Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

角色、应用程序和身份验证

贡献者
PDF

ONTAP使注重安全的企业能够通过不同的登录应用程序和方法为不同的管理员提供细粒度访问权限。这有助于客户创建以数据为中心的零信任模式。

这些角色可供管理员和Storage Virtual Machine管理员使用。系统将指定登录应用程序方法和登录身份验证方法。

角色

借助基于角色的访问控制(Role-Based Access Control、RBAC)、用户只能访问其工作角色和职能所需的系统和选项。ONTAP中的RBAC解决方案将用户的管理访问权限限制为为为其定义的角色所授予的级别、从而使管理员可以按分配的角色管理用户。ONTAP提供了多种预定义角色。操作员和管理员可以创建、修改或删除自定义访问控制角色、并且可以为特定角色指定帐户限制。

集群管理员的预定义角色

此角色 …​

具有此访问级别 …​

访问以下命令或命令目录

admin

全部

所有命令目录 (DEFAULT

admin-no-fsa (从ONTAP 9.12.1开始提供)

读 / 写

  • 所有命令目录 (DEFAULT

  • security login rest-role

  • security login role

只读

  • security login rest-role create

  • security login rest-role delete

  • security login rest-role modify

  • security login rest-role show

  • security login role create

  • security login role create

  • security login role delete

  • security login role modify

  • security login role show

  • volume activity-tracking

  • volume analytics

volume file show-disk-usage

autosupport

全部

  • set

  • system node autosupport

所有其他命令目录 (DEFAULT

backup

全部

vserver services ndmp

只读

volume

所有其他命令目录 (DEFAULT

readonly

全部

  • security login password

    仅用于管理自己的用户帐户本地密码和密钥信息

  • set

security

只读

所有其他命令目录 (DEFAULT

none
备注 autosupport 已将角色分配给预定义的 autosupport 帐户、由AutoSupport OnDemand使用。ONTAP会阻止您修改或删除 autosupport 帐户。ONTAP还会阻止您分配 autosupport 其他用户帐户的角色。

Storage Virtual Machine (SVM)管理员的预定义角色

Role name

功能

vsadmin

  • 管理自己的用户帐户本地密码和密钥信息

  • 管理卷、但卷移动除外

  • 管理配额、qtrees、Snapshot副本和文件

  • 管理LUN

  • 执行SnapLock操作、但特权删除除外

  • 配置协议:NFS、SMB、iSCSI、FC、FCoE、 NVMe/FC和NVMe/TCP

  • 配置服务:DNS、LDAP和NIS

  • 监控作业

  • 监控网络连接和网络接口

  • 监控SVM的运行状况

vsadmin-volume

  • 管理自己的用户帐户本地密码和密钥信息

  • 管理卷、包括卷移动

  • 管理配额、qtrees、Snapshot副本和文件

  • 管理LUN

  • 配置协议:NFS、SMB、iSCSI、FC、FCoE、 NVMe/FC和NVMe/TCP

  • 配置服务:DNS、LDAP和NIS

  • 监控网络接口

  • 监控SVM的运行状况

vsadmin-protocol

  • 管理自己的用户帐户本地密码和密钥信息

  • 配置协议:NFS、SMB、iSCSI、FC、FCoE、 NVMe/FC和NVMe/TCP

  • 配置服务:DNS、LDAP和NIS

  • 管理LUN

  • 监控网络接口

  • 监控SVM的运行状况

vsadmin-backup

  • 管理自己的用户帐户本地密码和密钥信息

  • 管理NDMP操作

  • 将已还原的卷设置为读/写卷

  • 管理SnapMirror关系和Snapshot副本

  • 查看卷和网络信息

vsadmin-snaplock

  • 管理自己的用户帐户本地密码和密钥信息

  • 管理卷、但卷移动除外

  • 管理配额、qtrees、Snapshot副本和文件

  • 执行SnapLock操作、包括以特权方式删除

  • 配置协议:NFS和SMB

  • 配置服务:DNS、LDAP和NIS

  • 监控作业

  • 监控网络连接和网络接口

vsadmin-readonly

  • 管理自己的用户帐户本地密码和密钥信息

  • 监控SVM的运行状况

  • 监控网络接口

  • 查看卷和LUN

  • 查看服务和协议

应用程序方法

应用程序方法用于指定登录方法的访问类型。可能的值包括 console, http, ontapi, rsh, snmp, service-processor, ssh,telnet

将此参数设置为 service-processor 可授予用户对服务处理器的访问权限。如果此参数设置为 service-processor,则必须将该 -authentication-method 参数设置为 password ,因为服务处理器仅支持密码身份验证。SVM用户帐户无法访问服务处理器。因此,当参数设置为时,操作员和管理员不能使用 -vserver 参数 service-processor

要进一步限制对的访问, service-processor 请使用命令 system service-processor ssh add-allowed-addresses。命令 system service-processor api-service 可用于更新配置和证书。

出于安全原因、Telnet和远程Shell (RSH)默认处于禁用状态、因为NetApp建议使用安全Shell (SSH)进行安全远程访问。如果需要或唯一需要Telnet或RSH、则必须启用它们。

命令用于 security protocol modify 修改RSH和Telnet的现有集群范围配置。通过将已启用字段设置为,在集群中启用RSH和Telnet true

身份验证方法

authentication方法参数用于指定用于登录的身份验证方法。

身份验证方法 Description

cert

SSL证书身份验证

community

SNMP 团体字符串

domain

Active Directory 身份验证

nsswitch

LDAP或NIS身份验证

password

Password

publickey

公共密钥身份验证

usm

SNMP用户安全模型
备注 由于协议安全漏洞、不建议使用NIS。

从ONTAP 9.3开始、本地SSH帐户可以使用和密码作为两种身份验证方法进行链式双因素身份验证 admin publickey 。除了 -authentication-method 命令中的字段 security login 之外、还添加了一个名为的新字段 -second-authentication-method 。公共密钥或密码可以指定为 -authentication-method-second-authentication-method。但是、在SSH身份验证期间、顺序始终是部分身份验证的公共密钥、后跟用于完全身份验证的密码提示。

[user@host01 ~]$ ssh ontap.netapp.local
Authenticated with partial success.
Password:
cluster1::>

从ONTAP 9.4开始, nsswitch 可用作的第二种身份验证方法 publickey

从ONTAP 9.12.1开始、FIDO2也可用于使用YukiKey硬件身份验证设备或其他FIDO2兼容设备进行SSH身份验证。

从ONTAP 9.13.1.开始:

  • domain 帐户可用作中的第二种身份验证方法 publickey

  • 基于时间的一次性密码是由算法生成的临时密码 (totp,该算法使用当前时间作为第二种身份验证方法的身份验证因素之一。

  • SSH公共密钥以及证书均支持公共密钥撤消、这些证书将在SSH期间进行到期/撤消检查。

有关ONTAP系统管理器、Active IQ Unified Manager和SSH的多因素身份验证(MFA)的详细信息,请参见 "TR-4647:《ONTAP 9中的多因素身份验证》"