使用ONTAP 安全登入命令新增一個RBAC角色
當儲存系統執行叢集式的動作時、您可以使用安全登入命令來新增ONTAP 一個無法使用的RBAC角色ONTAP 。
您需要的是什麼
-
在您為ONTAP 執行叢集ONTAP 式功能的儲存系統建立一套不必要的RBAC角色之前、您必須先識別下列項目:
-
您要執行的工作
-
執行這些工作所需的權限
-
-
若要設定RBAC角色、您必須執行下列動作:
-
授予命令和(或)命令目錄的權限。
每個命令/命令目錄都有兩種存取層級:All存取和唯讀。
您必須一律先指派所有存取權限。
-
指派角色給使用者。
-
根據SnapCenter 您的不確定插件是連接至整個叢集的叢集管理員IP、還是直接連接至叢集內的SVM、而有所不同。
-
關於此工作
為了簡化儲存系統上的角色設定、您可以使用Data ONTAP NetApp社群論壇上發佈的RBAC User Creator for Soliding工具。
此工具會自動ONTAP 正確處理設定功能不正確的功能。例如、RBAC User Creator for Data ONTAP BIOS工具會自動以正確順序新增權限、以便先顯示所有存取權限。如果您先新增唯讀權限、然後新增全存取權限、ONTAP 則將全存取權限標示為重複、並予以忽略。
如果您稍後升級SnapCenter 了版本的功能、ONTAP 應該重新執行RBAC User Creator for Data ONTAP BIOS工具、以更新您先前建立的使用者角色。為SnapCenter 舊版的版本的使用者角色無法ONTAP 在升級版本中正常運作。當您重新執行此工具時、它會自動處理升級作業。您不需要重新建立角色。 |
如需設定ONTAP RBAC角色的詳細資訊、請參閱 "《Administrator驗證與RBAC電源指南》(英文)ONTAP"。
為了保持一致性、SnapCenter 本文檔將角色稱為使用權限。這個「系統管理員GUI」OnCommand 使用術語_attributes_而非_privation_。在設定ONTAP 支援RBAC角色時、這兩個詞彙代表相同的意義。 |
步驟
-
在儲存系統上、輸入下列命令以建立新角色:
security login role create <role_name\> -cmddirname "command" -access all –vserver <svm_name\>
-
SVM_name是SVM的名稱。如果您將此欄位保留空白、則預設為叢集管理員。
-
role名稱是您為角色指定的名稱。
-
Command ONTAP 是功能不一的功能。
您必須針對每個權限重複此命令。請記住、All Access命令必須在唯讀命令之前列出。
如需權限清單的相關資訊,請參閱 "用於建立角色和指派權限的CLI命令ONTAP"。
-
-
輸入下列命令來建立使用者名稱:
security login create -username <user_name\> -application ontapi -authmethod <password\> -role <name_of_role_in_step_1\> –vserver <svm_name\> -comment "user_description"
-
user_name是您要建立的使用者名稱。
-
是您的密碼。如果您未指定密碼、系統會提示您輸入密碼。
-
SVM_name是SVM的名稱。
-
-
輸入下列命令、將角色指派給使用者:
security login modify username <user_name\> –vserver <svm_name\> -role <role_name\> -application ontapi -application console -authmethod <password\>
-
是您在步驟2中建立的使用者名稱。此命令可讓您修改使用者、使其與角色建立關聯。
-
SVM_name>是SVM的名稱。
-
<role名稱>是您在步驟1中建立的角色名稱。
-
是您的密碼。如果您未指定密碼、系統會提示您輸入密碼。
-
-
輸入下列命令、確認使用者已正確建立:
security login show –vserver <svm_name\> -user-or-group-name <user_name\>
user_name是您在步驟3中建立的使用者名稱。