Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

安裝後組態

貢獻者
PDF

安裝並執行 ONTAP Mediator 服務後、必須在 ONTAP 儲存系統中執行其他組態工作、才能使用 Mediator 功能:

設定 ONTAP Mediator 安全性原則

ONTAP Mediator 伺服器支援數種可設定的安全性設定。所有設定的預設值都是以唯讀檔案提供 low_space_threshold_mib: 10

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml

放置在中的所有值 ontap_mediator.user_config.yaml 會覆寫預設值、並在所有 ONTAP Mediator 升級中維護。

修改之後 ontap_mediator.user_config.yaml、重新啟動 ONTAP Mediator 服務:

systemctl restart ontap_mediator

修改 ONTAP Mediator 屬性

如有需要,可修改本節所述的 ONTAP Mediator 屬性。

註 不應變更中的其他預設值 ontap_mediator.config.yaml,因為在 ONTAP Mediator 升級期間不會維護修改的值。

您可以將必要的變數複製到檔案中以覆寫預設設定,藉此修改 ONTAP Mediator 屬性 ontap_mediator.user_config.yaml

安裝協力廠商 SSL 憑證

如果您需要以協力廠商 SSL 憑證取代預設的自我簽署憑證,請修改下列檔案中的某些屬性:

  • /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml

  • /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini

這些檔案中的變數是用來控制 ONTAP Mediator 服務所使用的憑證檔案。

下表列出的預設變數會包含在檔案中 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml

變動 路徑

cert_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt

key_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

ca_cert_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt

ca_key_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key

ca_serial_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl

cert_valid_days

1095

x509_passin_pwd

pass:ontap

  • `cert_valid_days`用於設定用戶端憑證的到期日。最大值為三年( 1095 天)。

  • `x509_passin_pwd`是簽署用戶端憑證的密碼。

下表列出的預設變數會包含在檔案中 /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini

變動 路徑

mediator_cert

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt

mediator_key

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

ca_cert_path

/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt

如果您修改這些屬性,請重新啟動 ONTAP Mediator 服務以套用變更。如需如何以協力廠商憑證取代預設憑證的詳細指示,請參閱"以信任的第三方憑證取代自我簽署的憑證"

密碼攻擊保護

下列設定可防止暴力式密碼猜測攻擊。

若要啟用此功能,請設定和的 retry_limit`值 `window_seconds

範例:

  • 提供 5 分鐘的猜測時間、然後將計數重設為零故障:

    authentication_lock_window_seconds: 300

  • 如果在時間範圍內發生五次故障、請鎖定帳戶:

    authentication_retry_limit: 5

  • 設定在拒絕每次嘗試之前發生的延遲、以降低暴力式密碼猜測攻擊的影響、進而減緩攻擊速度。

    authentication_failure_delay_seconds: 5

    authentication_failure_delay_seconds: 0   # seconds (float) to delay failed auth attempts prior to response, 0 = no delay
authentication_lock_window_seconds: null  # seconds (int) since the oldest failure before resetting the retry counter, null = no window
authentication_retry_limit: null          # number of retries to allow before locking API access, null = unlimited

密碼複雜度規則

下列欄位可控制 ONTAP Mediator API 使用者帳戶的密碼複雜度規則。

password_min_length: 8

password_max_length: 64

password_uppercase_chars: 0    # min. uppercase characters

password_lowercase_chars: 1    # min. lowercase character

password_special_chars: 1      # min. non-letter, non-digit

password_nonletter_chars: 2    # min. non-letter characters (digits, specials, anything)

控制可用空間

有一些設定可控制磁碟上所需的可用空間 /opt/netapp/lib/ontap_mediator

如果空間低於設定的臨界值、服務將會發出警告事件。

low_space_threshold_mib: 10

控制保留記錄空間

reserve_log_space 是由特定設定所控制。根據預設, ONTAP Mediator 伺服器安裝會為記錄檔建立個別的磁碟空間。安裝程式會建立一個新的固定大小檔案、總共有 700 MB 的磁碟空間、以明確用於 Mediator 記錄。

若要停用此功能並使用預設磁碟空間、請執行下列步驟:

  1. 將 reserve_log_space 的值從 1 變更為 0 :

    /opt/netapp/lib/ontap_mediator/tools/mediator_env

  2. 重新啟動 Mediator :

    1. cat /opt/netapp/lib/ontap_mediator/tools/mediator_env | grep "RESERVE_LOG_SPACE"

      RESERVE_LOG_SPACE=0

    2. systemctl restart ontap_mediator

若要重新啟用此功能,請將值從 0 變更為 1 ,然後重新啟動 Mediator 。

註 在磁碟空間之間切換不會清除現有記錄。 切換並重新啟動 Mediator 之後、所有先前的記錄都會備份、然後移至目前的磁碟空間。