跳到主要内容

管理员认证和 RBAC 配置工作表

创建登录帐户和设置基于角色的访问控制(RBAC)之前,应收集工作表中各项的信息。

创建或修改登录帐户

启用登录帐户以访问存储虚拟机(SVM)时,可为 security login create 命令提供以下值。修改帐户访问 SVM 的方式时,可为 security login modify 命令提供相同的值。

字段描述您的值
-vserver 帐户访问的 SVM 的名称。缺省值为集群的管理员 SVM 的名称。 
-user-or-group-name 帐户的用户名或组名。指定组名以启用对组中每个用户的访问权限。

可将一个用户名或组名与多个应用程序关联。

 
-application 用于访问 SVM 的应用程序:
  • http
  • ontapi
  • snmp
  • ssh
 
-authmethod 用于对帐户进行认证的方法:
  • cert,用于 SSL 证书认证
  • domain,用于 Active Directory 认证
  • nsswitch,用于 LDAP 或 NIS 认证
  • password,用于用户密码认证
  • publickey,用于公钥认证
  • community,用于 SNMP 团体字符串
  • usm,用于 SNMP 用户安全模型
  • saml,用于安全断言标记语言(SAML)认证
 
-remote-switch-ipaddress 远程交换机的 IP 地址。远程交换机可以是集群交换机运行状况监控器(CSHM)监控的集群交换机,或 MetroCluster 运行状况监控器(MCC-HM)监控的 Fibre Channel(FC)交换机。仅当应用程序为 snmp 且认证方法为 usm 时,此选项才适用。 
-role 分配给帐户的访问控制角色:

  • 对于集群(管理 SVM),缺省值为 admin

  • 对于数据 SVM,缺省值为 vsadmin

 
-comment 可选。帐户的描述性文本。应用双引号(")将文本括起来。 
-is-ns-switch-group 帐户是 LDAP 组帐户或 NIS 组帐户()。 
-second-authentication-method ONTAP 9.4 中多因素认证的第二种认证方法:
  • none(如果不使用多因素认证,此为缺省值)
  • public key,对于 authmethod 为 password 或 nsswitch 时的公钥认证
  • password,对于 authmethod 为 public key 时的用户密码认证
  • nsswitch,对于 authmethod 为 publickey 时的用户密码认证
    ONTAP 9.4 开始支持 nsswitch。

认证顺序始终为先公钥,后密码。

 

定义自定义角色

定义自定义角色时,可为 security login role create 命令提供以下值。

字段描述
-vserver 可选。与角色关联的 SVM 的名称。 
-role 角色的名称。 
-cmddirname 角色提供的访问权限所属命令或命令目录。应用双引号(")将命令子目录名称括起来。例如, volume snapshot

必须输入 DEFAULT 才能指定所有命令目录。

 
-access 可选。角色的访问级别。

对于命令目录:

  • none(自定义角色的缺省值),用于拒绝访问命令目录中的命令
  • readonly,用于授予命令目录及其子目录中的 show 命令的访问权限
  • all,用于授予命令目录及其子目录中的所有命令的访问权限

对于非内建命令(即不以 createmodifydeleteshow 结尾的命令):

  • none(自定义角色的缺省值),用于拒绝访问命令
  • readonly 不适用
  • all,用于授予命令的访问权限

要授予或拒绝内建命令的访问权限,必须指定命令目录。

 
-query 可选。用于筛选访问级别的查询对象,该对象以命令或命令目录中的命令的有效选项的形式指定。应用双引号(")将查询对象括起来。例如,如果命令目录为 volume,则查询对象 -aggr aggr0 将仅为 aggr0 聚合启用访问权限。 

将公钥与用户帐户关联

如果将 SSH 公钥与用户帐户关联,则可为 security login publickey create 命令提供以下值。

字段描述
-vserver 可选。帐户访问的 SVM 的名称。 
-username 帐户的用户名。缺省值为 admin,这是集群管理员的缺省名称。 
-index 公钥的索引号。如果密钥是为帐户创建的第一个密钥,则缺省值为 0;缺省值是帐户的最大现有索引号加一。 
-publickey OpenSSH 公钥。应用双引号(")将该密钥括起来。 
-role 分配给帐户的访问控制角色。 
-comment 可选。公钥的描述性文本。应用双引号(")将文本括起来。 

安装 CA 签名的服务器数字证书

生成在将 SVM 作为 SSL 服务器进行认证时使用的数字证书签名请求(CSR)时,可为 security certificate generate-csr 命令提供以下值。

字段描述
-common-name 证书的名称,这是标准域名(FQDN)或自定义的通用名称。 
-size 私钥中的位数。该值越大,密钥越安全。缺省值为 2048。值可以是 51215362048 
-country SVM 的国家/地区,这是一个两字母代码。缺省值为 US。有关代码列表,请参阅手册页。 
-state SVM 的州或省/直辖市/自治区。 
-locality SVM 的地区。 
-organization SVM 的组织。 
-unit SVM 的组织单位。 
-email-addr SVM 的联系人管理员的电子邮件地址。 
-hash-function 用于签署证书的加密哈希功能。缺省值为 SHA256。值可以是 SHA1SHA256MD5。. 

