Skip to main content
ONTAP Select
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

保護 ONTAP Select 部署

PDF

在確保 ONTAP Select 部署安全的過程中,您可以執行以下幾個相關任務。

變更 Deploy 管理員密碼

您可以根據需要使用 Web 使用者介面變更 Deploy 虛擬機器管理員帳戶的密碼。

步驟

  1. 使用管理員帳戶 Sign in Deploy 實用程式 Web 使用者介面。

  2. 點擊頁面右上角的圖示,然後選擇 Change Password

  3. 請按提示提供目前密碼和新密碼,然後點選 Submit

新增管理伺服器帳戶

您可以將管理伺服器帳戶新增至 Deploy 認證存放區資料庫。

開始之前

您應該熟悉 ONTAP Select Deploy 的認證類型及其使用方式。

步驟

  1. 使用管理員帳戶 Sign in Deploy 實用程式 Web 使用者介面。

  2. 點擊頁面頂部的 Administration 標籤。

  3. 按一下 Management Servers ,然後按一下 Add vCenter

  4. 輸入以下資訊,然後按一下 Add

    在此欄位中… 請執行以下操作…

    名稱 / IP 位址

    請提供 vCenter 伺服器的網域名稱或 IP 位址。

    使用者名稱

    輸入帳戶使用者名稱以存取 vCenter。

    密碼

    輸入相關使用者名稱的密碼。

  5. 新增新的管理伺服器後,您可以選擇性地按一下 選項 並選取下列其中一項:

    • 更新認證資料

    • 驗證認證資料

    • 移除管理伺服器

設定 MFA

從 ONTAP Select 9.13.1 開始,ONTAP Select Deploy 管理員帳戶支援多因素驗證(MFA):

ONTAP Select Deploy CLI MFA 登入,使用 YubiKey PIV 或 FIDO2 驗證

YubiKey PIV

配置 YubiKey PIN 碼,並依照 "TR-4647:ONTAP 中的多因素驗證" 中的步驟產生或匯入遠端支援代理程式(RSA)或橢圓曲線數位簽章演算法(ECDSA)私鑰和憑證。

  • 對於 Windows 系統:技術報告中的 YubiKey PIV Client configuration for Windows 部分。

  • 對於 MacOS:技術報告中的 YubiKey PIV 用戶端設定(適用於 MAC OS 和 Linux) 部分。

FIDO2

如果您選擇使用 YubiKey FIDO2 認證,請使用 YubiKey Manager 設定 YubiKey FIDO2 PIN,並使用適用於 Windows 的 PuTTY-CAC(Common Access Card)或適用於 MacOS 的 ssh-keygen 產生 FIDO2 金鑰。具體步驟請參閱技術報告 "TR-4647:ONTAP 中的多因素驗證"

  • 對於 Windows 系統:技術報告中的 *YubiKey FIDO2 用戶端 Windows 設定*部分。

  • 對於 MacOS:技術報告中的 YubiKey FIDO2 用戶端設定(適用於 Mac OS 和 Linux) 部分。

取得 YubiKey PIV 或 FIDO2 公鑰

取得公開金鑰取決於您是 Windows 用戶端還是 MacOS 用戶端,以及您使用的是 PIV 還是 FIDO2。

適用於 Windows :

  • 使用 SSH → Certificate 下的 Copy to Clipboard 功能匯出 PIV 公鑰,如 TR-4647 第 16 頁的 Configuring the Windows PuTTY-CAC SSH Client for YubiKey PIV Authentication 部分所述。

  • 使用 SSH → 憑證下的 複製到剪貼簿 功能匯出 FIDO2 公鑰,如 TR-4647 第 30 頁的 設定 Windows PuTTY-CAC SSH 用戶端以進行 YubiKey FIDO2 驗證 部分所述。

適用於 MacOS:

  • 應使用 `ssh-keygen -e`命令匯出 PIV 公鑰,如 TR-4647 第 24 頁*設定 Mac OS 或 Linux SSH 用戶端以進行 YubiKey PIV 驗證*部分中所述。

  • FIDO2 公開金鑰位於 id_ecdsa_sk.pub 檔案或 id_edd519_sk.pub 檔案中,取決於您使用的是 ECDSA 或 EDD519,如 TR-4647 第 39 頁的 設定 MAC OS 或 Linux SSH 用戶端以進行 YubiKey FIDO2 驗證 部分所述。

