保護ONTAP Select部署
建議變更
PDF
在保護ONTAP Select部署的過程中,您可以執行多項相關任務。
更改 Deploy 管理員密碼
您可以根據需要使用 Web 使用者介面變更 Deploy 虛擬機器管理員帳戶的密碼。
-
使用管理員帳戶Sign in部署公用程式 Web 使用者介面。
-
點擊頁面右上角的數字圖標,選擇*更改密碼*。
-
根據提示提供當前密碼和新密碼,然後按一下「提交」。
新增管理伺服器帳戶
您可以將管理伺服器帳戶新增至部署憑證儲存資料庫。
您應該熟悉憑證的類型以及ONTAP Select Deploy 如何使用它們。
-
使用管理員帳戶Sign in部署公用程式 Web 使用者介面。
-
點擊頁面頂部的“管理”標籤。
-
按一下“管理伺服器”,然後按一下“新增 vCenter”。
-
輸入以下資訊並點擊*新增*。
在這個領域… 執行以下操作… 名稱/IP 位址
提供 vCenter 伺服器的網域名稱或 IP 位址。
使用者名稱
輸入存取 vCenter 的帳戶使用者名稱。
密碼
輸入關聯使用者名稱的密碼。
-
新增新的管理伺服器後,您可以選擇點擊
並選擇以下選項之一:-
更新憑證
-
驗證憑證
-
刪除管理伺服器
-
配置 MFA
從ONTAP Select 9.13.1 開始, ONTAP Select Deploy 管理員帳戶支援多重驗證 (MFA):
ONTAP Select使用 YubiKey PIV 或 FIDO2 驗證部署 CLI MFA 登入
YubiKey PIV
配置 YubiKey PIN 並按照以下步驟產生或匯入遠端支援代理 (RSA) 或橢圓曲線數位簽章演算法 (ECDSA) 私鑰和憑證"TR-4647: ONTAP中的多因素身份驗證" 。
-
對於 Windows:技術報告的 YubiKey PIV 用戶端 Windows 配置 部分。
-
對於 MacOS:技術報告的 YubiKey PIV 用戶端設定(適用於 MAC OS 和 Linux) 部分。
FIDO2
如果您選擇使用 YubiKey FIDO2 驗證,請使用 YubiKey 管理器設定 YubiKey FIDO2 PIN 碼,並使用 PuTTY-CAC(通用存取卡) (Windows) 或 ssh-keygen (MacOS) 產生 FIDO2 金鑰。具體步驟請參閱技術報告。 "TR-4647: ONTAP中的多因素身份驗證" 。
-
對於 Windows:技術報告的 YubiKey FIDO2 用戶端配置(適用於 Windows) 部分。
-
對於 MacOS:技術報告的 YubiKey FIDO2 用戶端配置(適用於 Mac OS 和 Linux) 部分。
取得 YubiKey PIV 或 FIDO2 公鑰
取得公鑰取決於您是 Windows 還是 MacOS 用戶端,以及您是否使用 PIV 或 FIDO2。
-
依照 TR-4647 第 16 頁的*為 YubiKey PIV 驗證設定 Windows PuTTY-CAC SSH 用戶端*部分中的說明,使用 SSH → 憑證下的 複製到剪貼簿 功能匯出 PIV 公鑰。
-
依照 TR-4647 第 30 頁的*為 YubiKey FIDO2 驗證設定 Windows PuTTY-CAC SSH 用戶端*部分中的說明,使用 SSH → 憑證下的 複製到剪貼簿 功能匯出 FIDO2 公鑰。
-
PIV 公鑰應使用 `ssh-keygen -e`依照 TR-4647 第 24 頁的「為 YubiKey PIV 驗證設定 Mac OS 或 Linux SSH 用戶端」部分中的說明執行指令。
-
FIDO2 公鑰位於 `id_ecdsa_sk.pub`文件或 `id_edd519_sk.pub`文件,取決於您使用 ECDSA 還是 EDD519,如 TR-4647 第 39 頁的「為 YubiKey FIDO2 驗證配置 MAC OS 或 Linux SSH 用戶端」部分所述。
在ONTAP Select Deploy 中配置公鑰
管理員帳戶使用 SSH 進行公鑰驗證方法。無論身份驗證方法是標準 SSH 公鑰身份驗證還是 YubiKey PIV 或 FIDO2 身份驗證,使用的命令都是相同的。
對於基於硬體的 SSH MFA,除了在ONTAP Select Deploy 上配置的公鑰之外的身份驗證因素如下:
-
PIV 或 FIDO2 PIN
-
擁有 YubiKey 硬體設備。對於 FIDO2,透過在身份驗證過程中物理接觸 YubiKey 來確認。
設定針對 YubiKey 配置的 PIV 或 FIDO2 公鑰。 ONTAPONTAP Select Deploy CLI 指令 `security publickey add -key`對於PIV或FIDO2來說是一樣的,只是公鑰字串不同。
公鑰的取得方式如下:
-
PuTTY-CAC 的 PIV 和 FIDO2 的「複製到剪貼簿」功能(Windows)
-
使用 SSH 相容格式匯出公鑰
ssh-keygen -ePIV 命令 -
公鑰檔案位於
