Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用 SSH 存取叢集

貢獻者
PDF

您可以向叢集發出SSH要求、以執行管理工作。SSH 預設為啟用。

您需要的產品

  • 您必須擁有設定為使用的使用者帳戶 ssh 作為存取方法。

    -application 的參數 security login 命令會指定使用者帳戶的存取方法。。 security login "手冊頁" 包含其他資訊。

  • 如果您使用 Active Directory ( AD )網域使用者帳戶來存取叢集、則必須透過啟用 CIFS 的儲存 VM 來設定叢集的驗證通道、而且您的 AD 網域使用者帳戶也必須新增至具有的叢集 ssh 作為存取方法和 domain 作為驗證方法。

  • 如果您使用IPv6連線、則必須在叢集上設定並啟用IPv6、而且防火牆原則必須已設定IPv6位址。

    network options ipv6 show 命令會顯示是否已啟用 IPv6 。。 system services firewall policy show 命令會顯示防火牆原則。

關於這項工作

  • 您必須使用OpenSSH 5.7或更新版本的用戶端。

  • 僅支援SSH v2傳輸協定;不支援SSH v1。

  • 支援每個節點最多64個並行SSH工作階段。ONTAP

    如果叢集管理LIF位於節點上、則會與節點管理LIF共用此限制。

    如果傳入連線速度高於每秒10次、服務會暫時停用60秒。

  • 支援SSH的AES和3DES加密演算法(也稱為_ciphers_)ONTAP 。

    AES支援128、192和256位元金鑰長度。3DES的金鑰長度為56位元、與原始的DES相同、但會重複三次。

  • 當FIPS模式開啟時、SSH用戶端應與省略曲線數位簽章演算法(ECDSA)公開金鑰演算法協商、以使連線成功。

  • 如果您想ONTAP 要從Windows主機存取此功能、可以使用第三方公用程式、例如Putty。

  • 如果您使用Windows AD使用者名稱登入ONTAP 到功能表、則應該使用在ONTAP 功能表中建立AD使用者名稱和網域名稱時所用的大小寫字母。

    AD使用者名稱和網域名稱不區分大小寫。不過ONTAP 、不區分使用者名稱大小寫。使用者名稱ONTAP 若不相符、而使用者名稱與在AD中建立的使用者名稱不相符、將導致登入失敗。

SSH 驗證選項

  • 從 ONTAP 9.3 開始、您可以 "啟用 SSH 多因素驗證" 適用於本機系統管理員帳戶。

    啟用SSH多因素驗證時、使用者會使用公開金鑰和密碼進行驗證。

  • 從 ONTAP 9.4 開始、您可以 "啟用 SSH 多因素驗證" 適用於 LDAP 和 NIS 遠端使用者。

  • 從 ONTAP 9.13.1 開始、您可以選擇性地將憑證驗證新增至 SSH 驗證程序、以增強登入安全性。若要這麼做、 "將 X.509 憑證與公開金鑰建立關聯" 帳戶使用的。如果您同時使用 SSH 公開金鑰和 X.509 憑證登入、 ONTAP 會先檢查 X.509 憑證的有效性、然後再使用 SSH 公開金鑰進行驗證。如果該憑證已過期或撤銷、 SSH 公開金鑰會自動停用、則 SSH 登入會遭到拒絕。

  • 從 ONTAP 9.14.1 開始、您可以選擇性地將 Cisco 雙核心雙因素驗證新增至 SSH 驗證程序、以增強登入安全性。啟用 Cisco 雙核心驗證之後、首次登入時、使用者必須註冊裝置、以作為 SSH 工作階段的驗證者。請參閱 "為 SSH 登入設定 Cisco 雙核心 2FA" 如需設定 ONTAP 的 Cisco 雙核心 SSH 驗證的詳細資訊、

步驟

  1. 從管理主機輸入 ssh 命令的格式如下:

    • ssh username@hostname_or_IP [command]

    • ssh -l username hostname_or_IP [command]

如果您使用的是 AD 網域使用者帳戶、則必須指定 username 的格式 domainname\\AD_accountname (在網域名稱後面加上雙反斜線)或 "domainname\AD_accountname" (以雙引號括住、並在網域名稱之後加上單一反斜線)。

hostname_or_IP 是叢集管理 LIF 或節點管理 LIF 的主機名稱或 IP 位址。建議使用叢集管理LIF。您可以使用IPv4或IPv6位址。

command 不需要 SSH 互動式工作階段。

SSH要求範例

下列範例顯示名為「'joe'」的使用者帳戶如何發出SSH要求、以存取叢集管理LIF為10.72.137.28的叢集:

$ ssh joe@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

下列範例顯示、名為「DOMAIN1」之網域中的「'John」使用者帳戶如何發出SSH要求、以存取叢集管理LIF為10.72.137.28的叢集:

$ ssh DOMAIN1\\john@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

下列範例顯示名為「'joe'」的使用者帳戶如何發出SSH MFA要求、以存取叢集管理LIF為10.72.137.32的叢集:

$ ssh joe@10.72.137.32
Authenticated with partial success.
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
相關資訊

"系統管理員驗證與RBAC"