多管理員驗證總覽
-
此文件 PDF 的網站
- NAS儲存管理
個別的 PDF 文件集合
Creating your file...
從版本號《支援》9.11.1開始ONTAP 、您可以使用多管理員驗證(MAV)來確保特定作業(例如刪除磁碟區或Snapshot複本)只能在指定管理員核准後執行。如此可防止遭到入侵、惡意或缺乏經驗的系統管理員進行不必要的變更或刪除資料。
設定多管理員驗證包括:
初始設定之後、這些元素只能由MAV核准群組(MAV系統管理員)中的系統管理員修改。
啟用多管理員驗證時、每項受保護的作業都需要三個步驟才能完成:
-
當使用者啟動作業時 "已產生要求。"
-
在執行之前、請至少先執行一項 "MAV管理員必須核准。"
-
核准後、使用者即完成作業。
多管理員驗證不適用於涉及大量自動化的磁碟區或工作流程、因為每項自動化工作都需要核准才能完成作業。 如果您想要一起使用自動化和MAV、建議您針對特定的MAV作業使用查詢。例如、您可以申請 volume delete
MAV 規則僅適用於不涉及自動化的磁碟區、您可以指定具有特定命名方案的磁碟區。
如果您需要在未經MAV管理員核准的情況下停用多管理員驗證功能、請聯絡NetApp支援部門、並提及下列知識庫文章: "如何在無法使用MAV管理時停用多管理員驗證"。 |
多管理員驗證的運作方式
多管理員驗證包括:
-
一或多位系統管理員的群組、擁有核准和否決的權限。
-
_規則表_中的一組受保護作業或命令。
-
_規則engine _以識別及控制受保護作業的執行。
根據角色型存取控制(RBAC)規則、評估MAV規則。因此、執行或核准受保護作業的系統管理員必須已擁有這些作業的最低RBAC權限。 "深入瞭解RBAC。"
系統定義的規則
啟用多管理員驗證時、系統定義的規則(也稱為_guard rail _規則)會建立一組MAV作業、以控制規避MAV程序本身的風險。這些作業無法從規則表格中移除。啟用MAV之後、以星號()指定的作業在執行之前、必須先經過一或多位管理員的核准、 show*命令除外。
-
security multi-admin-verify modify
作業 *控制多管理員驗證功能的組態。
-
security multi-admin-verify approval-group
營運 *以多管理員驗證認證身分證明來控制系統管理員群組的成員資格。
-
security multi-admin-verify rule
營運 *控制需要多管理員驗證的命令集。
-
security multi-admin-verify request
營運控制核准程序。
受規則保護的命令
除了系統定義的命令之外、在啟用多管理員驗證時、預設會保護下列命令、但您可以修改規則、以移除這些命令的保護。
-
security login password
-
security login unlock
-
set
下列命令可在ONTAP 更新版本的版本中獲得保護。
|
|
從 ONTAP 9.13.1 開始、可以保護下列命令:
-
volume snaplock modify
-
security anti-ransomware volume attack clear-suspect
-
security anti-ransomware volume disable
-
security anti-ransomware volume pause
從 ONTAP 9.14.1 開始、可以保護下列命令:
-
volume recovery-queue modify
-
volume recovery-queue purge
-
volume recovery-queue purge-all
-
vserver modify
多管理員核准的運作方式
只要在受MAV保護的叢集上輸入受保護的作業、就會將作業執行要求傳送至指定的MAV系統管理員群組。
您可以設定:
-
MAV群組中的系統管理員名稱、聯絡資訊和數量。
MAV管理員應具備具備叢集管理員權限的RBAC角色。
-
MAV系統管理員群組的數目。
-
每個受保護的作業規則都會指派一個MAV群組。
-
對於多個MAV群組、您可以設定哪個MAV群組核准特定規則。
-
-
執行受保護作業所需的MAV核准數。
-
MAV管理員必須在_核准到期_期間內回應核准要求。
-
執行過期_期間、要求的系統管理員必須在此期間內完成作業。
設定這些參數後、必須取得MAV核准才能加以修改。
MAV系統管理員無法核准自己執行受保護作業的要求。因此:
-
不應在只有一位系統管理員的叢集上啟用MAV。
-
如果MAV群組中只有一個人、則MAV管理員無法進入受保護的作業;一般管理員必須輸入這些作業、MAV管理員只能核准。
-
如果您想讓MAV管理員能夠執行受保護的作業、則MAV管理員人數必須大於所需的核准人數。 例如、如果受保護的作業需要兩次核准、而您希望MAV系統管理員執行這些核准、則MAV系統管理員群組中必須有三位人員。
MAV系統管理員可以接收電子郵件警示中的核准要求(使用EMS)、也可以查詢要求佇列。 當他們收到要求時、可以採取下列三種行動之一:
-
核准
-
拒絕(否決)
-
忽略(無行動)
在下列情況下、電子郵件通知會傳送給與MAV規則相關的所有核准者:
-
隨即建立要求。
-
申請已核准或遭否決。
-
系統會執行核准的申請。
如果申請者在該作業的同一個核准群組中、他們會在申請獲得核准時收到一封電子郵件。
*附註:*申請者無法核准自己的申請、即使他們是在核准群組中。但他們可以收到電子郵件通知。不在核准群組中的申請者(即非MAV系統管理員)不會收到電子郵件通知。
受保護的作業執行方式
如果已核准執行受保護的作業、則要求的使用者會在收到提示時繼續執行該作業。如果作業遭否決、申請使用者必須先刪除申請、然後再繼續。
MAV規則會在RBAC權限之後評估。因此、沒有足夠RBAC權限執行作業的使用者無法啟動MAV要求程序。