Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

系統管理員驗證和RBAC組態工作表

貢獻者
PDF

在建立登入帳戶及設定角色型存取控制(RBAC)之前、您應該先收集組態工作表中每個項目的資訊。

建立或修改登入帳戶

您可以使用提供這些值 security login create 命令:當您啟用登入帳戶以存取儲存 VM 時。您可以使用提供相同的值 security login modify 命令:修改帳戶存取儲存 VM 的方式。

欄位

說明

您的價值

-vserver

帳戶存取的儲存 VM 名稱。預設值為叢集的管理儲存 VM 名稱。

-user-or-group-name

帳戶的使用者名稱或群組名稱。指定群組名稱可讓您存取群組中的每個使用者。您可以將使用者名稱或群組名稱與多個應用程式建立關聯。

-application

用於存取儲存 VM 的應用程式:

  • http

  • ontapi

  • snmp

  • ssh

-authmethod

用於驗證帳戶的方法:

  • cert 用於 SSL 憑證驗證

  • domain 用於 Active Directory 驗證

  • nsswitch 用於 LDAP 或 NIS 驗證

  • password 用於使用者密碼驗證

  • publickey 用於公開金鑰驗證

  • community 適用於 SNMP 社群字串

  • usm 適用於 SNMP 使用者安全模式

  • saml 用於安全聲明標記語言( SAML )驗證

-remote-switch-ipaddress

遠端交換器的IP位址。遠端交換器可以是由叢集交換器健全狀況監控器(CSHM)監控的叢集交換器、或MetroCluster 是由不健全狀況監控器(MCC-HM)監控的光纖通道(FC)交換器。此選項僅適用於應用程式 snmp 驗證方法是 usm

-role

指派給帳戶的存取控制角色:

  • 對於叢集(管理儲存 VM )、預設值為 admin

  • 對於資料儲存 VM 、預設值為 vsadmin

-comment

(選用)帳戶的說明文字。您應該以雙引號(")括住文字。

-is-ns-switch-group

帳戶是 LDAP 群組帳戶還是 NIS 群組帳戶 (yesno)。

-second-authentication-method

多因素驗證的第二種驗證方法:

  • none 如果不使用多因素驗證、則為預設值

  • publickey 用於公開金鑰驗證 authmethod 為密碼或 nsswitch

  • password 用於使用者密碼驗證 authmethod 為公開金鑰

  • nsswitch 驗證方法為 publickey 時用於使用者密碼驗證

驗證順序一律是公開金鑰、然後是密碼。

-is-ldap-fastbind

從「支援支援支援」9.11.1開始ONTAP 、設定為「真」時、會啟用LDAP快速連結以進行Nsswitch驗證;預設值為「假」。若要使用 LDAP 快速繫結、請使用 -authentication-method 值必須設定為 nsswitch"瞭解適用於Nsswitch驗證的LDAP fastbind。"

設定 Cisco 雙核心安全性資訊

您可以使用提供這些值 security login duo create 命令:當您啟用 Cisco 雙核心雙因素驗證、並以 SSH 登入儲存 VM 時。

欄位

說明

您的價值

-vserver

套用雙核心驗證設定的儲存 VM (在 ONTAP CLI 中稱為 vserver )。

-integration-key

您的整合金鑰是在向 DuoTM 註冊 SSH 應用程式時取得的。

-secret-key

您的秘密金鑰是在向 DuoTM 註冊 SSH 應用程式時取得的。

-api-host

API 主機名稱、是在使用 DuoTM 登錄 SSH 應用程式時取得的。例如:

api-<HOSTNAME>.duosecurity.com

-fail-mode

若發生服務或組態錯誤而無法進行雙核心驗證、則會失敗 safe (允許存取)或 secure (拒絕存取)。預設值為 `safe`這表示如果由於無法存取雙核心 API 伺服器等錯誤而失敗、就會略過雙核心驗證。

