Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

管理ONTAP 「協調器」服務

貢獻者
PDF

管理 ONTAP Mediator 服務、包括變更使用者認證、停止及重新啟用服務、驗證其健全狀況、以及安裝或解除安裝 SCST 以進行主機維護。您也可以管理憑證、例如重新產生自我簽署的憑證、以信任的協力廠商憑證取代它們、以及疑難排解憑證相關問題。

變更使用者名稱

您可以使用下列程序變更使用者名稱。

關於這項工作

在安裝 ONTAP Mediator 服務的 Linux 主機上執行此工作。

如果無法連線至此命令、您可能需要使用完整路徑來執行命令、如下列範例所示:

/usr/local/bin/mediator_username

步驟

選擇下列其中一個選項來變更使用者名稱:

  • * 選項( a ) * :執行命令 mediator_change_user 並回應下列範例所示的提示:

     [root@mediator-host ~]# mediator_change_user
 Modify the Mediator API username by entering the following values:
     Mediator API User Name: mediatoradmin
                   Password:
 New Mediator API User Name: mediator
 The account username has been modified successfully.
 [root@mediator-host ~]#

  • * 選項( b ) * :執行下列命令:

    MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user
 The account username has been modified successfully.
 [root@mediator-host ~]#

變更密碼

您可以使用下列程序變更密碼。

關於這項工作

在安裝 ONTAP Mediator 服務的 Linux 主機上執行此工作。

如果無法連線至此命令、您可能需要使用完整路徑來執行命令、如下列範例所示:

/usr/local/bin/mediator_change_password

步驟

選擇下列其中一個選項來變更密碼:

  • * 選項( a ) * :執行 mediator_change_password 命令並回應提示、如下列範例所示:

     [root@mediator-host ~]# mediator_change_password
 Change the Mediator API password by entering the following values:
    Mediator API User Name: mediatoradmin
              Old Password:
              New Password:
          Confirm Password:
 The password has been updated successfully.
 [root@mediator-host ~]#

  • * 選項( b ) * :執行下列命令:

    MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password

    範例顯示密碼已從「 media1 」變更為「 media2 」。

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password
 The password has been updated successfully.
 [root@mediator-host ~]#

停止 ONTAP Mediator 服務

若要停止 ONTAP Mediator 服務、請執行下列步驟:

步驟

  1. 停止 ONTAP Mediator :

    systemctl stop ontap_mediator

  2. 停止 SCST :

    systemctl stop mediator-scst

  3. 停用 ONTAP Mediator 和 SCST :

    systemctl diable ontap_mediator mediator-scst

重新啟用 ONTAP Mediator 服務

若要重新啟用 ONTAP Mediator 服務、請執行下列步驟:

步驟

  1. 啟用 ONTAP Mediator 和 SCST :

    systemctl enable ontap_mediator mediator-scst

  2. 啟動 SCST :

    systemctl start mediator-scst

  3. 啟動 ONTAP Mediator :

    systemctl start ontap_mediator

驗證 ONTAP Mediator 是否正常運作

安裝 ONTAP Mediator 之後、您應該確認 ONTAP Mediator 服務正在執行中。

步驟

  1. 檢視 ONTAP Mediator 服務的狀態:

    1. systemctl status ontap_mediator

      [root@scspr1915530002 ~]# systemctl status ontap_mediator

 ontap_mediator.service - ONTAP Mediator
Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled)
Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago
Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS)
Main PID: 286712 (uwsgi)
Status: "uWSGI is ready"
Tasks: 3 (limit: 49473)
Memory: 139.2M
CGroup: /system.slice/ontap_mediator.service
      ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini

[root@scspr1915530002 ~]#

    2. systemctl status mediator-scst

      [root@scspr1915530002 ~]# systemctl status mediator-scst
   Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled)
   Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago
  Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS)
 Main PID: 286662 (iscsi-scstd)
    Tasks: 1 (limit: 49473)
   Memory: 1.2M
   CGroup: /system.slice/mediator-scst.service
           └─286662 /usr/local/sbin/iscsi-scstd

[root@scspr1915530002 ~]#

  2. 確認 ONTAP Mediator 服務使用的連接埠:

    netstat

    [root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784'

         tcp   0   0 0.0.0.0:31784   0.0.0.0:*      LISTEN

         tcp   0   0 0.0.0.0:3260    0.0.0.0:*      LISTEN

         tcp6  0   0 :::3260         :::*           LISTEN

手動解除安裝 SCST 以執行主機維護

若要解除安裝 SCST 、您需要用於已安裝 ONTAP Mediator 版本的 SCST tar 套件。

步驟

  1. 下載適當的 SCST 套裝組合(如下表所示)並將其解壓縮。

    對於此版本 …​

    使用此 tar 套裝組合 …​

    ONTAP Mediator 1.8

    scst-3.8.0.tar.bz2

    ONTAP Mediator 1.7

    scst-3.7.0.tar.bz2

    ONTAP Mediator 1.6

    scst-3.7.0.tar.bz2

    ONTAP Mediator 1.5

    scst-3.6.0.tar.bz2

    ONTAP Mediator 1.4

    scst-3.6.0.tar.bz2

    ONTAP Mediator 1.3

    scst-3.5.0.tar.bz2

    ONTAP Mediator 1.1

    scst-3.4.0.tar.bz2

    ONTAP Mediator 1.0

    scst-3.3.0.tar.bz2

  2. 在 "scst" 目錄中輸入下列命令:

