简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用 SSH 访问集群

提供者 netapp-ahibbard netapp-thomi netapp-barbe

您可以通过问题描述向集群发送 SSH 请求来执行管理任务。默认情况下, SSH 处于启用状态。

您需要什么? #8217 ;将需要什么
  • 您必须已将用户帐户配置为使用 ssh 作为访问方法。

    ssecurity login 命令的 ` 应用程序` 参数用于指定用户帐户的访问方法。ssecurity login 手册页包含追加信息。

  • 如果您使用 Active Directory ( AD )域用户帐户访问集群,则必须已通过启用了 CIFS 的 Storage Virtual Machine ( SVM )为集群设置身份验证通道。 此外,您的 AD 域用户帐户还必须使用 ssh 作为访问方法,并使用 domain 作为身份验证方法添加到集群中。

  • 如果使用 IPv6 连接,则必须已在集群上配置并启用 IPv6 ,并且防火墙策略必须已配置 IPv6 地址。

    network options ipv6 show 命令可显示是否已启用 IPv6 。sservices firewall policy show 命令可显示防火墙策略。

关于此任务
  • 您必须使用 OpenSSH 5.7 或更高版本的客户端。

  • 仅支持 SSH v2 协议;不支持 SSH v1 。

  • ONTAP 最多支持每个节点 64 个并发 SSH 会话。

    如果集群管理 LIF 驻留在节点上,则它与节点管理 LIF 共享此限制。

    如果传入连接的速率高于每秒 10 次,则此服务将暂时禁用 60 秒。

  • ONTAP 仅支持对 SSH 使用 AES 和 3DES 加密算法(也称为 ciphers )。

    AES 支持 128 , 192 和 256 位密钥长度。3DES 的密钥长度为 56 位,与原始 DES 相同,但重复三次。

  • 启用 FIPS 模式后, SSH 客户端应与椭圆曲线数字签名算法( Elliptic Curve Digital Signature Algorithm , ECDSA )公有密钥算法协商,以便成功进行连接。

  • 如果要从 Windows 主机访问 ONTAP 命令行界面,可以使用 PuTTY 等第三方实用程序。

  • 如果使用 Windows AD 用户名登录到 ONTAP ,则应使用在 ONTAP 中创建 AD 用户名和域名时使用的相同大小写字母。

    AD 用户名和域名不区分大小写。但是, ONTAP 用户名区分大小写。如果在 ONTAP 中创建的用户名与在 AD 中创建的用户名的大小写不匹配,则会导致登录失败。

  • 从 ONTAP 9.3 开始,您可以为本地管理员帐户启用 SSH 多因素身份验证。

    启用 SSH 多因素身份验证后,用户将使用公有密钥和密码进行身份验证。

  • 从 ONTAP 9.4 开始,您可以为 LDAP 和 NIS 远程用户启用 SSH 多因素身份验证。

步骤
  1. 在管理主机中,以以下格式之一输入 ssh 命令:

    • ` * ssh username@hostname_or_IP [command]*`

    • ` * ssh -l username hostname_or_IP [command]*`

如果您使用的是 AD 域用户帐户,则必须以 ` domainname\\AD_accountName` (域名后使用双反斜杠)或 ` "domainname\AD_accountname"` (用双引号括起来,域名后使用单反斜杠)的格式指定 ` username` 。

` hostname_or_IP_` 是集群管理 LIF 或节点管理 LIF 的主机名或 IP 地址。建议使用集群管理 LIF 。您可以使用 IPv4 或 IPv6 地址。

SSH 交互式会话不需要 ` command` 。

以下示例显示了名为 "`Joe` " 的用户帐户如何通过问题描述处理 SSH 请求来访问集群管理 LIF 为 10.72.137.28 的集群:

$ ssh joe@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

以下示例显示了名为 DOMAIN1 的域中名为 "`John` " 的用户帐户如何通过问题描述发出 SSH 请求来访问集群管理 LIF 为 10.72.137.28 的集群:

$ ssh DOMAIN1\\john@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

以下示例显示了名为 "`joe` " 的用户帐户如何通过问题描述处理 SSH MFA 请求来访问集群管理 LIF 为 10.72.137.32 的集群:

$ ssh joe@10.72.137.32
Authenticated with partial success.
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.