *
volume snapshot policy modify
volume snapshot policy modify-schedule
volume snapshot policy remove-schedule
volume snapshot restore
vserver peer delete

9.13.1.新增了受规则保护的命令
为9.14.1新增了受规则保护的命令
为9.15.1.新增了受规则保护的命令

*此命令仅适用于命令行界面、不适用于System Manager。

多管理员批准的工作原理

每当在受MAV保护的集群上输入受保护操作时、系统都会向指定的MAV管理员组发送操作执行请求。

您可以配置：

MAV组中的管理员姓名、联系信息和数量。

MAV管理员应具有具有集群管理员权限的RBAC角色。
MAV管理员组的数量。
- 每个受保护操作规则都会分配一个MAV组。
- 对于多个MAV组、您可以配置哪个MAV组批准给定规则。
执行受保护操作所需的MAV批准数量。
MAV管理员必须对批准请求做出响应的_Approval到期期限。
一个_执行到期_期限、在此期限内、发出请求的管理员必须完成此操作。

配置这些参数后、需要获得MAV批准才能对其进行修改。

MAV管理员不能批准自己执行受保护操作的请求。因此：

不应在仅包含一个管理员的集群上启用MAV。
如果MAV组中只有一个人、则该MAV管理员无法启动受保护的操作；常规管理员必须启动受保护的操作、而MAV管理员只能批准。
如果您希望MAV管理员能够执行受保护的操作、则MAV管理员的数量必须大于所需批准的数量。例如、如果受保护操作需要两个批准、并且您希望MAV管理员执行这些批准、则MAV管理员组中必须有三个人。

MAV管理员可以通过电子邮件警报(使用EMS)接收批准请求、也可以查询请求队列。收到请求后、他们可以采取以下三种操作之一：

批准
拒绝(否决)
忽略(无操作)

在以下情况下、系统会向与MAV规则关联的所有审批者发送电子邮件通知：

已创建请求。
请求已获得批准或被否决。
已执行批准的请求。

如果请求者属于该操作的同一批准组、则在其请求获得批准后、他们将收到一封电子邮件。

即使请求者位于批准组中、也无法批准其自己的请求。他们可以收到电子邮件通知。不属于批准组的请求者(即不是MAV管理员)不会收到电子邮件通知。

受保护操作执行的工作原理

如果已批准对受保护操作执行、则在出现提示时、发出请求的用户将继续执行该操作。如果操作被否决、则发出请求的用户必须先删除此请求、然后才能继续操作。

MAV规则会在获得RBAC权限后进行评估。因此、如果用户没有足够的RBAC权限来执行操作、则无法启动MAV请求过程。