使用 SSH 存取叢集
您可以向 ONTAP 叢集發出 SSH 要求、以執行管理工作。SSH 預設為啟用。
-
您必須擁有設定為使用的使用者帳戶
ssh
作為存取方法。`-application`命令參數[`security login`會指定使用者帳戶的存取方法。深入瞭解 ONTAP 命令參照中的連結: https://docs 。 NetApp 。 ONTAP 。 CLI/security-login-create.html#description[`security login`^] 命令。
-
如果您使用 Active Directory ( AD )網域使用者帳戶來存取叢集、則必須透過啟用 CIFS 的儲存 VM 來設定叢集的驗證通道、而且您的 AD 網域使用者帳戶也必須新增至具有的叢集
ssh
作為存取方法和domain
作為驗證方法。
-
您必須使用OpenSSH 5.7或更新版本的用戶端。
-
僅支援SSH v2傳輸協定;不支援SSH v1。
-
支援每個節點最多64個並行SSH工作階段。ONTAP
如果叢集管理LIF位於節點上、則會與節點管理LIF共用此限制。
如果傳入連線速度高於每秒10次、服務會暫時停用60秒。
-
支援SSH的AES和3DES加密演算法(也稱為_ciphers_)ONTAP 。
AES支援128、192和256位元金鑰長度。3DES的金鑰長度為56位元、與原始的DES相同、但會重複三次。
-
當FIPS模式開啟時、SSH用戶端應與省略曲線數位簽章演算法(ECDSA)公開金鑰演算法協商、以使連線成功。
-
如果您想ONTAP 要從Windows主機存取此功能、可以使用第三方公用程式、例如Putty。
-
如果您使用Windows AD使用者名稱登入ONTAP 到功能表、則應該使用在ONTAP 功能表中建立AD使用者名稱和網域名稱時所用的大小寫字母。
AD使用者名稱和網域名稱不區分大小寫。不過ONTAP 、不區分使用者名稱大小寫。使用者名稱ONTAP 若不相符、而使用者名稱與在AD中建立的使用者名稱不相符、將導致登入失敗。
-
從 ONTAP 9.3 開始、您可以 "啟用 SSH 多因素驗證" 適用於本機系統管理員帳戶。
啟用SSH多因素驗證時、使用者會使用公開金鑰和密碼進行驗證。
-
從 ONTAP 9.4 開始、您可以 "啟用 SSH 多因素驗證" 適用於 LDAP 和 NIS 遠端使用者。
-
從 ONTAP 9.13.1 開始、您可以選擇性地將憑證驗證新增至 SSH 驗證程序、以增強登入安全性。若要這麼做、 "將 X.509 憑證與公開金鑰建立關聯" 帳戶使用的。如果您同時使用 SSH 公開金鑰和 X.509 憑證登入、 ONTAP 會先檢查 X.509 憑證的有效性、然後再使用 SSH 公開金鑰進行驗證。如果該憑證已過期或撤銷、 SSH 公開金鑰會自動停用、則 SSH 登入會遭到拒絕。
-
從 ONTAP 9.14.1 開始、 ONTAP 系統管理員就可以 "將 Cisco 雙核心雙因素驗證新增至 SSH 驗證程序" 以增強登入安全性。啟用 Cisco 雙核心驗證之後、首次登入時、使用者必須註冊裝置、以作為 SSH 工作階段的驗證者。
-
從 ONTAP 9.15.1 開始、系統管理員就可以 "設定動態授權" 根據使用者的信任分數、為 SSH 使用者提供額外的自適應驗證。
-
從可存取 ONTAP 叢集網路的主機、輸入
ssh
命令的格式如下:-
ssh username@hostname_or_IP [command]
-
ssh -l username hostname_or_IP [command]
-
如果您使用的是 AD 網域使用者帳戶、則必須指定 username
的格式 domainname\\AD_accountname
(在網域名稱後面加上雙反斜線)或 "domainname\AD_accountname"
(以雙引號括住、並在網域名稱之後加上單一反斜線)。
hostname_or_IP
是叢集管理 LIF 或節點管理 LIF 的主機名稱或 IP 位址。建議使用叢集管理LIF。您可以使用IPv4或IPv6位址。
command
不需要 SSH 互動式工作階段。
下列範例顯示名為「'joe'」的使用者帳戶如何發出SSH要求、以存取叢集管理LIF為10.72.137.28的叢集:
$ ssh joe@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
下列範例顯示、名為「DOMAIN1」之網域中的「'John」使用者帳戶如何發出SSH要求、以存取叢集管理LIF為10.72.137.28的叢集:
$ ssh DOMAIN1\\john@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
下列範例顯示名為「'joe'」的使用者帳戶如何發出SSH MFA要求、以存取叢集管理LIF為10.72.137.32的叢集:
$ ssh joe@10.72.137.32 Authenticated with partial success. Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.