使用 SSH 要求存取 ONTAP 叢集
建議變更
PDF
您可以向 ONTAP 叢集發出 SSH 要求、以執行管理工作。SSH 預設為啟用。
-
您必須擁有設定為使用的使用者帳戶
ssh作為存取方法。`-application`命令參數 `security login`會指定使用者帳戶的存取方法。如link:https://docs.netapp.com/us-en/ontap-cli/security-login-create.html#description["指令參考資料ONTAP"^]需詳細 `security login`資訊,請參閱。
-
如果您使用 Active Directory ( AD )網域使用者帳戶來存取叢集、則必須透過啟用 CIFS 的儲存 VM 來設定叢集的驗證通道、而且您的 AD 網域使用者帳戶也必須新增至具有的叢集
ssh作為存取方法和domain作為驗證方法。
-
您必須使用OpenSSH 5.7或更新版本的用戶端。
-
僅支援SSH v2傳輸協定;不支援SSH v1。
-
支援每個節點最多64個並行SSH工作階段。ONTAP
如果叢集管理LIF位於節點上、則會與節點管理LIF共用此限制。
如果傳入連線速度高於每秒10次、服務會暫時停用60秒。
-
支援SSH的AES和3DES加密演算法(也稱為_ciphers_)ONTAP 。
AES支援128、192和256位元金鑰長度。3DES的金鑰長度為56位元、與原始的DES相同、但會重複三次。
-
當FIPS模式開啟時、SSH用戶端應與省略曲線數位簽章演算法(ECDSA)公開金鑰演算法協商、以使連線成功。
-
如果您想ONTAP 要從Windows主機存取此功能、可以使用第三方公用程式、例如Putty。
-
如果您使用Windows AD使用者名稱登入ONTAP 到功能表、則應該使用在ONTAP 功能表中建立AD使用者名稱和網域名稱時所用的大小寫字母。
AD使用者名稱和網域名稱不區分大小寫。不過ONTAP 、不區分使用者名稱大小寫。使用者名稱ONTAP 若不相符、而使用者名稱與在AD中建立的使用者名稱不相符、將導致登入失敗。
-
從 ONTAP 9.3 開始、您可以 "啟用 SSH 多因素驗證" 適用於本機系統管理員帳戶。
啟用SSH多因素驗證時、使用者會使用公開金鑰和密碼進行驗證。
-
從 ONTAP 9.4 開始、您可以 "啟用 SSH 多因素驗證" 適用於 LDAP 和 NIS 遠端使用者。
-
從 ONTAP 9.13.1 開始,您可以選擇在 SSH 驗證過程中新增憑證驗證,以增強登入安全性。為此,"將 X.509 憑證與公開金鑰建立關聯"帳戶使用的憑證。如果您同時使用 SSH 公開金鑰和 X.509 憑證透過 SSH 登入,ONTAP 會在使用 SSH 公開金鑰進行驗證之前,先檢查 X.509 憑證的有效性。如果該憑證已過期或已被撤銷,則 SSH 登入將被拒絕,並且 SSH 公開金鑰將自動停用。
-
從 ONTAP 9.14.1 版本開始,ONTAP 管理員可以"將 Cisco 雙核心雙因素驗證新增至 SSH 驗證程序"增強登入安全性。啟用 Cisco Duo 驗證後,使用者首次登入時需要註冊一台裝置作為 SSH 工作階段的驗證器。
-
從 ONTAP 9.15.1 開始,管理員可以"設定動態授權"根據使用者的信任評分,為 SSH 使用者提供額外的自適應驗證。
-
從可存取 ONTAP 叢集網路的主機、輸入
ssh命令的格式如下:-
ssh username@hostname_or_IP [command] -
ssh -l username hostname_or_IP [command]
-
如果您使用的是 AD 網域使用者帳戶、則必須指定 username 的格式 domainname\\AD_accountname (在網域名稱後面加上雙反斜線)或 "domainname\AD_accountname" (以雙引號括住、並在網域名稱之後加上單一反斜線)。
hostname_or_IP 是叢集管理 LIF 或節點管理 LIF 的主機名稱或 IP 位址。建議使用叢集管理LIF。您可以使用IPv4或IPv6位址。
command 不需要 SSH 互動式工作階段。
下列範例顯示名為「'joe'」的使用者帳戶如何發出SSH要求、以存取叢集管理LIF為10.72.137.28的叢集:
$ ssh joe@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
下列範例顯示、名為「DOMAIN1」之網域中的「'John」使用者帳戶如何發出SSH要求、以存取叢集管理LIF為10.72.137.28的叢集:
$ ssh DOMAIN1\\john@10.72.137.28 Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show Password: Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.
下列範例顯示名為「'joe'」的使用者帳戶如何發出SSH MFA要求、以存取叢集管理LIF為10.72.137.32的叢集:
$ ssh joe@10.72.137.32 Authenticated with partial success. Password: cluster1::> cluster show Node Health Eligibility --------------------- ------- ------------ node1 true true node2 true true 2 entries were displayed.