使用SSH访问集群
您可以通过向ONTAP集群发出问题描述SSH请求来执行管理任务。默认情况下、SSH处于启用状态。
-
您必须具有配置为使用的用户帐户
ssh
作为访问方法。`-application`命令的参数[`security login`用于指定用户帐户的访问方法。要详细了解ONTAP命令参考中的link:https://docs NetApp.ONTAP-CLI/secure-login-create.html#Description[`security login`^)命令。
-
如果您使用Active Directory (AD)域用户帐户访问集群、则必须已通过启用了CIFS的Storage VM为集群设置身份验证通道、并且您的AD域用户帐户也必须已通过添加到集群中
ssh
作为一种访问方法、然后domain
作为身份验证方法。
-
您必须使用 OpenSSH 5.7 或更高版本的客户端。
-
仅支持 SSH v2 协议;不支持 SSH v1 。
-
ONTAP支持每个节点最多64个并发SSH会话。
如果集群管理 LIF 驻留在节点上,则它与节点管理 LIF 共享此限制。
如果传入连接的速率高于每秒 10 次,则此服务将暂时禁用 60 秒。
-
ONTAP 仅支持对 SSH 使用 AES 和 3DES 加密算法(也称为 ciphers )。
AES 支持 128 , 192 和 256 位密钥长度。3DES 的密钥长度为 56 位,与原始 DES 相同,但重复三次。
-
启用 FIPS 模式后, SSH 客户端应与椭圆曲线数字签名算法( Elliptic Curve Digital Signature Algorithm , ECDSA )公有密钥算法协商,以便成功进行连接。
-
如果要从 Windows 主机访问 ONTAP 命令行界面,可以使用 PuTTY 等第三方实用程序。
-
如果使用 Windows AD 用户名登录到 ONTAP ,则应使用在 ONTAP 中创建 AD 用户名和域名时使用的相同大小写字母。
AD 用户名和域名不区分大小写。但是, ONTAP 用户名区分大小写。如果在 ONTAP 中创建的用户名与在 AD 中创建的用户名的大小写不匹配,则会导致登录失败。
-
从ONTAP 9.3开始、您可以执行此操作 "启用SSH多因素身份验证" 本地管理员帐户。
启用 SSH 多因素身份验证后,用户将使用公有密钥和密码进行身份验证。
-
从ONTAP 9.4开始、您可以执行此操作 "启用SSH多因素身份验证" LDAP和NIS远程用户。
-
从ONTAP 9.13.1开始、您可以选择在SSH身份验证过程中添加证书验证、以增强登录安全性。为此、 "将X.509证书与公共密钥相关联" 帐户使用的。如果使用SSH公共密钥和X.509证书登录、则ONTAP会在使用SSH公共密钥进行身份验证之前检查X.509证书的有效性。如果此证书已过期或已撤销、则会拒绝SSH登录、并且SSH公共密钥会自动禁用。
-
从ONTAP 9.14.1开始、ONTAP管理员可以执行此操作 "在SSH身份验证过程中添加Cisco Duo双重身份验证" 以增强登录安全性。启用Cisco Duo身份验证后首次登录时、用户需要注册一个设备、以用作SSH会话的身份验证程序。
-
从ONTAP 9.15.1开始、管理员可以执行此操作 "配置动态授权" 根据SSH用户的信任得分向用户提供额外的自适应身份验证。
-
在可访问ONTAP集群网络的主机上、输入
ssh
命令、格式为以下之一:-
ssh username@hostname_or_IP [command]
-
ssh -l username hostname_or_IP [command]
-
如果您使用的是AD域用户帐户、则必须指定 username
格式为 domainname\\AD_accountname
(域名后使用双反斜斜槽)或 "domainname\AD_accountname"
(用双引号括起来、域名后加一个反斜杠)。
hostname_or_IP
是集群管理LIF或节点管理LIF的主机名或IP地址。建议使用集群管理 LIF 。您可以使用 IPv4 或 IPv6 地址。
command
SSH交互式会话不需要。
以下示例显示了名为 "`Joe` " 的用户帐户如何通过问题描述处理 SSH 请求来访问集群管理 LIF 为 10.72.137.28 的集群:
$ ssh joe@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
以下示例显示了名为 DOMAIN1
的域中名为 "`John` " 的用户帐户如何通过问题描述发出 SSH 请求来访问集群管理 LIF 为 10.72.137.28 的集群:
$ ssh DOMAIN1\\john@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
以下示例显示了名为 "`joe` " 的用户帐户如何通过问题描述处理 SSH MFA 请求来访问集群管理 LIF 为 10.72.137.32 的集群:
$ ssh joe@10.72.137.32 Authenticated with partial success. Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.