Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理MAV的ONTAP管理员批准组

贡献者 netapp-aaron-holt netapp-bhouser netapp-forry netapp-aoife netapp-dbagwell
PDF

在启用多管理员验证(MAV)之前、您必须创建一个管理员批准组、其中包含一个或多个要授予批准或否决权限的管理员。启用多管理员验证后、对批准组成员资格进行的任何修改都需要获得现有合格管理员之一的批准。

关于此任务

您可以将现有管理员添加到MAV组或创建新管理员。

MAV功能可支持现有的基于角色的访问控制(Role-Based Access Control、RBAC)设置。潜在的MAV管理员必须具有足够的权限来执行受保护的操作、才能将其添加到MAV管理员组。 "了解有关RBAC的更多信息。"

您可以将MAV配置为向MAV管理员发出批准请求待处理的警报。为此,您必须配置电子邮件通知,特别是 Mail FromMail Server 参数—​或者,您可以清除这些参数以禁用通知。如果没有电子邮件警报、MAV管理员必须手动检查批准队列。

从ONTAP 9.15.1 开始,您可以将 Active Directory (AD) 用户配置为 MAV 管理员。 AD 用户必须是"配置为ONTAP管理员"

System Manager 操作步骤

如果要首次创建MAV批准组、请参见System Manager操作步骤 to "启用多管理员验证。"

要修改现有批准组或创建其他批准组、请执行以下操作:

  1. 确定要接收多管理员验证的管理员。

    1. 单击*集群>设置。*

    2. 单击 箭头图标 *用户和角色。*旁边的

    3. 单击 添加图标 *USERS.*下的

    4. 根据需要修改此名册。

      有关详细信息,请参见 "控制管理员访问。"

  2. 创建或修改MAV批准组:

    1. 单击*集群>设置。*

    2. 单击 箭头图标 Security*部分中*Multi-Admin Approval (*多管理员批准)旁的。(如果尚未配置MAV、您将看到 操作图标 图标。)

      • name:输入组名称。

      • 审批者:从用户列表中选择审批者。

      • 电子邮件地址:输入电子邮件地址。

      • 默认组:选择一个组。

启用MAV后、要编辑现有配置、需要获得MAV批准。

命令行界面操作步骤

  1. 验证是否已为设置值 Mail FromMail Server parameters输入 …​

    event config show

    显示内容应类似于以下内容:

    cluster01::> event config show
                           Mail From:  admin@localhost
                         Mail Server:  localhost
                           Proxy URL:  -
                          Proxy User:  -
 Publish/Subscribe Messaging Enabled:  true

    要配置这些参数、请输入:

    event config modify -mail-from email_address -mail-server server_name

    有关和的 event config modify`详细信息 `event config show,请参见"ONTAP 命令参考"

  2. 确定要接收多管理员验证的管理员

    如果要… 输入此命令

    显示当前管理员

    security login show

    修改当前管理员的凭据

    security login modify <parameters>

    创建新的管理员帐户

    security login create -user-or-group-name admin_name -application ssh -authentication-method password

    有关、 security login modify`和的详细信息 `security login show, `security login create`请参见"ONTAP 命令参考"

  3. 创建MAV批准组:

    security multi-admin-verify approval-group create [ -vserver svm_name] -name group_name -approvers approver1[,approver2…] [[-email address1], address1…​]

    • -vserver -此版本仅支持管理SVM。

    • -name - MAV组名称,最多64个字符。

    • -approvers- 一个或多个审批人的列表。对于 AD 用户,使用格式 domain\user。例如, mydomain\pavan

    • -email -创建、批准、否决或执行请求时通知的一个或多个电子邮件地址。

      *示例:*以下命令将创建一个包含两个成员和关联电子邮件地址的MAV组。

    cluster-1::> security multi-admin-verify approval-group create -name mav-grp1 -approvers pavan,julia -email pavan@myfirm.com,julia@myfirm.com

  4. 验证组创建和成员资格:

    security multi-admin-verify approval-group show

    • 示例: *

    cluster-1::> security multi-admin-verify approval-group show
Vserver  Name        Approvers        Email
-------  ---------------- ------------------  ------------------------------------------------------------
svm-1    mav-grp1   pavan,julia      email pavan@myfirm.com,julia@myfirm.com

使用以下命令修改初始MAV组配置。

*注:*执行前、所有操作都需要获得MAV管理员的批准。

如果要… 输入此命令

修改组特征或修改现有成员信息

security multi-admin-verify approval-group modify [parameters]

添加或删除成员

security multi-admin-verify approval-group replace [-vserver svm_name] -name group_name [-approvers-to-add approver1[,approver2…]][-approvers-to-remove approver1[,approver2…]]

删除组

security multi-admin-verify approval-group delete [-vserver svm_name] -name group_name
相关信息