Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用RBAC授权登录到SnapCenter

贡献者

SnapCenter 支持基于角色的访问控制( Role-Based Access Control , RBAC )。SnapCenter 管理员通过 SnapCenter RBAC 将角色和资源分配给工作组或 Active Directory 中的用户或 Active Directory 中的组。现在, RBAC 用户可以使用分配的角色登录到 SnapCenter 。

开始之前
  • 您应在 Windows Server Manager 中启用 Windows 进程激活服务( Wwas )。

  • 如果要使用 Internet Explorer 作为浏览器登录到 SnapCenter 服务器,应确保已禁用 Internet Explorer 中的保护模式。

  • 如果SnapCenter服务器安装在Linux主机上、则应使用用于安装SnapCenter服务器的用户帐户登录。

  • 关于此任务 *

安装期间, SnapCenter 服务器安装向导会创建一个快捷方式,并将其放置在桌面上以及安装 SnapCenter 的主机的 " 开始 " 菜单中。此外,安装向导将在安装结束时根据您在安装期间提供的信息显示 SnapCenter URL ,如果您要从远程系统登录,可以复制这些 URL 。

重要说明 如果您在 Web 浏览器中打开了多个选项卡,则仅关闭 SnapCenter 浏览器选项卡不会将您从 SnapCenter 中注销。要结束与 SnapCenter 的连接,您必须单击 * 注销 * 按钮或关闭整个 Web 浏览器以注销 SnapCenter 。

* 最佳实践: * 出于安全原因,建议不要启用浏览器来保存 SnapCenter 密码。

默认图形用户界面 URL 是与安装 SnapCenter 服务器的服务器上的默认端口 8146 ( https://server:8146 )的安全连接。如果您在 SnapCenter 安装期间提供了其他服务器端口,则会改用该端口。

对于高可用性( High Availability , HA )部署,您必须使用虚拟集群 IP https://Virtual_Cluster_IP_or_FQDN:8146 访问 SnapCenter 。如果在 Internet Explorer ( IE )中导航到 >https://Virtual_Cluster_IP_or_FQDN:8146_ 时未看到 SnapCenter UI ,则必须在每个插件主机的 IE 中将虚拟集群 IP 地址或 FQDN 添加为受信任站点,或者必须在每个插件主机上禁用 IE 增强安全性。有关详细信息,请参见 "无法从外部网络访问集群 IP 地址"

除了使用 SnapCenter 图形用户界面之外,您还可以使用 PowerShell cmdlet 创建脚本以执行配置,备份和还原操作。某些 cmdlet 可能会随每个 SnapCenter 版本而发生更改。 "《 SnapCenter 软件 cmdlet 参考指南》"具有详细信息。

备注 如果您是首次登录到 SnapCenter ,则必须使用安装过程中提供的凭据进行登录。
  • 步骤 *

    1. 从本地主机桌面上的快捷方式,安装结束时提供的 URL 或 SnapCenter 管理员提供的 URL 启动 SnapCenter 。

    2. 输入用户凭据。

      要指定以下内容 …​ 使用以下格式之一 …​

      域管理员

      • netbios\ 用户名

      • 用户名@UPN 后缀

        例如, username@netapp.com

      • 域 FQDN\username

      本地管理员

      Username

    3. 如果您分配了多个角色,请从角色框中选择要用于此登录会话的角色。

      登录后,您的当前用户和关联角色将显示在 SnapCenter 的右上角。

  • 结果 *

此时将显示信息板页面。

如果日志记录失败并显示错误,指出无法访问站点,则应将 SSL 证书映射到 SnapCenter 。 "了解更多信息。"

  • 完成后 *

首次以 RBAC 用户身份登录到 SnapCenter 服务器后,刷新资源列表。

如果您希望 SnapCenter 支持不可信的 Active Directory 域,则必须先向 SnapCenter 注册这些域,然后再为不可信域上的用户配置角色。"了解更多信息。"(英文)

如果要在Linux主机上运行的SnapCenter中添加插件主机、应从以下位置获取校验和文件:_/opt/NetApp/snapcentre/SnapManagerWeb/Repository _。

从6.0版开始、在桌面上创建了SnapCenter PowerShell的快捷方式。您可以使用快捷方式直接访问SnapCenter PowerShell cmdlet。

使用多因素身份验证(Multi-Factor Authentication、MFA)登录到SnapCenter

SnapCenter 服务器支持将MFA用于域帐户、此帐户属于活动目录。

开始之前

您应已启用MFA。有关如何启用MFA的信息、请参见 "启用多因素身份验证"

  • 关于此任务 *

  • 仅支持FQDN

  • 工作组和跨域用户无法使用MFA登录

  • 步骤 *

    1. 从本地主机桌面上的快捷方式,安装结束时提供的 URL 或 SnapCenter 管理员提供的 URL 启动 SnapCenter 。

    2. 在AD FS登录页面中、输入用户名和密码。

      如果AD FS页面上显示用户名或密码无效错误消息、则应检查以下内容:

      • 用户名或密码是否有效

        此用户帐户应位于Active Directory (AD)中

      • 是否超过在AD中设置的允许的最大尝试次数

      • AD和AD FS是否已启动且正在运行

修改 SnapCenter 默认 GUI 会话超时

您可以修改 SnapCenter 图形用户界面会话超时期限,使其小于或大于默认超时期限 20 分钟。

作为一项安全功能,默认情况下处于非活动状态 15 分钟后, SnapCenter 会向您发出警告,指出您将在 5 分钟内从图形用户界面会话中注销。默认情况下, SnapCenter 会在不活动 20 分钟后从 GUI 会话中注销,您必须重新登录。

  • 步骤 *

    1. 在左侧导航窗格中,单击 * 设置 * > * 全局设置 * 。

    2. 在全局设置页面中,单击 * 配置设置 * 。

    3. 在会话超时字段中,以分钟为单位输入新会话超时,然后单击 * 保存 * 。

通过禁用 SSL 3.0 来保护 SnapCenter Web 服务器的安全

出于安全考虑,如果在 SnapCenter Web 服务器上启用了安全套接字层( SSL ) 3.0 协议,则应在 Microsoft IIS 中禁用该协议。

SSL 3.0 协议存在一些缺陷,攻击者可以使用这些缺陷来处理发生原因连接故障,或者执行中间人攻击并观察您的网站与其访客之间的加密流量。

  • 步骤 *

    1. 要在 SnapCenter Web 服务器主机上启动注册表编辑器,请单击 * 开始 * > * 运行 * ,然后输入 regedit 。

    2. 在注册表编辑器中,导航到 HKEY_LOCAL_MACHINE , system\CurrentControlSet\Control\SecurityProviders\SChannel\Protocols\SSL 3.0\ 。

      • 如果服务器密钥已存在:

        1. 选择已启用的 DWORD ,然后单击 * 编辑 * > * 修改 * 。

        2. 将此值更改为 0 ,然后单击 * 确定 * 。

      • 如果服务器密钥不存在:

        1. 单击 * 编辑 * > * 新增 * > * 密钥 * ,然后将密钥服务器命名为。

        2. 选择新服务器密钥后,单击 * 编辑 * > * 新建 * > * 双字节 * 。

        3. 将新的 DWORD 命名为 Enabled ,然后输入 0 作为值。

    3. 关闭注册表编辑器。