跳到主要内容

使用 SSH 访问集群

可向集群发出 SSH 请求以执行管理任务。默认情况下,SSH 处于启用状态。

开始之前

  • 必须有一个配置为使用 ssh 作为访问方法的用户帐户。

    security login 命令的 -application 参数为用户帐户指定访问方法。security login 手册页包含其它信息。

  • 如果用 Active Directory(AD)域用户帐户访问集群,则必须先通过已启用 CIFS 的存储虚拟机(SVM)来设置集群的认证隧道,并且必须用 ssh 访问方法和 domain 认证方法先将 AD 域用户帐户添加到此集群中。

  • 如果使用 IPv6 连接,则必须提前在集群中配置和启用 IPv6,并且防火墙策略必须提前配置 IPv6 地址。

    network options ipv6 show 命令显示是否已启用 IPv6。system services firewall policy show 命令显示防火墙策略。

关于本任务

  • 必须使用 OpenSSH 5.7 或更高版本的客户端。

  • 仅支持 SSH v2 协议;不支持 SSH v1。

  • ONTAP 支持每个节点最多 64 个并发 SSH 会话。

    如果集群管理 LIF 驻留在节点上,将与节点管理 LIF 共享此限制。

    如果引入连接速率大于每秒 10 个,则服务暂时禁用 60 秒。

  • 对于 SSH,ONTAP 仅支持 AES 和 3DES 加密算法(也称为密码)。

    128、192、和 256 比特的密钥长度支持 AES。原始 DES 中,密钥长度为 3DES 56 比特,但重复 3 次。

  • 启用 FIPS 模式时,SSH 客户端应与椭圆曲线数字签名算法(ECDSA)主公钥协商,以实现成功连接。

  • 如果要访问 Windows 主机上的 ONTAP CLI,可使用 PuTTY 等第三方实用程序。

  • 如果使用 Windows AD 用户名登录到 ONTAP,使用的大写字母或小写字母应与在 ONTAP 中创建 AD 用户名和域名时使用的相同。

    AD 用户名和域名不区分大小写。但是,ONTAP 用户名要区分大小写。ONTAP 中创建的用户名和 AD 中创建的用户名大小写不匹配会导致登录失败。

  • 从 ONTAP 9.4 开始,可对本地管理员帐户启用 SSH 多因素认证。

    启用 SSH 多因素认证后,将使用公钥和密码认证用户。

  • 从 ONTAP 9.4 开始,可对 LDAP 和 NIS 远程用户启用 SSH 多因素认证。

从管理主机输入以下格式之一的 ssh 命令:
  • ssh username@hostname_or_IP [command]
  • ssh -l username hostname_or_IP [command]

如果使用的是 AD 域用户帐户,则必须用 domainname\\AD_accountname 格式(域名后带双反斜杠)或"domainname\AD_accountname"(用双引号引起来,并且域名后带一个反斜杠)指定 username

hostname_or_IP 为集群管理 LIF 或节点管理 LIF 的 IP 地址主机名。建议使用集群管理 LIF。可使用 IPv4 或 IPv6 地址。

SSH 交互会话不需要 command

SSH 请求示例

以下示例显示名为“joe”的用户帐户如何发出 SSH 请求,以访问集群管理 LIF 为 10.72.137.28 的集群:

$ ssh joe@10.72.137.28 
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

cluster1::>
 
$ ssh -l joe 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

$

以下示例显示“DOMAIN1”域名中的“john”用户帐户如何发出 SSH 请求,以访问集群管理 LIF 为 10.72.137.28 的集群:

$ ssh DOMAIN1\\john@10.72.137.28 
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

cluster1::> 
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

$

以下示例显示名为“joe”的用户帐户如何发出 SSH MFA 请求,以访问集群管理 LIF 为 10.72.137.32 的集群:

$ ssh joe@10.72.137.32
Authenticated with partial success.
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

cluster1::>