在 ONTAP Select Deploy 中設定公開金鑰

管理員帳戶使用 SSH 進行公開金鑰驗證方法。無論驗證方法是標準 SSH 公開金鑰驗證或 YubiKey PIV 或 FIDO2 驗證,所使用的命令都相同。

對於基於硬體的 SSH MFA,除了在 ONTAP Select Deploy 上設定的公開金鑰之外,驗證因素如下:

  • PIV 或 FIDO2 PIN

  • 擁有 YubiKey 硬體裝置。對於 FIDO2 而言,這是透過在驗證過程中實際觸碰 YubiKey 來確認的。

開始之前

設定為 YubiKey 配置的 PIV 或 FIDO2 公鑰。ONTAP Select Deploy CLI 指令 `security publickey add -key`對於 PIV 或 FIDO2 是相同的,但公鑰字串不同。

公開金鑰取得方式如下:

  • PuTTY-CAC for PIV 和 FIDO2 (Windows) 的 複製到剪貼簿 功能

  • 使用 ssh-keygen -e 指令以 SSH 相容格式匯出 PIV 的公開金鑰

  • FIDO2(MacOS)的 ~/.ssh/id_***_sk.pub 檔案中的公開金鑰檔案

步驟

  1. .ssh/id_***.pub 檔案中尋找產生的金鑰。

  2. 使用 security publickey add -key <key> 命令將產生的金鑰新增至 ONTAP Select Deploy。

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. 使用 security multifactor authentication enable 指令啟用 MFA 身份驗證。

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

使用 YubiKey PIV 驗證透過 SSH 登入 ONTAP Select Deploy

您可以使用 YubiKey PIV 驗證透過 SSH 登入 ONTAP Select Deploy。

步驟

  1. 設定好 YubiKey 權杖、SSH 用戶端和 ONTAP Select Deploy 後,即可透過 SSH 使用 MFA YubiKey PIV 驗證。

  2. 登入 ONTAP Select Deploy。如果您使用的是 Windows PuTTY-CAC SSH 用戶端,則會彈出對話方塊提示您輸入 YubiKey PIN 碼。

  3. 從已連接 YubiKey 的裝置登入。

範例輸出
login as: admin
Authenticating with public key "<public_key>"
Further authentication required
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

使用 ssh-keygen 的 ONTAP Select Deploy CLI MFA 登入

ssh-keygen 命令是一個用於建立新的 SSH 身份驗證金鑰對的工具。這些金鑰對用於自動化登入、單一登入和主機身份驗證。

`ssh-keygen` 命令支援多種用於身份驗證金鑰的公開金鑰演算法。

  • 演算法是透過 -t 選項選擇的。

  • 金鑰大小可透過 -b 選項選擇

範例輸出
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519
ssh-keygen -t ecdsa
步驟

  1. .ssh/id_***.pub 檔案中尋找產生的金鑰。

  2. 使用 security publickey add -key <key> 命令將產生的金鑰新增至 ONTAP Select Deploy。

    (ONTAPdeploy) security publickey add -key "ssh-rsa <key> user@netapp.com"

  3. 使用 security multifactor authentication enable 指令啟用 MFA 身份驗證。

    (ONTAPdeploy) security multifactor authentication enable
MFA enabled Successfully

  4. 啟用 MFA 後,登入 ONTAP Select Deploy 系統。您應該會看到類似以下範例的輸出。

    [<user ID> ~]$ ssh <admin>
Authenticated with partial success.
<admin>'s password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy)

從多因素驗證移轉至單一因素驗證

可以使用以下方法為 Deploy 管理員帳號停用 MFA:

  • 如果您可以使用安全殼層(SSH)以管理員身分登入 Deploy CLI,請從 Deploy CLI 執行 `security multifactor authentication disable`命令來停用 MFA。

    (ONTAPdeploy) security multifactor authentication disable
MFA disabled Successfully

  • 如果您無法使用 SSH 以管理員身分登入 Deploy CLI:

    1. 透過 vCenter 或 vSphere 連接到 Deploy 虛擬機器(VM)視訊主控台。

    2. 使用管理員帳戶登入 Deploy CLI。

    3. 執行 security multifactor authentication disable 命令。

      Debian GNU/Linux 11 <user ID> tty1

<hostname> login: admin
Password:

NetApp ONTAP Select Deploy Utility.
Copyright (C) NetApp Inc.
All rights reserved.

Version: NetApp Release 9.13.1 Build:6811765 08-17-2023 03:08:09

(ONTAPdeploy) security multifactor authentication disable
MFA disabled successfully

(ONTAPdeploy)

  • 管理員可以使用以下命令刪除公開金鑰:
    security publickey delete -key