Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
ONTAP roles y usuarios
NetApp ONTAP incluye una función sólida y ampliable de control de acceso basado en funciones (RBAC). ONTAP los roles definen las capacidades y los privilegios de los usuarios cuando utilizan el ONTAP CLI y API REST. Cada rol define un nivel diferente de capacidades y privilegios administrativos. Usted asigna funciones a los usuarios con el fin de controlar su acceso a los recursos FSx de ONTAP cuando utilizan la ONTAP API REST y CLI. Las hay ONTAP Los roles están disponibles por separado FSx para los usuarios del sistema de archivos ONTAP y para los usuarios de máquinas virtuales de almacenamiento (SVM).
Al crear un sistema de archivos FSx para ONTAP, es el predeterminado ONTAP el usuario se crea en el nivel del sistema de archivos y en el nivel de SVM. Puede crear usuarios adicionales del sistema de archivos y de la SVM, como así también puede crear roles de SVM adicionales para satisfacer las necesidades de la organización. En este capítulo se explica ONTAP usuarios y roles, y proporciona procedimientos detallados para crear usuarios y roles de SVM adicionales.
Roles y usuarios del administrador del sistema de archivos
El valor de tiempo de espera predeterminado de ONTAP el usuario del sistema de archivos es fsxadmin el que tiene el fsxadmin rol asignado. Hay dos roles predefinidos que puede asignar a los usuarios del sistema de archivos, que se enumeran a continuación:
-
fsxadmin—Los administradores con este rol tienen derechos ilimitados en el ONTAP sistema. Pueden configurar todos los recursos del sistema de archivos y de nivel SVM disponibles en FSx los sistemas de archivos ONTAP. fsxadmin-readonly: los administradores con este rol pueden ver todo en el nivel del sistema de archivos, pero no pueden realizar ningún cambio.Esta función es adecuada para su uso con aplicaciones de supervisión, como NetApp Harvest porque tiene acceso de solo lectura a todos los recursos disponibles y sus propiedades, pero no puede realizar ningún cambio en ellos.
Puede crear usuarios adicionales del sistema de archivos y asignarles el rol fsxadmin o fsxadmin-readonly. No puede crear nuevos roles ni modificar los roles existentes. Para obtener más información, consulte Creando una nueva ONTAP usuarios para la administración del sistema de archivos y SVM.
En la siguiente tabla se describe el nivel de acceso que tienen las funciones de administrador del sistema de archivos ONTAP Comandos y directorios de comandos de CLI y REST API.
| Nombre del rol | Nivel de acceso | A los siguientes comandos o directorios de comandos |
|---|---|---|
|
|
all | Todos los directorios de comandos están disponibles en FSx ONTAP |
|
all |
Solo para administrar la propia cuenta de usuario, la contraseña local y la información clave |
| none | security |
|
| solo lectura | Todos los demás directorios de comandos están disponibles en FSx ONTAP |
Roles y usuarios de administrador de la SVM
Cada SVM tiene un dominio de autenticación independiente y sus propios administradores pueden administrarlo de forma independiente. Para cada SVM del sistema de archivos, el usuario predeterminado es vsadmin, al que se le ha asignado el rol vsadmin de forma predeterminada.. Además del rol vsadmin, hay otros roles de SVM predefinidos que proporcionan permisos específicos que puede asignar a los usuarios de SVM. También puede crear roles personalizados que proporcionen el nivel de control de acceso que mejor se adapte a las necesidades de la organización.
Los roles predefinidos de los administradores de SVM y sus capacidades son las siguientes:
| Nombre del rol | Capacidades |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Para obtener más información sobre cómo crear un nuevo, consulte Creación de roles de SVM.
Uso de Active Directory para autenticarse ONTAP usuarios
Puede autenticar el acceso de los usuarios del dominio Windows Active Directory a un FSx sistema de archivos ONTAP y a un SVM. Debe realizar las siguientes tareas para que las cuentas de Active Directory puedan acceder a su sistema de archivos:
Debe configurar el acceso del controlador de dominio de Active Directory a la SVM.
La SVM que use para configurar como puerta de enlace o túnel para el acceso al controlador de dominio de Active Directory debe tener el CIFS activado, estar unida a un Active Directory o ambas opciones. Si no está habilitando el CIFS y solo va a unir la SVM de túnel a un Active Directory, corrobore que la SVM esté unida al Active Directory. Para obtener más información, consulte Cómo funciona SVMs la unión a Microsoft Active Directory.
Debe habilitar una cuenta de usuario de dominio de Active Directory para acceder al sistema de archivos.
Puede utilizar la autenticación mediante contraseña o la autenticación mediante clave pública SSH para los usuarios del dominio Windows que accedan al ONTAP CLI o API REST.
Para ver los procedimientos que describen cómo configurar la autenticación de Active Directory para los administradores de sistemas de archivos y la SVM, consulte Configurar la autenticación de Active Directory para ONTAP usuarios.
Creando una nueva ONTAP usuarios para la administración del sistema de archivos y SVM
Cada uno ONTAP el usuario está asociado a un SVM o al sistema de archivos. Los usuarios del sistema de archivos con el fsxadmin rol pueden crear nuevos roles y usuarios de SVM mediante el security login create
El comando security login create crea un método de inicio de sesión para la utilidad de administración. Un método de inicio de sesión consta de un nombre de usuario, una aplicación (método de acceso) y un método de autenticación. Un nombre de usuario se puede asociar a varias aplicaciones. Si lo desea, puede incluir un nombre de rol de control de acceso. Si se usa un nombre de grupo del Active Directory, el protocolo ligero de acceso a directorios (LDAP) o el servicio de información de red (NIS), el método de inicio de sesión da acceso a los usuarios que pertenecen al grupo especificado. Si el usuario es miembro de varios grupos aprovisionados en la tabla de inicio de sesión de seguridad, tendrá acceso a una lista combinada de comandos autorizados para grupos individuales.
Para obtener información sobre cómo crear un nuevo ONTAP usuario, consulteCreación ONTAP usuarios.
Temas