-http-proxy

使用指定的 HTTP Proxy 。如果 HTTP Proxy 需要驗證、請在 Proxy URL 中加入認證。例如:

http-proxy=http://username:password@proxy.example.org:8080

-autopush

也可以 truefalse。預設為 false。如果 true,雙核會自動將推入登錄請求發送至用戶的電話,如果推入不可用,則會恢復至電話呼叫。請注意、這會有效停用密碼驗證。如果 false,系統會提示使用者選擇驗證方法。

當設定為時 autopush = true、建議您進行設定 max-prompts = 1

-max-prompts

如果使用者無法以第二個因素驗證、則 DUO 會提示使用者再次驗證。此選項可設定在拒絕存取之前、 DUO 顯示的提示數量上限。必須是 12`或 `3。預設值為 1

例如、何時 max-prompts = 1,使用者必須在第一個提示字元上成功驗證,如果是的話 `max-prompts = 2`如果使用者在初始提示時輸入不正確的資訊、系統會提示使用者再次驗證。

當設定為時 autopush = true、建議您進行設定 max-prompts = 1

為了獲得最佳體驗、只有公共金鑰驗證的使用者將永遠擁有 max-prompts 設定為 1

-enabled

啟用雙核心雙因素驗證。設定為 true 依預設。啟用時、會根據設定的參數、在 SSH 登入期間強制執行雙核心雙因素驗證。當雙核心停用時(設為 false)、會忽略雙核心驗證。

-pushinfo

此選項會在推播通知中提供其他資訊、例如正在存取的應用程式或服務名稱。這有助於使用者驗證登入的服務是否正確、並提供額外的安全層。

定義自訂角色

您可以使用提供這些值 security login role create 命令:定義自訂角色。

欄位

說明

您的價值

-vserver

(選用)與角色相關聯的儲存 VM 名稱(在 ONTAP CLI 中稱為 vserver )。

-role

角色名稱。

-cmddirname

角色提供存取權的命令或命令目錄。您應該以雙引號(")括住命令子目錄名稱。例如、 "volume snapshot"。您必須輸入 DEFAULT 指定所有命令目錄。

-access

(選用)角色的存取層級。對於命令目錄:

  • none (自訂角色的預設值)會拒絕存取命令目錄中的命令

  • readonly 授予存取權 show 命令目錄及其子目錄中的命令

  • all 授予對命令目錄及其子目錄中所有命令的存取權

用於 _nonnonnalin 命令 _ (不以結尾的命令) createmodifydelete`或 `show):

  • none (自訂角色的預設值)拒絕存取命令

  • readonly 不適用

  • all 授予對命令的存取權

若要授與或拒絕內部命令的存取權、您必須指定命令目錄。

-query

(選用)用於篩選存取層級的查詢物件、其格式為命令的有效選項或命令目錄中的命令的有效選項。您應該以雙引號(")括住查詢物件。例如、如果命令目錄為 volume,查詢物件 "-aggr aggr0" 將啟用的存取 aggr0 僅 Aggregate 。

將公開金鑰與使用者帳戶建立關聯

您可以使用提供這些值 security login publickey create 命令:將 SSH 公開金鑰與使用者帳戶建立關聯。

欄位

說明

您的價值

-vserver

(選用)帳戶存取的儲存 VM 名稱。

-username

帳戶的使用者名稱。預設值、 admin,這是叢集管理員的預設名稱。

-index

公開金鑰的索引編號。如果金鑰是為帳戶建立的第一個金鑰、則預設值為0;否則、預設值大於該帳戶現有的最高索引編號。

-publickey

OpenSSH公開金鑰。您應該以雙引號(")括住金鑰。

-role

指派給帳戶的存取控制角色。

-comment

(選用)公開金鑰的說明文字。您應該以雙引號(")括住文字。

-x509-certificate

(選用)從 ONTAP 9.13.1 開始、可讓您管理與 SSH 公開金鑰的 X.509 憑證關聯。

當您將 X.509 憑證與 SSH 公開金鑰建立關聯時、 ONTAP 會在 SSH 登入時檢查此憑證是否有效。如果已過期或遭撤銷、則不允許登入、並停用相關的 SSH 公開金鑰。可能值:

