Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用ONTAP 安全登入命令新增一個RBAC角色

貢獻者

當儲存系統執行叢集式的動作時、您可以使用安全登入命令來新增ONTAP 一個無法使用的RBAC角色ONTAP 。

您需要的是什麼

  • 在您為ONTAP 執行叢集ONTAP 式功能的儲存系統建立一套不必要的RBAC角色之前、您必須先識別下列項目:

    • 您要執行的工作

    • 執行這些工作所需的權限

  • 若要設定RBAC角色、您必須執行下列動作:

    • 授予命令和(或)命令目錄的權限。

      每個命令/命令目錄都有兩種存取層級:All存取和唯讀。

    您必須一律先指派所有存取權限。

    • 指派角色給使用者。

    • 根據SnapCenter 您的不確定插件是連接至整個叢集的叢集管理員IP、還是直接連接至叢集內的SVM、而有所不同。

關於此工作

為了簡化儲存系統上的角色設定、您可以使用Data ONTAP NetApp社群論壇上發佈的RBAC User Creator for Soliding工具。

此工具會自動ONTAP 正確處理設定功能不正確的功能。例如、RBAC User Creator for Data ONTAP BIOS工具會自動以正確順序新增權限、以便先顯示所有存取權限。如果您先新增唯讀權限、然後新增全存取權限、ONTAP 則將全存取權限標示為重複、並予以忽略。

註 如果您稍後升級SnapCenter 了版本的功能、ONTAP 應該重新執行RBAC User Creator for Data ONTAP BIOS工具、以更新您先前建立的使用者角色。為SnapCenter 舊版的版本的使用者角色無法ONTAP 在升級版本中正常運作。當您重新執行此工具時、它會自動處理升級作業。您不需要重新建立角色。

如需設定ONTAP RBAC角色的詳細資訊、請參閱 "《Administrator驗證與RBAC電源指南》(英文)ONTAP"

註 為了保持一致性、SnapCenter 本文檔將角色稱為使用權限。這個「系統管理員GUI」OnCommand 使用術語_attributes_而非_privation_。在設定ONTAP 支援RBAC角色時、這兩個詞彙代表相同的意義。

步驟

  1. 在儲存系統上、輸入下列命令以建立新角色:

    security login role create <role_name\> -cmddirname "command" -access all –vserver <svm_name\>

    • SVM_name是SVM的名稱。如果您將此欄位保留空白、則預設為叢集管理員。

    • role名稱是您為角色指定的名稱。

    • Command ONTAP 是功能不一的功能。

      註 您必須針對每個權限重複此命令。請記住、All Access命令必須在唯讀命令之前列出。

    如需權限清單的相關資訊,請參閱 "用於建立角色和指派權限的CLI命令ONTAP"

  2. 輸入下列命令來建立使用者名稱:

    security login create -username <user_name\> -application ontapi -authmethod <password\> -role <name_of_role_in_step_1\> –vserver <svm_name\> -comment "user_description"

    • user_name是您要建立的使用者名稱。

    • 是您的密碼。如果您未指定密碼、系統會提示您輸入密碼。

    • SVM_name是SVM的名稱。

  3. 輸入下列命令、將角色指派給使用者:

    security login modify username <user_name\> –vserver <svm_name\> -role <role_name\> -application ontapi -application console -authmethod <password\>

    • 是您在步驟2中建立的使用者名稱。此命令可讓您修改使用者、使其與角色建立關聯。

    • SVM_name>是SVM的名稱。

    • <role名稱>是您在步驟1中建立的角色名稱。

    • 是您的密碼。如果您未指定密碼、系統會提示您輸入密碼。

  4. 輸入下列命令、確認使用者已正確建立:

    security login show –vserver <svm_name\> -user-or-group-name <user_name\>

    user_name是您在步驟3中建立的使用者名稱。