Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

啟用多因素驗證

貢獻者
PDF

多因素驗證( MFA )可讓您要求使用者提供兩種驗證方法來登入管理或資料 SVM 、以增強安全性。

關於這項工作

  • 您必須是叢集管理員才能執行此工作。

  • 如果您不確定要指派給登入帳戶的存取控制角色、可以使用 security login modify 命令以稍後新增角色。

    "修改指派給系統管理員的角色"

  • 如果您使用公開金鑰進行驗證、則必須先將公開金鑰與帳戶建立關聯、帳戶才能存取 SVM 。

    "將公開金鑰與使用者帳戶建立關聯"

    您可以在啟用帳戶存取之前或之後執行此工作。

  • 從S廳9.12.1開始ONTAP 、您可以使用FIDO2(Fast Identity Online)或個人身分驗證(PIV)驗證標準、將Yobikey硬體驗證裝置用於SSH用戶端MFA。

使用 SSH 公開金鑰和使用者密碼來啟用 MFA

從 ONTAP 9.3 開始、叢集管理員可以設定本機使用者帳戶、使用 SSH 公開金鑰和使用者密碼登入 MFA 。

  1. 使用 SSH 公開金鑰和使用者密碼、在本機使用者帳戶上啟用 MFA :

    security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method <password|publickey> -role admin -second-authentication-method <password|publickey>

    下列命令需要 SVM 系統管理員帳戶 admin2 使用預先定義的 admin 登入 SVM 的角色engData1 使用 SSH 公開金鑰和使用者密碼:

    cluster-1::> security login create -vserver engData1 -user-or-group-name admin2 -application ssh -authentication-method publickey -role admin -second-authentication-method password

Please enter a password for user 'admin2':
Please enter it again:
Warning: To use public-key authentication, you must create a public key for user "admin2".

使用 TOTP 啟用 MFA

從 ONTAP 9.13.1 開始、您可以要求本機使用者同時使用 SSH 公開金鑰或使用者密碼和時間型一次性密碼( TOTP )登入管理或資料 SVM 、以增強安全性。啟用 MFA 與 TOTP 的帳戶後、本機使用者必須登入 "完成組態設定"

TOTP 是一種電腦演算法、使用目前時間來產生一次性密碼。 如果使用 TOTP 、它永遠是 SSH 公開金鑰或使用者密碼之後的第二種驗證形式。

開始之前

您必須是儲存管理員才能執行這些工作。

步驟

您可以將 MFA 設為使用者密碼或 SSH 公開金鑰做為第一種驗證方法、並將 TOTP 設為第二種驗證方法。

使用使用者密碼和 TOTP 啟用 MFA

  1. 使用使用者密碼和 TOTP 啟用多因素驗證的使用者帳戶。

    • 適用於新使用者帳戶 *

      security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>

    • 適用於現有使用者帳戶 *

    security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method password -second-authentication-method totp -role <role> -comment <comment>

  2. 確認 MFA 已啟用 TOTP :

    security login show
使用 SSH 公開金鑰和 TOTP 啟用 MFA

  1. 使用 SSH 公開金鑰和 TOTP 啟用多因素驗證的使用者帳戶。

    • 適用於新使用者帳戶 *

      security login create -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>

    • 適用於現有使用者帳戶 *

    security login modify -vserver <svm_name> -user-or-group-name <user_or_group_name> -application ssh -authentication-method publickey -second-authentication-method totp -role <role> -comment <comment>

  2. 確認 MFA 已啟用 TOTP :

    security login show
完成後
相關資訊

深入瞭解 "支援多因素驗證ONTAP 功能(TR-4647)"