  • install:安裝指定的 PEM 編碼的 X.509 憑證、並將其與 SSH 公開金鑰建立關聯。包含您要安裝之憑證的完整文字。

  • modify:使用指定的證書更新現有的 PEM 編碼的 X.509 證書,並將其與 SSH 公共密鑰相關聯。包含新憑證的完整文字。

  • delete:移除現有的 X.509 憑證與 SSH 公開金鑰的關聯。

設定動態授權全域設定

從 ONTAP 9.15.1 開始、您可以將這些值提供給 security dynamic-authorization modify 命令。如需動態授權組態的詳細資訊、請參閱 "動態授權總覽"

欄位

說明

您的價值

-vserver

應修改其信任分數設定的儲存 VM 名稱。如果省略此參數、則會使用叢集層級的設定。

-state

動態授權模式。可能值:

  • disabled:(預設)停用動態授權。

  • visibility:此模式可用於測試動態授權。在此模式中、信任分數會針對每個受限活動進行檢查、但不會強制執行。但是、任何會被拒絕或受到其他驗證挑戰的活動都會記錄下來。

  • enforced:在您完成測試之後、請使用 visibility 模式。在此模式中、每個受限活動都會檢查信任分數、如果符合限制條件、則會強制執行活動限制。也會強制執行抑制間隔、以防止在指定時間間隔內發生其他驗證挑戰。

-suppression-interval

防止在指定時間間隔內發生其他驗證挑戰。時間間隔為 ISO-8601 格式、可接受 1 分鐘至 1 小時的值(含 1 小時)。如果設為 0 、則會停用抑制時間間隔、並在需要驗證挑戰時一律提示使用者。

-lower-challenge-boundary

較低的多因素驗證( MFA )挑戰百分比界限。有效範圍為 0 到 99 。值 100 無效、因為這會導致拒絕所有要求。預設值為 0 。

-upper-challenge-boundary

MFA 上限挑戰百分比界限。有效範圍為 0 至 100 。此值必須等於或大於下限值。值為 100 表示每個要求都會遭到拒絕或受到額外的驗證挑戰;沒有任何要求會在沒有挑戰的情況下被允許。預設值為 90 。

安裝CA簽署的伺服器數位憑證

您可以使用提供這些值 security certificate generate-csr 命令:當您產生數位憑證簽署要求( CSR )、用於將儲存 VM 驗證為 SSL 伺服器時。

欄位

說明

您的價值

-common-name

憑證的名稱、可以是完整網域名稱(FQDN)或自訂通用名稱。

-size

私密金鑰中的位元數。價值越高、金鑰就越安全。預設值為 2048。可能的值包括 51210241536`和 `2048

-country

儲存 VM 的國家 / 地區、以兩個字母的代碼表示。預設值為 US。請參閱手冊頁以取得代碼清單。

-state

儲存 VM 的州或省。

-locality

儲存 VM 的位置。

-organization

儲存 VM 的組織。

-unit

儲存 VM 組織中的單位。

-email-addr

儲存 VM 連絡管理員的電子郵件地址。

-hash-function

用於簽署憑證的密碼編譯雜湊功能。預設值為 SHA256。可能的值包括 SHA1SHA256`和 `MD5

您可以使用提供這些值 security certificate install 命令:安裝 CA 簽署的數位憑證、以用於驗證叢集或儲存 VM 作為 SSL 伺服器。下表僅顯示與帳戶組態相關的選項。

欄位

說明

您的價值

-vserver

要安裝憑證的儲存 VM 名稱。

-type

憑證類型:

  • server 適用於伺服器憑證和中繼憑證

  • client-ca 用於 SSL 用戶端根 CA 的公開金鑰憑證

  • server-ca 用於 ONTAP 為用戶端之 SSL 伺服器根 CA 的公開金鑰憑證

  • client 適用於自我簽署或 CA 簽署的數位憑證、以及 ONTAP 做為 SSL 用戶端的私密金鑰

設定Active Directory網域控制器存取

您可以使用提供這些值 security login domain-tunnel create 命令:當您已為資料儲存 VM 設定 SMB 伺服器、並且想要將儲存 VM 設定為閘道或 tunnel 、以便 Active Directory 網域控制器存取叢集時。

