Rollen und Benutzer von Dateisystemadministratoren SVMAdministratorrollen und Benutzer Authentifizieren ONTAP Benutzer mit Active Directory Neues erstellen ONTAP Benutzer für Dateisystem und SVM Administration

ONTAP Rollen und Benutzer

NetApp ONTAP beinhaltet eine robuste und erweiterbare Funktion zur rollenbasierten Zugriffskontrolle ()RBAC. ONTAP Rollen definieren Benutzerfunktionen und -berechtigungen bei der Verwendung von ONTAP CLIund RESTAPI. Jede Rolle definiert ein anderes Maß an administrativen Fähigkeiten und Rechten. Sie weisen Benutzern Rollen zu, um ihren Zugriff auf unsere ONTAP Ressourcen FSx zu kontrollieren, wenn Sie ONTAP RESTAPIundCLI. Es gibt ONTAP Rollen FSx für Benutzer von ONTAP Dateisystemen und Benutzern virtueller Speichermaschinen (SVM) separat erhältlich.

Wenn Sie ein ONTAP Dateisystem FSx für erstellen, ist dies ein Standard ONTAP Der Benutzer wird auf der Dateisystemebene und auf der SVM Ebene erstellt. Sie können zusätzliche Dateisysteme und SVM Benutzer erstellen, und Sie können zusätzliche SVM Rollen erstellen, um den Anforderungen Ihrer Organisation gerecht zu werden. In diesem Kapitel wird erklärt ONTAP Benutzer und Rollen und enthält detaillierte Verfahren zum Erstellen zusätzlicher Benutzer und SVM Rollen.

Rollen und Benutzer von Dateisystemadministratoren

Der ONTAP Dateisystembenutzer istfsxadmin, dem die fsxadmin Rolle zugewiesen wurde. Es gibt zwei vordefinierte Rollen, die Sie Dateisystembenutzern zuweisen können. Die Rollen sind wie folgt aufgeführt:

fsxadmin— Administratoren mit dieser Rolle haben uneingeschränkte Rechte in ONTAP System. Sie können alle Ressourcen auf Dateisystem- und SVM -ebene konfigurieren, die auf FSx ONTAP Dateisystemen verfügbar sind.
fsxadmin-readonly— Administratoren mit dieser Rolle können alles auf Dateisystemebene einsehen, aber keine Änderungen vornehmen.

Diese Rolle eignet sich gut für Überwachungsanwendungen wie NetApp Harvest weil sie nur Lesezugriff auf alle verfügbaren Ressourcen und deren Eigenschaften hat, aber keine Änderungen daran vornehmen kann.

Sie können zusätzliche Dateisystembenutzer erstellen und ihnen entweder die Rolle fsxadmin Oder fsxadmin-readonly zuweisen. Sie können keine neuen Rollen erstellen oder die vorhandenen Rollen ändern. Weitere Informationen finden Sie unter Neues erstellen ONTAP Benutzer für Dateisystem und SVM Administration.

In der folgenden Tabelle wird die Zugriffsebene beschrieben, für die Dateisystemadministratorrollen gelten ONTAP CLIund REST API Befehle und Befehlsverzeichnisse.

Rollenname	Zugriffsebene	Zu den folgenden Befehlen oder Befehlsverzeichnissen
`fsxadmin`	all	Alle Befehlsverzeichnisse sind in FSx for verfügbar ONTAP
`fsxadmin-readonly`	all	`security login password` Nur für die Verwaltung des eigenen Benutzerkontos, des lokalen Passworts und der wichtigsten Informationen
	Keine	`security`
	nur lesbar	Alle anderen Befehlsverzeichnisse, die in FSx for verfügbar sind ONTAP

SVMAdministratorrollen und Benutzer

Jede SVM hat eine separate Authentifizierungsdomäne und kann unabhängig von ihren eigenen Administratoren verwaltet werden. Für jeden Benutzer in SVM Ihrem Dateisystem ist der Standardbenutzer vsadmin, dem die vsadmin Rolle standardmäßig zugewiesen ist. Neben der vsadmin Rolle gibt es weitere vordefinierte SVM Rollen, die eingeschränkte Berechtigungen bereitstellen, die Sie Benutzern zuweisen können. SVM Sie können auch benutzerdefinierte Rollen erstellen, die die Ebene der Zugriffskontrolle bieten, die den Anforderungen Ihrer Organisation entspricht.

Die vordefinierten Rollen für SVM Administratoren und ihre Funktionen lauten wie folgt:

Rollenname	Funktionen
`vsadmin`	Verwalten Sie Ihr Benutzerkonto, Ihr lokales Passwort und wichtige Informationen Verwalten Sie Volumen, mit Ausnahme von Volumenverschiebungen Verwalten Sie Kontingente, Qtrees, Snapshot-Kopien und Dateien Verwalten LUNs Führen Sie SnapLock Operationen aus, mit Ausnahme des privilegierten Löschvorgangs Konfigurieren Sie die Protokolle: NFSSMB,, und i SCSI Dienste konfigurieren: DNSLDAP, und NIS Aufträge überwachen Überwachen Sie die Netzwerkverbindungen und die Netzwerkschnittstelle Überwachen Sie den Zustand des SVM
`vsadmin-volume`	Verwalten Sie Ihr Benutzerkonto, Ihr lokales Passwort und wichtige Informationen Verwalten Sie Volumen, einschließlich Volumenverschiebungen Verwalten Sie Kontingente, QTrees, Snapshot-Kopien und Dateien Verwalten LUNs Konfigurieren Sie die Protokolle: NFSSMB,, und i SCSI Dienste konfigurieren: DNSLDAP, und NIS Überwachen Sie die Netzwerkschnittstelle Überwachen Sie den Zustand des SVM
`vsadmin-protocol`	Verwalten Sie Ihr Benutzerkonto, Ihr lokales Passwort und wichtige Informationen Verwalten LUNs Konfigurieren Sie die Protokolle: NFSSMB,, und i SCSI Dienste konfigurieren: DNSLDAP, und NIS Netzwerkschnittstelle überwachen Überwachen Sie den Zustand des SVM
`vsadmin-backup`	Verwalten Sie Ihr Benutzerkonto, Ihr lokales Passwort und wichtige Informationen NDMPOperationen verwalten Lese- und Schreibzugriff auf ein wiederhergestelltes Volume SnapMirror Beziehungen und Snapshot-Kopien verwalten Volumes und Netzwerkinformationen anzeigen
`vsadmin-snaplock`	Verwalten Sie Ihr Benutzerkonto, Ihr lokales Passwort und wichtige Informationen Verwalten Sie Volumen, mit Ausnahme von Volumenverschiebungen Verwalten Sie Kontingente, Qtrees, Snapshot-Kopien und Dateien Führen Sie SnapLock Operationen aus, einschließlich privilegierter Löschvorgänge Protokolle konfigurieren: NFS und SMB Dienste konfigurieren: DNSLDAP, und NIS Aufträge überwachen Überwachen Sie die Netzwerkverbindungen und die Netzwerkschnittstelle
`vsadmin-readonly`	Verwalten Sie Ihr Benutzerkonto, Ihr lokales Passwort und wichtige Informationen Überwachen Sie den Zustand des SVM Überwachen Sie die Netzwerkschnittstelle Volumen anzeigen und LUNs Dienste und Protokolle anzeigen

Weitere Informationen zum Erstellen einer neuen SVM Rolle finden Sie unterSVMRollen erstellen.

Verwenden von Active Directory zur Authentifizierung ONTAP Benutzer

Sie können den Zugriff von Windows Active Directory-Domänenbenutzern auf ein FSx ONTAP Dateisystem und SVM authentifizieren. Sie müssen die folgenden Aufgaben ausführen, bevor Active Directory-Konten auf Ihr Dateisystem zugreifen können:

Sie müssen den Active Directory-Domänencontroller-Zugriff auf den konfigurierenSVM.

Der Domänencontroller, den SVM Sie für die Konfiguration als Gateway oder Tunnel für den Zugriff auf den Active Directory-Domänencontroller verwenden, muss entweder CIFS aktiviert sein, mit einem Active Directory verbunden sein oder beides. Wenn Sie den Tunnel SVM nicht aktivieren CIFS und nur mit einem Active Directory verbinden, stellen Sie sicher, dass der mit Ihrem Active Directory verbunden SVM ist. Weitere Informationen finden Sie unter So funktioniert SVMs der Beitritt zu Microsoft Active Directory.
Sie müssen ein Active Directory-Domänenbenutzerkonto aktivieren, um auf das Dateisystem zugreifen zu können.

Sie können entweder die Kennwortauthentifizierung oder die Authentifizierung mit SSH öffentlichem Schlüssel für Windows-Domänenbenutzer verwenden, die auf ONTAP CLIoder RESTAPI.

Verfahren zur Konfiguration der Active Directory-Authentifizierung für Dateisystem- und SVM Administratoren finden Sie unterKonfiguration der Active Directory-Authentifizierung für ONTAP Benutzer.

Neues erstellen ONTAP Benutzer für Dateisystem und SVM Administration

Jeder ONTAP Der Benutzer ist einem SVM oder dem Dateisystem zugeordnet. Dateisystembenutzer mit dieser fsxadmin Rolle können neue SVM Rollen und Benutzer erstellen, indem sie den security login create ONTAP CLIBefehl.

Der security login create Befehl erstellt eine Anmeldemethode für das Verwaltungsdienstprogramm. Eine Anmeldemethode besteht aus einem Benutzernamen, einer Anwendung (Zugriffsmethode) und einer Authentifizierungsmethode. Ein Benutzername kann mehreren Anwendungen zugeordnet werden. Er kann optional einen Rollennamen für die Zugriffskontrolle enthalten. Wenn ein Active Directory- oder NIS Gruppenname verwendet wird, gewährt die Anmeldemethode Benutzern, die zu der angegebenen Gruppe gehören, Zugriff. LDAP Wenn der Benutzer Mitglied mehrerer Gruppen ist, die in der Sicherheitsanmeldetabelle bereitgestellt werden, erhält der Benutzer Zugriff auf eine kombinierte Liste der Befehle, die für die einzelnen Gruppen autorisiert sind.

Für Informationen, die beschreiben, wie Sie ein neues erstellen ONTAP Benutzer, sieheErstellen ONTAP Benutzer.

Themen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden Sie Antivirensoftware

Erstellen ONTAP Benutzer