Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用SSH访问集群

贡献者

您可以通过向集群发出问题描述SSH请求来执行管理任务。默认情况下、SSH处于启用状态。

您需要的内容
  • 您必须具有配置为使用的用户帐户 ssh 作为访问方法。

    -application 的参数 security login 命令用于指定用户帐户的访问方法。。 security login "手册页" 包含追加信息。

  • 如果您使用Active Directory (AD)域用户帐户访问集群、则必须已通过启用了CIFS的Storage VM为集群设置身份验证通道、并且您的AD域用户帐户也必须已通过添加到集群中 ssh 作为一种访问方法、然后 domain 作为身份验证方法。

  • 如果使用 IPv6 连接,则必须已在集群上配置并启用 IPv6 ,并且防火墙策略必须已配置 IPv6 地址。

    network options ipv6 show 命令用于显示是否已启用IPv6。。 system services firewall policy show 命令可显示防火墙策略。

关于此任务
  • 您必须使用 OpenSSH 5.7 或更高版本的客户端。

  • 仅支持 SSH v2 协议;不支持 SSH v1 。

  • ONTAP支持每个节点最多64个并发SSH会话。

    如果集群管理 LIF 驻留在节点上,则它与节点管理 LIF 共享此限制。

    如果传入连接的速率高于每秒 10 次,则此服务将暂时禁用 60 秒。

  • ONTAP 仅支持对 SSH 使用 AES 和 3DES 加密算法(也称为 ciphers )。

    AES 支持 128 , 192 和 256 位密钥长度。3DES 的密钥长度为 56 位,与原始 DES 相同,但重复三次。

  • 启用 FIPS 模式后, SSH 客户端应与椭圆曲线数字签名算法( Elliptic Curve Digital Signature Algorithm , ECDSA )公有密钥算法协商,以便成功进行连接。

  • 如果要从 Windows 主机访问 ONTAP 命令行界面,可以使用 PuTTY 等第三方实用程序。

  • 如果使用 Windows AD 用户名登录到 ONTAP ,则应使用在 ONTAP 中创建 AD 用户名和域名时使用的相同大小写字母。

    AD 用户名和域名不区分大小写。但是, ONTAP 用户名区分大小写。如果在 ONTAP 中创建的用户名与在 AD 中创建的用户名的大小写不匹配,则会导致登录失败。

SSH身份验证选项
  • 从ONTAP 9.3开始、您可以执行此操作 "启用SSH多因素身份验证" 本地管理员帐户。

    启用 SSH 多因素身份验证后,用户将使用公有密钥和密码进行身份验证。

  • 从ONTAP 9.4开始、您可以执行此操作 "启用SSH多因素身份验证" LDAP和NIS远程用户。

  • 从ONTAP 9.13.1开始、您可以选择在SSH身份验证过程中添加证书验证、以增强登录安全性。为此、 "将X.509证书与公共密钥相关联" 帐户使用的。如果使用SSH公共密钥和X.509证书登录、则ONTAP会在使用SSH公共密钥进行身份验证之前检查X.509证书的有效性。如果此证书已过期或已撤销、则会拒绝SSH登录、并且SSH公共密钥会自动禁用。

  • 从ONTAP 9.14.1开始、您可以选择在SSH身份验证过程中添加Cisco双因素身份验证、以增强登录安全性。启用Cisco Duo身份验证后首次登录时、用户需要注册一个设备、以用作SSH会话的身份验证程序。请参见 "为SSH登录配置Cisco Duo 2FA" 有关为ONTAP配置Cisco双核SSH身份验证的详细信息、请参见。

步骤
  1. 从管理主机输入 ssh 命令、格式为以下之一:

    • ssh username@hostname_or_IP [command]

    • ssh -l username hostname_or_IP [command]

如果您使用的是AD域用户帐户、则必须指定 username 格式为 domainname\\AD_accountname (域名后使用双反斜斜槽)或 "domainname\AD_accountname" (用双引号括起来、域名后加一个反斜杠)。

hostname_or_IP 是集群管理LIF或节点管理LIF的主机名或IP地址。建议使用集群管理 LIF 。您可以使用 IPv4 或 IPv6 地址。

command SSH交互式会话不需要。

SSH请求示例

以下示例显示了名为 "`Joe` " 的用户帐户如何通过问题描述处理 SSH 请求来访问集群管理 LIF 为 10.72.137.28 的集群:

$ ssh joe@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

以下示例显示了名为 DOMAIN1 的域中名为 "`John` " 的用户帐户如何通过问题描述发出 SSH 请求来访问集群管理 LIF 为 10.72.137.28 的集群:

$ ssh DOMAIN1\\john@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

以下示例显示了名为 "`joe` " 的用户帐户如何通过问题描述处理 SSH MFA 请求来访问集群管理 LIF 为 10.72.137.32 的集群:

$ ssh joe@10.72.137.32
Authenticated with partial success.
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.