    1. systemctl stop mediator-scst

    2. make scstadm_uninstall

    3. make iscsi_uninstall

    4. make usr_uninstall

    5. make scst_uninstall

    6. depmod

手動安裝 SCST 以執行主機維護

若要手動安裝 SCST 、您需要用於已安裝 ONTAP Mediator 版本的 SCST tar 套件(請參閱 上表)。

  1. 在 "scst" 目錄中輸入下列命令:

    1. make 2release

    2. make scst_install

    3. make usr_install

    4. make iscsi_install

    5. make scstadm_install

    6. depmod

    7. cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/.

    8. cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/.

    9. patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch

  2. 或者、如果已啟用安全開機、請在重新開機之前執行下列步驟:

    1. 決定「 scst_vdisk 」、「 scst 」和「 iscsim_scst 」模組的每個檔案名稱:

      [root@localhost ~]# modinfo -n scst_vdisk
[root@localhost ~]# modinfo -n scst
[root@localhost ~]# modinfo -n iscsi_scst

    2. 決定核心版本:

      [root@localhost ~]# uname -r

    3. 使用核心簽署每個檔案:

      [root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \
_module-filename_

    4. 使用 UEFI 韌體安裝正確的金鑰。

      有關安裝 UEFI 金鑰的說明、請參閱:

      /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing

      產生的 UEFI 金鑰位於:

    /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der

  3. 執行重新開機:

    reboot

解除安裝ONTAP 「BMC Service」

如有必要、您可以移除ONTAP 「資訊調解器」服務。

開始之前

在您移除 ONTAP Mediator 服務之前、必須先中斷 ONTAP Mediator 與 ONTAP 的連線。

關於這項工作

您需要在安裝 ONTAP Mediator 服務的 Linux 主機上執行此工作。

如果無法連線至此命令、您可能需要使用完整路徑來執行命令、如下列範例所示:

/usr/local/bin/uninstall_ontap_mediator

步驟

  1. 解除安裝ONTAP 《BMC Service:

    uninstall_ontap_mediator

     [root@mediator-host ~]# uninstall_ontap_mediator

 ONTAP Mediator: Self Extracting Uninstaller

 + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log)
 + Remove successful.
 [root@mediator-host ~]#

重新產生暫時自我簽署的憑證

您可以使用下列程序重新產生暫時自我簽署的憑證。

關於這項工作

  • 您可以在安裝 ONTAP Mediator 服務的 Linux 主機上執行此工作。

  • 只有在安裝 ONTAP Mediator 之後、由於主機的主機名稱或 IP 位址變更而產生的自我簽署憑證已過時時、才能執行此工作。

  • 當暫時自我簽署的憑證已由信任的協力廠商憑證取代之後、您不會使用此工作來重新產生憑證。如果沒有自我簽署的憑證、將導致此程序失敗。

步驟

若要為目前主機重新產生新的暫時自我簽署憑證、請執行下列步驟:

  1. 重新啟動 ONTAP Mediator 服務:

    ./make_self_signed_certs.sh overwrite

    [root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite

Adding Subject Alternative Names to the self-signed server certificate
#
# OpenSSL example configuration file.
Generating self-signed certificates
Generating RSA private key, 4096 bit long modulus (2 primes)
..................................................................................................................................................................++++
........................................................++++
e is 65537 (0x010001)
Generating a RSA private key
................................................++++
.............................................................................................................................................++++
writing new private key to 'ontap_mediator_server.key'
-----
Signature ok
subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com
Getting CA Private Key

以信任的協力廠商憑證取代自我簽署的憑證

您可以使用信任的協力廠商憑證來取代自我簽署的憑證。

關於這項工作

  • 您可以在安裝 ONTAP Mediator 服務的 Linux 主機上執行此工作。

  • 如果產生的自我簽署憑證需要由從信任的次級憑證授權單位( CA )取得的憑證所取代、您可以執行此工作。若要達成此目標、您應該可以存取信任的公開金鑰基礎架構( PKI )授權。

步驟 1 :從發行 CA 憑證的協力廠商取得憑證

您可以使用下列程序從 PKI 授權單位取得憑證。

以下範例示範如何取代自我簽署的憑證參與者、也就是 ca.keyca.csrca.srl`和 `ca.crt 位於 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ 與第三方憑證參與者合作。

