简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理受保护的操作规则

您可以创建多管理员验证(MAV)规则来指定需要批准的操作。每当启动操作时、受保护的操作都会被截获、并生成批准请求。

任何具有适当RBAC功能的管理员都可以在启用MAV之前创建规则、但启用MAV后、对规则集进行的任何修改都需要获得MAV批准。

您可以在ONTAP 9.11.1中为以下命令创建规则。

集群对等删除

event config modify

s安全性登录 create

s安全登录删除

ssecurity login modify

s系统节点运行

s系统节点系统Shell

volume delete

卷FlexCache delete

volume snapshot autodelete modify

卷快照删除

volume snapshot policy add-schedule

volume snapshot policy create

volume snapshot policy delete

volume snapshot policy modify

volume snapshot policy modify-schedule

volume snapshot policy remove-schedule

卷快照还原

Vserver peer delete

此外、启用MAV后、以下命令会默认受到保护、但您可以修改规则以取消对这些命令的保护。

  • s安全登录密码

  • s安全登录解锁

  • set

不能更改MAV system-default命令—`security multi-admin-verify`命令的规则。

创建规则时、您可以选择指定`查询`选项、以将请求限制为命令功能的一部分。例如、在默认set命令中、-query`设置为-privilege diag`、这意味着只有在指定-privilege diag时、才会为set命令生成请求。

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    set                                    -         -
          Query: -privilege diagnostic

默认情况下、规则会指定在输入受保护操作时自动生成对应的`security multi-admin-verify request create "protected_operation "`命令。您可以修改此默认值、以要求单独输入`request create`命令。

默认情况下、规则会继承以下全局MAV设置、但您可以指定特定于规则的例外情况:

  • 所需数量的批准者

  • 批准组

  • 批准到期期限

  • 执行到期期限

System Manager 操作步骤

如果要首次添加受保护的操作规则、请参见System Manager操作步骤 to "启用多管理员验证。"

要修改现有规则集、请执行以下操作:

  1. 单击 * 集群 > 设置 * 。

  2. 单击 齿轮图标 在*安全性*部分中的*多管理员批准*旁边。

  3. 单击 添加图标 至少添加一个规则;您还可以修改或删除现有规则。

    • 操作—从列表中选择受支持的命令。

    • 查询—输入任何所需的命令选项和值。

    • 可选参数—留空以应用全局设置、或者为特定规则分配其他值以覆盖全局设置。

      • 所需批准者数量—L

      • 批准组

命令行界面操作步骤

注 除`security multi-admin-verify rule show`之外、所有`security multi-admin-verify rule`命令都需要经过MAV管理员批准才能执行。
如果要… 输入此命令

创建规则

s安全性多管理验证规则create -operation "protected_operation""-query operation_set][parameters]

修改当前管理员的凭据

ssecurity login modify <参数>

示例:要删除根卷、需要获得以下规则的批准。

security multi-admin-verify rule create -operation "volume delete"-query "-vserver vs0

修改规则

security multi-admin-verify rule modify -operation "protected_operation"[parameters]

删除规则

security-admin-verify rule delete -operation "protected_operation"

显示规则

security multi-admin-verify rule show

有关命令语法详细信息、请参见`security multi-admin-verify rule`手册页。