Skip to main content
SnapCenter software
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用 RBAC 授权登录SnapCenter

PDF

SnapCenter支持基于角色的访问控制 (RBAC)。 SnapCenter管理员通过SnapCenter RBAC 将角色和资源分配给工作组或活动目录中的用户,或者活动目录中的组。 RBAC 用户现在可以使用分配的角色登录SnapCenter 。

开始之前

  • 您应该在 Windows 服务器管理器中启用 Windows 进程激活服务 (WAS)。

  • 如果您想使用 Internet Explorer 作为浏览器登录SnapCenter服务器,则应确保 Internet Explorer 中的保护模式已禁用。

  • 如果SnapCenter Server 安装在 Linux 主机上,则应使用用于安装SnapCenter Server 的用户帐户登录。

关于此任务

在安装过程中, SnapCenter服务器安装向导会创建一个快捷方式并将其放在桌面上和安装SnapCenter的主机的“开始”菜单中。此外,在安装结束时,安装向导会根据您在安装期间提供的信息显示SnapCenter URL,如果您想从远程系统登录,可以复制该 URL。

重要说明 如果您在 Web 浏览器中打开了多个选项卡,则仅关闭SnapCenter浏览器选项卡并不会将您退出SnapCenter。要结束与SnapCenter的连接,您必须通过单击“退出”按钮或关闭整个 Web 浏览器来退出SnapCenter 。

*最佳实践:*出于安全原因,建议您不要启用浏览器来保存您的SnapCenter密码。

默认 GUI URL 是与安装SnapCenter Server 的服务器上的默认端口 8146 的安全连接(https://server:8146)。如果您在SnapCenter安装期间提供了不同的服务器端口,则将使用该端口。

对于高可用性 (HA) 部署,您必须使用虚拟集群 IP https://Virtual_Cluster_IP_or_FQDN:8146 访问SnapCenter 。如果在 Internet Explorer (IE) 中导航到 https://Virtual_Cluster_IP_or_FQDN:8146 时没有看到SnapCenter UI,则必须在每个插件主机上的 IE 中将虚拟集群 IP 地址或 FQDN 添加为受信任的站点,或者必须在每个插件主机上禁用 IE 增强安全性。有关更多信息,请参阅 "无法从外部网络访问群集 IP 地址"

除了使用SnapCenter GUI 之外,您还可以使用 PowerShell cmdlet 创建脚本来执行配置、备份和恢复操作。每次发布SnapCenter时,某些 cmdlet 可能会发生变化。这 "SnapCenter软件 Cmdlet 参考指南"有详细信息。

备注 如果您是第一次登录SnapCenter ,则必须使用安装过程中提供的凭据登录。

步骤

  1. 从本地主机桌面上的快捷方式、安装结束时提供的 URL 或SnapCenter管理员提供的 URL 启动SnapCenter 。

  2. 输入用户凭证。

    要指定以下内容…​ 使用以下格式之一…​

    域管理员

    • NetBIOS\用户名

    • 用户名@UPN后缀

      例如,username@netapp.com

    • 域 FQDN\用户名

    本地管理员

    用户名

  3. 如果您被分配了多个角色,请从角色框中选择要用于此登录会话的角色。

    登录后,您当前的用户和相关角色将显示在SnapCenter的右上角。

结果

将显示“仪表板”页面。

如果日志记录失败并出现无法访问站点的错误,则应将 SSL 证书映射到SnapCenter。 "了解更多"

完成后

首次以 RBAC 用户身份登录SnapCenter Server 后,刷新资源列表。

如果您有不受信任的 Active Directory 域并且希望SnapCenter支持这些域,则必须先向SnapCenter注册这些域,然后再为不受信任域上的用户配置角色。"了解更多"

如果要在 Linux 主机上运行的SnapCenter中添加插件主机,则应从以下位置获取校验和文件:/opt/ NetApp/snapcenter/SnapManagerWeb/Repository

从 6.0 版本开始,桌面上会创建SnapCenter PowerShell 的快捷方式。您可以使用快捷方式直接访问SnapCenter PowerShell cmdlet。

使用多重身份验证 (MFA) 登录SnapCenter

SnapCenter Server 支持域帐户的 MFA,它是活动目录的一部分。

开始之前

您应该启用 MFA。有关如何启用 MFA 的信息,请参阅"启用多重身份验证"

关于此任务

  • 仅支持 FQDN

  • 工作组和跨域用户无法使用 MFA 登录

步骤

  1. 从本地主机桌面上的快捷方式、安装结束时提供的 URL 或SnapCenter管理员提供的 URL 启动SnapCenter 。

  2. 在 AD FS 登录页面,输入用户名和密码。

    当 AD FS 页面上显示用户名或密码无效错误消息时,您应该检查以下内容:

    • 用户名或密码是否有效

      用户帐户应该存在于 Active Directory (AD) 中

    • 您是否超出了 AD 中设置的最大允许尝试次数

    • AD 和 AD FS 是否已启动并运行

修改SnapCenter默认 GUI 会话超时

您可以修改SnapCenter GUI 会话超时期限,使其小于或大于默认超时期限 20 分钟。

作为一项安全功能,在默认 15 分钟不活动时间后, SnapCenter会警告您将在 5 分钟内退出 GUI 会话。默认情况下, SnapCenter会在 20 分钟不活动后将您从 GUI 会话中注销,您必须重新登录。

步骤

  1. 在左侧导航窗格中,单击“设置”>“全局设置”。

  2. 在全局设置页面中,单击*配置设置*。

  3. 在会话超时字段中,输入新的会话超时时间(分钟),然后单击“保存”。

通过禁用 SSL 3.0 来保护SnapCenter Web 服务器

出于安全目的,如果您的SnapCenter Web 服务器上启用了安全套接字层 (SSL) 3.0 协议,则应在 Microsoft IIS 中禁用该协议。

SSL 3.0 协议存在缺陷,攻击者可以利用这些缺陷导致连接失败,或进行中间人攻击并观察您的网站与其访问者之间的加密流量。

步骤

  1. 要在SnapCenter Web 服务器主机上启动注册表编辑器,请单击“开始”>“运行”,然后输入 regedit。

  2. 在注册表编辑器中,导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\。

    • 如果服务器密钥已经存在:

      1. 选择已启用的 DWORD,然后单击 编辑 > 修改

      2. 将值更改为 0,然后单击“确定”。

    • 如果服务器密钥不存在:

      1. 单击“编辑”>“新建”>“密钥”,然后将密钥命名为“服务器”。

      2. 选择新的服务器密钥后,单击*编辑* > 新建 > DWORD

      3. 将新的 DWORD 命名为 Enabled,然后输入 0 作为值。

  3. 关闭注册表编辑器。