~/.ssh/id_***_sk.pubFIDO2 檔案(MacOS)
-
在 `.ssh/id_***.pub`文件。
-
ONTAP Select `security publickey add -key <key>`命令。
(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
使用 `security multifactor authentication enable`命令。
(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
使用 YubiKey PIV 驗證透過 SSH 登入ONTAP Select Deploy
您可以使用 YubiKey PIV 驗證透過 SSH 登入ONTAP Select Deploy。
-
配置 YubiKey 令牌、SSH 用戶端和ONTAP Select Deploy 後,您可以透過 SSH 使用 MFA YubiKey PIV 驗證。
-
登入ONTAP Select Deploy。如果您使用的是 Windows PuTTY-CAC SSH 用戶端,則會彈出一個對話框,提示您輸入 YubiKey PIN。
-
使用已連線的 YubiKey 從您的裝置登入。
login as: admin Authenticating with public key "<public_key>" Further authentication required <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
ONTAP Select使用 ssh-keygen 部署 CLI MFA 登入
這 `ssh-keygen`命令是一個用於為 SSH 建立新身份驗證金鑰對的工具。這些金鑰對可用於自動登入、單一登入以及主機驗證。
這 `ssh-keygen`命令支援多種用於身份驗證金鑰的公鑰演算法。
-
選擇演算法時 `-t`選項
-
密鑰大小是透過 `-b`選項
ssh-keygen -t ecdsa -b 521 ssh-keygen -t ed25519 ssh-keygen -t ecdsa
-
在 `.ssh/id_***.pub`文件。
-
ONTAP Select `security publickey add -key <key>`命令。
(ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"
-
使用 `security multifactor authentication enable`命令。
(ONTAPdeploy) security multifactor authentication enable MFA enabled Successfully
-
啟用 MFA 後登入ONTAP Select Deploy 系統。您應該會收到類似以下範例的輸出。
[<user ID> ~]$ ssh <admin> Authenticated with partial success. <admin>'s password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy)
從 MFA 遷移到單一因素身份驗證
可以使用以下方法為 Deploy 管理員帳號停用 MFA:
-
如果您可以使用安全殼層 (SSH) 以管理員身分登入 Deploy CLI,請透過執行下列命令停用 MFA `security multifactor authentication disable`來自 Deploy CLI 的命令。
(ONTAPdeploy) security multifactor authentication disable MFA disabled Successfully
-
如果您無法使用 SSH 以管理員身分登入 Deploy CLI:
-
透過 vCenter 或 vSphere 連接到 Deploy 虛擬機器 (VM) 視訊控制台。
-
使用管理員帳戶登入 Deploy CLI。
-
運行 `security multifactor authentication disable`命令。
Debian GNU/Linux 11 <user ID> tty1 <hostname> login: admin Password: NetApp ONTAP Select Deploy Utility. Copyright (C) NetApp Inc. All rights reserved. Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09 (ONTAPdeploy) security multifactor authentication disable MFA disabled successfully (ONTAPdeploy)
-
-
管理員可以使用以下命令刪除公鑰:
security publickey delete -key