欄位

說明

您的價值

-vserver

已設定 SMB 伺服器的儲存 VM 名稱。

您可以使用提供這些值 vserver active-directory create 當您尚未設定 SMB 伺服器且想要在 Active Directory 網域上建立儲存 VM 電腦帳戶時的命令。

欄位

說明

您的價值

-vserver

要為其建立 Active Directory 電腦帳戶的儲存 VM 名稱。

-account-name

電腦帳戶的NetBios名稱。

-domain

完整網域名稱(FQDN)。

-ou

網域中的組織單位。預設值為 CN=Computers。將此值附加到網域名稱、以產生Active Directory辨別名稱。ONTAP

設定LDAP或NIS伺服器存取

您可以使用提供這些值 vserver services name-service ldap client create 為儲存 VM 建立 LDAP 用戶端組態時的命令。

下表僅顯示與帳戶組態相關的選項:

欄位

說明

您的價值

-vserver

用戶端組態的儲存 VM 名稱。

-client-config

用戶端組態的名稱。

-ldap-servers

以逗號分隔的 IP 位址清單、以及用戶端所連線之 LDAP 伺服器的主機名稱。

-schema

用戶端用來進行LDAP查詢的架構。

-use-start-tls

用戶端是否使用 Start TLS 來加密與 LDAP 伺服器的通訊 (truefalse)。

註

支援 Start TLS 、僅能存取資料儲存 VM 。不支援存取管理儲存 VM 。

您可以使用提供這些值 vserver services name-service ldap create 將 LDAP 用戶端組態與儲存 VM 建立關聯時的命令。

欄位

說明

您的價值

-vserver

要與用戶端組態建立關聯的儲存 VM 名稱。

-client-config

用戶端組態的名稱。

-client-enabled

儲存 VM 是否可以使用 LDAP 用戶端組態 (truefalse)。

您可以使用提供這些值 vserver services name-service nis-domain create 在儲存 VM 上建立 NIS 網域組態時的命令。

欄位

說明

您的價值

-vserver

要在其中建立網域組態的儲存 VM 名稱。

-domain

網域名稱。

-servers

《S169.0、9.1:網域組態所使用之NIS伺服器的IP位址清單》。ONTAP

-nis-servers

網域組態所使用之 NIS 伺服器的 IP 位址和主機名稱的逗號分隔清單。

您可以使用提供這些值 vserver services name-service ns-switch create 命令:指定名稱服務來源的查詢順序。

欄位

說明

您的價值

-vserver

要設定名稱服務查詢順序的儲存 VM 名稱。

-database

名稱服務資料庫:

  • hosts 適用於檔案和 DNS 名稱服務

  • group 適用於檔案、 LDAP 和 NIS 名稱服務

  • passwd 適用於檔案、 LDAP 和 NIS 名稱服務

  • netgroup 適用於檔案、 LDAP 和 NIS 名稱服務

  • namemap 適用於檔案和 LDAP 名稱服務

-sources

查詢名稱服務來源的順序(在以逗號分隔的清單中):

  • files

  • dns

  • ldap

  • nis

設定SAML存取

從 ONTAP 9.3 開始、您可以將這些值提供給 security saml-sp create 用於設定 SAML 驗證的命令。

欄位

說明

您的價值

-idp-uri

身分識別供應商(IDP)主機的FTP位址或HTTP位址、可從該主機下載IDP中繼資料。

-sp-host

SAML服務供應商主機ONTAP (亦即系統)的主機名稱或IP位址。根據預設、會使用叢集管理LIF的IP位址。

-cert-ca-cert-serial`或 `-cert-common-name

服務供應商主機ONTAP 的伺服器認證詳細資料(不知系統如何)。您可以輸入服務供應商的憑證發行憑證授權單位(CA)和憑證序號、或是伺服器憑證一般名稱。

-verify-metadata-server

IDP 中繼資料伺服器的身分識別是否必須驗證 truefalse)。最佳實務做法是永遠將此值設為 true