安装在将集群或 SVM 作为 SSL 服务器进行认证时使用的 CA 签名的数字证书时,可为 security certificate install 命令提供以下值。下表中仅显示与本指南有关的选项。

字段描述
-vserver 要安装证书的 SVM 的名称。 
-type 证书类型:
  • server,用于服务器证书和中间证书
  • client-ca,用于 SSL 客户端根 CA 的公钥证书
  • server-ca,用于 ONTAP 充当其客户端的 SSL 服务器的根 CA 的公钥证书
  • client,用于充当 SSL 客户端的 ONTAP 的自签名或 CA 签名的数字证书和私钥
 

配置 Active Directory 域控制器访问权限

已经为数据 SVM 配置了 CIFS 服务器,并且希望为集群的 Active Directory 域控制器访问权限将 SVM 配置为网关或隧道时,可为 security login domain-tunnel create 命令提供以下值。

字段描述
-vserver 为其配置了 CIFS 服务器的 SVM 的名称。 

尚未配置 CIFS 服务器,但希望在 Active Directory 域中创建 SVM 计算机帐户时,可为 vserver active-directory create 命令提供以下值。

字段描述
-vserver 要为其创建 Active Directory 计算机帐户的 SVM 的名称。 
-account-name 计算机帐户的 NetBIOS 名称。 
-domain 标准域名(FQDN)。 
-ou 域中的组织单位。缺省值为 CN=Computers。ONTAP 将该值附加到域名,以便生成 Active Directory 专有名称。 

配置 LDAP 或 NIS 服务器访问权限

SVM 创建 LDAP 客户端配置时,可为 vserver services name-service ldap client create 命令提供以下值。

从 ONTAP 9.4 开始, -ldap-servers 字段取代了 -servers 字段。这个新字段采用 LDAP 服务器的主机名或 IP 地址充当值。

下表中仅显示与本指南有关的选项:

字段描述
-vserver 客户端配置的 SVM 的名称。 
-client-config 客户端配置的名称。 
-ldap-servers ONTAP 9.4:与客户端相连的 LDAP 服务器的以逗号分隔的 IP 地址和主机名列表。 
-schema 客户端用于创建 LDAP 查询的架构。 
-use-start-tls 客户端是否使用 Start TLS 加密与 LDAP 服务器之间的通信(truefalse)。
仅支持将 Start TLS 用于访问数据 SVM。不支持用于访问管理员 SVM
 

将 LDAP 客户端配置与 SVM 关联时,可为 vserver services name-service ldap create 命令提供以下值。

字段描述
-vserver 要与客户端配置关联的 SVM 的名称。 
-client-config 客户端配置的名称。 
-client-enabled SVM 是否可使用 LDAP 客户端配置(truefalse)。 

SVM 上创建 NIS 域配置时,可为 vserver services name-service nis-domain create 命令提供以下值。

从 ONTAP 9.4 开始, -nis-servers 字段取代了 -servers 字段。这个新字段采用 NIS 服务器的主机名或 IP 地址充当值。
字段描述
-vserver 要在其上创建域配置的 SVM 的名称。 
-domain 域的名称。 
-active 域是否处于活动状态(truefalse)。 
-nis-servers ONTAP 9.4:域配置使用的 NIS 服务器的以逗号分隔的 IP 地址和主机名列表。 

为名称服务源指定查找顺序时,可为 vserver services name-service ns-switch create 命令提供以下值。

字段描述
-vserver 要在其上配置名称服务查找顺序的 SVM 的名称。 
-database 名称服务数据库:
  • hosts,用于文件和 DNS 名称服务
  • group,用于文件、LDAP 和 NIS 名称服务
  • password,用于文件、LDAP 和 NIS 名称服务
  • netgroup,用于文件、LDAP 和 NIS 名称服务
  • namemap,用于文件和 LDAP 名称服务
 
-sources 名称服务源的查找顺序(格式为逗号分隔的列表):
  • files
  • dns
  • ldap
  • nis
 

配置 SAML 访问权限

可使用 security saml-sp create 命令提供这些值来配置 SAML 认证。

字段描述
-idp-uri 可从中下载 IdP 元数据的身份提供者(IdP)主机的 FTP 地址或 HTTP 地址。 
-sp-host SAML 服务提供商主机(ONTAP 系统)的主机名或 IP 地址。缺省情况下,使用集群管理 LIF 的 IP 地址。 

{[ -cert-ca] 和 -cert-serial] 或 [ -cert-common-name]

服务提供商主机(ONTAP 系统)的服务器证书详细信息。 
-verify-metadata-server 是否必须验证 IdP 元数据服务器的身份(truefalse)。最佳实践始终是将该值设置为 true