安全性
您可以執行多項相關工作、以確保ONTAP Select 實現一套完整的功能部署。
變更部署管理員密碼
您可以使用Web使用者介面、視需要變更部署虛擬機器管理員帳戶的密碼。
-
使用系統管理員帳戶登入部署公用程式Web使用者介面。
-
按一下頁面右上角的圖示、然後選取*變更密碼*。
-
根據提示提供目前和新的密碼、然後按一下「提交」。
新增管理伺服器帳戶
您可以將管理伺服器帳戶新增至部署認證存放區資料庫。
您應該熟悉認證類型、以及ONTAP Select 如何使用這些認證資料來進行部署。
-
使用系統管理員帳戶登入部署公用程式Web使用者介面。
-
按一下頁面頂端的*管理*索引標籤。
-
按一下「管理伺服器」、然後按一下「*新增vCenter *」。
-
輸入下列資訊、然後按一下「新增」。
在此欄位中… 請執行下列動作… 名稱/ IP位址
提供vCenter伺服器的網域名稱或IP位址。
使用者名稱
輸入帳戶使用者名稱以存取vCenter。
密碼
輸入相關使用者名稱的密碼。
-
新增管理伺服器之後,您可以選擇性地按一下並選取下列其中一項:
-
更新認證資料
-
驗證認證資料
-
移除管理伺服器
-
設定MFA 功能
從 ONTAP Select 9.13.1 開始、 ONTAP Select Deploy 系統管理員帳戶支援多因素驗證( MFA ):
ONTAP Select 使用 YobiKey PIV 或 FIDO2 驗證來部署 CLI MFA 登入
YibKeyPIV
設定 YobiKey PIN ,並使用中的步驟,產生或匯入遠端支援代理程式( RSA )或省略曲線數位簽章演算法( ECDSA )私密金鑰和憑證"TR-4647 : ONTAP 中的多因素驗證"。
-
適用於 Windows :技術報告的「 * 適用於 Windows* 的 YubKeyPIV 用戶端組態」一節。
-
對於 MacOS :技術報告的 * YobiKey PIV 用戶端組態(適用於 MAC OS 和 Linux* )一節。
FIDO2
如果您選擇選擇使用 YubiKey FIDO2 驗證、請使用 YubiKey Manager 來設定 YubiKey FIDO2 PIN 、並使用適用於 Windows 的 PuTTY-CAC (通用存取卡)或適用於 MacOS 的 ssh-keygen 來產生 FIDO2 金鑰。要執行此操作的步驟請參閱技術報告"TR-4647 : ONTAP 中的多因素驗證"。
-
Windows :技術報告的「 * 適用於 Windows* 的 YubKeyFIDO2 用戶端組態」一節。
-
MacOS :技術報告的 * YubKeyFIDO2 用戶端組態(適用於 Mac OS 和 Linux* )一節。
取得 YobiKey PIV 或 FIDO2 公開金鑰
取得公開金鑰取決於您是 Windows 或 MacOS 用戶端、以及您是否使用 PIV 或 FIDO2 。
-
使用 SSH 下的 * 複製到剪貼簿 * 功能、匯出 PIV 公開金鑰、如 TR-4647 第 16 頁 * 設定 Windows PuTTY-CAC SSH Client for YubiKey PIV Authentication* 一節所述。
-
使用 SSH 下的 * 複製到剪貼簿 * 功能、匯出 FIDO2 公開金鑰、如 TR-4647 第 30 頁 * 設定 Windows PuTTY-CAC SSH Client for YubiKey FIDO2 Authentication* 一節所述。
-
如 TR-4647 第 24 頁 * 設定 Mac OS 或 Linux SSH Client for YobiKey PIV 驗證 * 一節所述,應使用命令匯出 PIV 公開金鑰
ssh-keygen -e
。 -
FIDO2 公開金鑰位於檔案或
id_edd519_sk.pub`檔案中 `id_ecdsa_sk.pub
,視您使用 ECDSA 或 EDD519 而定,如 TR-4647 第 39 頁 * 設定 YobiKey FIDO2 驗證 * 的 MAC OS 或 Linux SSH 用戶端一節所述。
在 ONTAP Select Deploy 中設定公開金鑰
SSH 是由系統管理員帳戶用於公開金鑰驗證方法。無論驗證方法是標準 SSH 公開金鑰驗證、還是 YubKeyPIV 或 FIDO2 驗證、所使用的命令都相同。
對於硬體型 SSH MFA 、除了在 ONTAP Select 部署上設定的公開金鑰外、驗證因素如下:
-
PIV 或 FIDO2 PIN
-
持有 YobiKey 硬體裝置。對於 FIDO2 、在驗證過程中實際接觸 YibiKey 即可確認這一點。
設定設定 YobiKey 的 PIV 或 FIDO2 公開金鑰。ONTAP Select Deploy CLI 命令 `security publickey add -key`與 PIV 或 FIDO2 相同,而且公開金鑰字串不同。
公開金鑰可從以下網址取得:
-
