简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理管理员批准组

在启用多管理员验证(MAV)之前、您必须创建一个管理员批准组、其中包含一个或多个要授予批准或否决权限的管理员。启用多管理员验证后、对批准组成员资格进行的任何修改都需要获得现有合格管理员之一的批准。

您可以将现有管理员添加到MAV组或创建新管理员。

MAV功能可支持现有的基于角色的访问控制(Role-Based Access Control、RBAC)设置。潜在的MAV管理员必须具有足够的权限来执行受保护的操作、才能将其添加到MAV管理员组。 "了解有关RBAC的更多信息。"

您可以将MAV配置为向MAV管理员发出批准请求待处理的警报。要执行此操作、您必须配置电子邮件通知、尤其是`Mail from`和`Mail Server`参数、或者您也可以清除这些参数以禁用通知。如果没有电子邮件警报、MAV管理员必须手动检查批准队列。

System Manager 操作步骤

如果要首次创建MAV批准组、请参见System Manager操作步骤 to "启用多管理员验证。"

要修改现有批准组或创建其他批准组、请执行以下操作:

  1. 确定要接收多管理员验证的管理员。

    1. 单击*集群>设置。*

    2. 单击 蓝色箭头图标 在*用户和角色*旁边

    3. 单击 添加图标 在*用户*下

    4. 根据需要修改此名册。

      有关详细信息,请参见 "控制管理员访问。"

  2. 创建或修改MAV批准组:

    1. 单击*集群>设置。*

    2. 单击 蓝色箭头图标 在*安全性*部分中的*多管理员批准*旁边。(此时将显示 齿轮图标 如果尚未配置MAV、则显示图标。)

      • name:输入组名称。

      • 审批者:从用户列表中选择审批者。

      • 电子邮件地址:输入电子邮件地址。

      • 默认组:选择一个组。

启用MAV后、要编辑现有配置、需要获得MAV批准。

命令行界面操作步骤

  1. 验证是否已为`Mail from`和`Mail Server`参数设置了值。输入 …​

    event config show

    显示内容应类似于以下内容:

    cluster01::> event config show
                               Mail From:  admin@localhost
                             Mail Server:  localhost
                               Proxy URL:  -
                              Proxy User:  -
     Publish/Subscribe Messaging Enabled:  true

    要配置这些参数、请输入:

    event config modify -mail-from email_address-mail-server server_name

  2. 确定要接收多管理员验证的管理员

    如果要… 输入此命令

    显示当前管理员

    ssecurity login show

    修改当前管理员的凭据

    ssecurity login modify <参数>

    创建新的管理员帐户

    ssecurity login create -user-or-group-name admin_name-application ssh -authentication-method password

  3. 创建MAV批准组:

    s安全性多管理员验证批准组创建[-vserver svm_name]-name group_name-perfers approver1approver2… [-email address1]、address1…​]

    • -vserver—此版本仅支持管理SVM。

    • 名称—MAV组名称、最多64个字符。

    • 批准者—一个或多个批准者的列表。

    • 电子邮件—在创建、批准、否决或执行请求时通知的一个或多个电子邮件地址。

      *示例:*以下命令将创建一个包含两个成员和关联电子邮件地址的MAV组。

    cluster-1::> security multi-admin-verify approval-group create -name mav-grp1 -approvers pavan,julia -email pavan@myfirm.com,julia@myfirm.com
  4. 验证组创建和成员资格:

    security multi-admin-verify Approval -group show [-instance]

    • 示例: *

    cluster-1::> security multi-admin-verify approval-group show -instance
    Vserver  Name        Approvers        Email
    -------  ---------------- ------------------  ------------------------------------------------------------
    svm-1    mav-grp1   pavan,julia      email pavan@myfirm.com,julia@myfirm.com

使用以下命令修改初始MAV组配置。

*注:*执行前、所有操作都需要获得MAV管理员的批准。

如果要… 输入此命令

修改组特征或修改现有成员信息

security multi-admin-verify Approval group modify [parameters]

添加或删除成员

s安全性多管理员验证批准组替换项为"-vserver svm_name]-name group_name[-perverant-to_add approver1approver2…]]…

删除组

security multi-admin-verify Approval -group delete "-vserver svm_name]-name group_name