本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

在Web服務Proxy中管理使用者存取權

07/27/2023 貢獻者

PDF

為了安全起見、您可以管理使用者對Web服務API和Unified Manager的存取。

存取管理總覽

存取管理包括角色型登入、密碼加密、基本驗證及LDAP整合。

角色型存取

角色型存取控制（RBAC）可將預先定義的使用者與角色建立關聯。每個角色都會將權限授與特定層級的功能。

下表說明每個角色。

角色	說明
資訊安全管理	SSL與憑證管理：
儲存設備管理	對儲存系統組態的完整讀寫存取權。
儲存設備。監控	唯讀存取、可檢視儲存系統資料。
support.admin	存取儲存系統上的所有硬體資源、並支援AutoSupport 諸如恢復（ASUP）等作業。

角色

說明

資訊安全管理

SSL與憑證管理：

儲存設備管理

對儲存系統組態的完整讀寫存取權。

儲存設備。監控

唯讀存取、可檢視儲存系統資料。

support.admin

存取儲存系統上的所有硬體資源、並支援AutoSupport 諸如恢復（ASUP）等作業。

預設使用者帳戶是在users.properties檔案中定義。您可以直接修改users.properties檔案、或使用Unified Manager中的存取管理功能來變更使用者帳戶。

下表列出可用於Web服務Proxy的使用者登入資訊。

預先定義的使用者登入	說明
管理	超級管理員、可存取所有功能並包含所有角色。對於Unified Manager、您必須在首次登入時設定密碼。
儲存設備	負責所有儲存資源配置的管理員。此使用者包括下列角色：儲存設備管理員、support.admin及儲存設備監控。在設定密碼之前、此帳戶會停用。
安全性	負責安全組態的使用者。此使用者包括下列角色：Security、admin和storage、監控。在設定密碼之前、此帳戶會停用。
支援	負責硬體資源、故障資料和韌體升級的使用者。此使用者包括下列角色：support.admin和storage。監控。在設定密碼之前、此帳戶會停用。
監控	具有系統唯讀存取權的使用者。此使用者僅包含儲存設備監控角色。在設定密碼之前、此帳戶會停用。
RW（舊陣列的舊版）	RW（讀取/寫入）使用者包括下列角色：儲存區.admin、support.admin及儲存區.Monitor。在設定密碼之前、此帳戶會停用。
RO（舊陣列的舊版）	RO（唯讀）使用者僅包含儲存設備。監控角色。在設定密碼之前、此帳戶會停用。

預先定義的使用者登入

說明

管理

超級管理員、可存取所有功能並包含所有角色。對於Unified Manager、您必須在首次登入時設定密碼。

儲存設備

負責所有儲存資源配置的管理員。此使用者包括下列角色：儲存設備管理員、support.admin及儲存設備監控。在設定密碼之前、此帳戶會停用。

安全性

負責安全組態的使用者。此使用者包括下列角色：Security、admin和storage、監控。在設定密碼之前、此帳戶會停用。

支援

負責硬體資源、故障資料和韌體升級的使用者。此使用者包括下列角色：support.admin和storage。監控。在設定密碼之前、此帳戶會停用。

監控

具有系統唯讀存取權的使用者。此使用者僅包含儲存設備監控角色。在設定密碼之前、此帳戶會停用。

RW（舊陣列的舊版）

RW（讀取/寫入）使用者包括下列角色：儲存區.admin、support.admin及儲存區.Monitor。在設定密碼之前、此帳戶會停用。

RO（舊陣列的舊版）

RO（唯讀）使用者僅包含儲存設備。監控角色。在設定密碼之前、此帳戶會停用。

密碼加密

對於每個密碼、您可以使用現有的SHA256密碼編碼來套用額外的加密程序。這項額外的加密程序會針對每個SHA256雜湊加密、隨機套用一組位元組至每個密碼（SALT）。Salted SHA256加密會套用至所有新建立的密碼。