PIV 和 FIDO2 的 PTTY-CAC * 複製到剪貼簿 * 功能( Windows )
-
使用命令 for PIV 以 SSH 相容格式匯出公開金鑰
ssh-keygen -e
-
位於 FIDO2 ( MacOS )檔案中的公開金鑰檔案
~/.ssh/id_***_sk.pub
-
在檔案中尋找產生的金鑰
.ssh/id_***.pub
。 -
使用命令將產生的金鑰新增至 ONTAP Select Deploy
security publickey add -key <key>
。(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
使用命令啟用 MFA 驗證
security multifactor authentication enable
。(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
使用透過 SSH 的 YobiKey PIV 驗證登入 ONTAP Select 部署
您可以使用透過 SSH 的 YobiKey PIV 驗證登入 ONTAP Select 部署。
-
設定 YobiKey Token 、 SSH 用戶端和 ONTAP Select 部署之後、您可以透過 SSH 使用 MFA YobiKey PIV 驗證。
-
登入 ONTAP Select Deploy 。如果您使用的是 Windows PuTTY-CAC SSH 用戶端、會出現一個對話方塊、提示您輸入 YubiKey PIN 。
-
從裝置登入、並連接 YobiKey 。
login as: admin Authenticating with public key "<public_key>" Further authentication required <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
ONTAP Select 使用 ssh-keygen 部署 CLI MFA 登入
此 `ssh-keygen`命令是為 SSH 建立新驗證金鑰配對的工具。金鑰組用於自動化登入、單一登入和驗證主機。
此 `ssh-keygen`命令支援數種驗證金鑰的公開金鑰演算法。
-
使用選項選取演算法
-t
-
使用選項選取金鑰大小
-b
ssh-keygen -t ecdsa -b 521 ssh-keygen -t ed25519 ssh-keygen -t ecdsa
-
在檔案中尋找產生的金鑰
.ssh/id_***.pub
。 -
使用命令將產生的金鑰新增至 ONTAP Select Deploy
security publickey add -key <key>
。(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
使用命令啟用 MFA 驗證
security multifactor authentication enable
。(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
-
啟用 MFA 之後、登入 ONTAP Select 部署系統。您應該會收到類似下列範例的輸出。
[<user ID> ~]$ ssh <admin> Authenticated with partial success. <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
從 MFA 移轉至單一因素驗證
您可以使用下列方法停用部署系統管理員帳戶的 MFA :
-
如果您可以使用 Secure Shell ( SSH )以管理員身分登入部署 CLI ,請從部署 CLI 執行命令來停用 MFA
security multifactor authentication disable
。(ONTAPdeploy) security multifactor authentication disable MFA disabled Successfully
-
如果您無法使用 SSH 以系統管理員身分登入部署 CLI :
-
透過 vCenter 或 vSphere 連線至部署虛擬機器( VM )視訊主控台。
-
使用管理員帳戶登入部署 CLI 。
-
執行 `security multifactor authentication disable`命令。
Debian GNU/Linux 11 <user ID> tty1 <hostname> login: admin Password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy) security multifactor authentication disable MFA disabled successfully (ONTAPdeploy)
-
-
系統管理員可以使用下列項目刪除公開金鑰:
security publickey delete -key