註 此範例說明 ONTAP Mediator 服務所需憑證的必要準則。您可以使用與此程序不同的方式、從 PKI 授權單位取得憑證。根據您的業務需求調整程序。
步驟

  1. 建立私密金鑰 ca.key 和組態檔案 openssl_ca.cnf 這將由 PKI 授權單位用來產生憑證。

    1. 產生私密金鑰 ca.key

      • 範例 *

    openssl genrsa -aes256 -out ca.key 4096

    1. 組態檔案 openssl_ca.cnf (位於 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf)定義產生的憑證必須具有的內容。

  2. 使用私密金鑰和組態檔案來建立憑證簽署要求 ca.csr`

    範例:

    openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr
Enter pass phrase for ca.key:
[root@scs000216655 server_config]# cat ca.csr
-----BEGIN CERTIFICATE REQUEST-----
MIIE6TCCAtECAQAwgaMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlh
...
erARKhY9z0e8BHPl3g==
-----END CERTIFICATE REQUEST-----

  3. 傳送憑證簽署要求 ca.csr 提供給 PKI 授權單位以供其簽署。

    PKI 授權單位會驗證要求並簽署 .csr,生成證書 ca.crt

    註 對於 SnapMirror Business Continuity ( SM-BC )叢集、您必須新增憑證 ca.crt 至 ONTAP 叢集。請參閱 "為 SMBC 設定 ONTAP Mediator 和叢集"

步驟 2 :使用協力廠商 CA 認證簽署以產生伺服器憑證

伺服器憑證必須由私密金鑰簽署 ca.key 和第三方憑證 ca.crt。此外、組態檔案 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf 包含特定屬性、可指定由 OpenSSL 發行的伺服器憑證所需的內容。

下列命令可產生伺服器憑證。

步驟

若要產生伺服器憑證、請從資料夾執行下列命令 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

-CAcreateserial 選項用於產生檔案 ca.srl

步驟 3 :在 ONTAP Mediator 組態中取代新的協力廠商 CA 憑證和伺服器憑證

憑證組態會提供給位於的組態檔案中的 ONTAP Mediator 服務 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml。檔案包含下列屬性:

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'

  • cert_pathkey_path 為伺服器憑證變數。

  • ca_cert_pathca_key_path`和 `ca_serial_path 為 CA 憑證變數。

步驟

  1. 更換 ca.* 具有協力廠商憑證的檔案。

  2. 重新啟動 ONTAP Mediator :

    systemctl restart ontap_mediator

步驟 4 :選擇性地為協力廠商憑證使用不同的路徑或名稱

您可以使用其他名稱的協力廠商憑證 ca.* 或是將協力廠商憑證儲存在不同的位置。

步驟

  1. 設定檔案 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml 以覆寫中的預設變數值 ontap_mediator.config.yaml 檔案:

    例如、如果您取得 intermediate.crt 並儲存其私密金鑰 intermediate.key 和憑證簽署要求 intermediate.csr 在某個位置 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config,則 user_config 檔案應如下所示:

    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml

# This config file can be used to override the default settings in ontap_mediator.config.yaml
# To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
# set the property to the desired value. e.g.,
#
# The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
#
# To override this value with 6 mailboxes per target, add the following key/value pair
# below this comment:
#
# 'default_mailboxes_per_target': 6
#
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'

  2. 在組態檔中更新憑證時、請重新啟動 ONTAP Mediator :

    systemctl restart ontap_mediator

疑難排解憑證相關問題

您可以檢查憑證的某些內容。

驗證憑證過期

使用下列命令識別憑證有效範圍:

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT

驗證 CA 認證中的 X509v3 延伸

使用下列命令來驗證 CA 認證中的 X509v3 延伸。

中定義的內容 v3_ca 在中 openssl_ca.cnf 顯示為 X509v3 extensions 在中 ca.crt

[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign

驗證伺服器憑證和主體替代名稱中的 X509v3 副檔名

v3_req 中定義的內容 openssl_server.cnf 組態檔案會顯示為 X509v3 extensions 在憑證中。

在下列範例中、您可以取得中的變數 alt_names 執行命令的區段 hostname -Ahostname -I 在安裝 ONTAP Mediator 的 Linux VM 上。

請洽詢您的網路管理員、以取得正確的變數值。

[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd

確認私密金鑰與憑證相符

您可以驗證特定私密金鑰是否與憑證相符。

請分別在金鑰和憑證上使用下列 OpenSSL 命令:

[root@scs000216982 server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5
Enter pass phrase for intermediate.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@scs000216982 server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc

如果是 -modulus 這兩種配對的屬性都表示私密金鑰與憑證配對是相容的、可以彼此搭配使用。

確認伺服器憑證是從特定 CA 憑證建立

您可以使用下列命令來驗證伺服器憑證是從特定 CA 憑證建立的。

[root@scs000216982 server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK

如果正在使用線上憑證狀態傳輸協定( OCSP )驗證、請使用命令 "openssl 驗證"