在Web Services Proxy 3.0發行之前、密碼只能透過SHA256雜湊進行加密。任何現有的SHA256純雜湊加密密碼都會保留此編碼、而且在users.properties檔案下仍然有效。不過、SHA256純雜湊加密密碼不如使用Salted SHA256加密的密碼安全。

基本驗證

根據預設、會啟用基本驗證、這表示伺服器會傳回基本驗證挑戰。此設定可在wsconfig.xml檔案中變更。

LDAP

輕量型目錄存取傳輸協定（LDAP）是一種用於存取及維護分散式目錄資訊服務的應用程式傳輸協定、可用於Web服務Proxy。LDAP整合可讓使用者驗證角色、並將角色對應至群組。

如需設定LDAP功能的相關資訊、請參閱Unified Manager介面或互動式API文件的LDAP區段中的組態選項。

設定使用者存取權

您可以對密碼套用額外加密、設定基本驗證、以及定義角色型存取、藉此管理使用者存取。

對密碼套用額外加密

為了達到最高安全等級、您可以使用現有的SHA256密碼編碼、對密碼套用額外的加密。

這項額外的加密程序會針對每個SHA256雜湊加密、隨機套用一組位元組至每個密碼（SALT）。Salted SHA256加密會套用至所有新建立的密碼。

步驟

開啟users.properties檔案、網址為：
- （Windows）- C：\Program Files\NetApp\SANtricity Web Services Proxy\data\config
- （Linux）-/opt/netapp/SANtricity網路服務Proxy /資料/組態
以純文字重新輸入加密密碼。
執行「Recurepasswds」命令列公用程式以重新加密密碼、或只要重新啟動Web Services Proxy即可。此公用程式安裝在Web Services Proxy的根安裝目錄中。

或者、只要透過Unified Manager執行密碼編輯、您就可以更改和散列本機使用者密碼。

設定基本驗證

預設會啟用基本驗證、這表示伺服器會傳回基本驗證挑戰。如果需要、您可以在wsconfig.xml檔案中變更該設定。

開啟wsconfig.xml檔案、網址為：
- （Windows）- C：\Program Files\NetApp\SANtricity Web Services Proxy
- （Linux）-/opt/netapp/SANtricity _web_services代理
指定假（未啟用）或真（已啟用）、以修改檔案中的下列行。

例如：「<env key="enable-base-auth">true（真）」）
儲存檔案。
重新啟動Webserver服務、使變更生效。

設定角色型存取

若要限制使用者存取特定功能、您可以修改為每個使用者帳戶指定的角色。

Web服務Proxy包含角色型存取控制（RBAC）、其中的角色與預先定義的使用者相關聯。每個角色都會將權限授與特定層級的功能。您可以直接修改users.properties檔案、以變更指派給使用者帳戶的角色。

您也可以使用Unified Manager中的存取管理來變更使用者帳戶。如需詳細資訊、請參閱Unified Manager提供的線上說明。

步驟

開啟users.properties檔案、位於：
- （Windows）- C：\Program Files\NetApp\SANtricity Web Services Proxy\data\config
- （Linux）-/opt/netapp/SANtricity網路服務Proxy /資料/組態
找出您要修改的使用者帳戶（儲存、安全、監控、支援、RW、或RO)。

請勿修改管理使用者。這是擁有所有功能存取權的超級使用者。
視需要新增或移除指定的角色。

角色包括：
- 資訊安全管理：SSL與憑證管理。
- Storage．admin -對儲存系統組態的完整讀寫存取權。
- Storage．Monitor（儲存設備監控器）-唯讀存取、可檢視儲存系統資料。
- support.admin：存取儲存系統上的所有硬體資源、並支援AutoSupport 諸如恢復（ASUP）等作業。
  
  所有使用者（包括系統管理員）都需要儲存設備監控角色。
儲存檔案。