ONTAPrôles et utilisateurs - FSx pour ONTAP
Rôles et utilisateurs de l'administrateur du système de fichiersSVMrôles d'administrateur et utilisateursAuthentification des ONTAP utilisateurs avec Active DirectoryCréation de nouveaux ONTAP utilisateurs pour le système de fichiers et SVM l'administration

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

ONTAPrôles et utilisateurs

NetApp ONTAPinclut une fonctionnalité de contrôle d'accès (RBAC) robuste et extensible basée sur les rôles. ONTAPles rôles définissent les capacités et les privilèges des utilisateurs lors de l'utilisation du ONTAP CLI et RESTAPI. Chaque rôle définit un niveau différent de capacités et de privilèges administratifs. Vous attribuez des rôles aux utilisateurs dans le but de contrôler leur accès FSx aux ONTAP ressources lorsqu'ils utilisent le ONTAP REST API etCLI. Des ONTAP rôles sont disponibles séparément FSx pour les utilisateurs de systèmes de ONTAP fichiers et pour les utilisateurs de machines virtuelles de stockage (SVM).

Lorsque vous créez un système de ONTAP fichiers FSx for, un ONTAP utilisateur par défaut est créé au niveau du système de fichiers et au SVM niveau du système de fichiers. Vous pouvez créer un système de fichiers et des SVM utilisateurs supplémentaires, et vous pouvez créer SVM des rôles supplémentaires pour répondre aux besoins de votre organisation. Ce chapitre explique ONTAP les utilisateurs et les rôles, et fournit des procédures détaillées pour créer des utilisateurs et SVM des rôles supplémentaires.

Rôles et utilisateurs de l'administrateur du système de fichiers

L'utilisateur du système de ONTAP fichiers par défaut estfsxadmin, à qui le fsxadmin rôle est assigné. Vous pouvez attribuer deux rôles prédéfinis aux utilisateurs du système de fichiers, répertoriés comme suit :

  • fsxadmin—Les administrateurs dotés de ce rôle disposent de droits illimités dans le ONTAP système. Ils peuvent configurer toutes les ressources disponibles au niveau du système de fichiers et SVM au niveau du système FSx de ONTAP fichiers.

  • fsxadmin-readonly—Les administrateurs dotés de ce rôle peuvent tout afficher au niveau du système de fichiers, mais ne peuvent apporter aucune modification.

    Ce rôle convient parfaitement aux applications de surveillance, notamment NetApp Harvest parce qu'il dispose d'un accès en lecture seule à toutes les ressources disponibles et à leurs propriétés, mais qu'il ne peut pas y apporter de modifications.

Vous pouvez créer des utilisateurs supplémentaires du système de fichiers et leur attribuer le fsxadmin-readonly rôle fsxadmin ou. Vous ne pouvez pas créer de nouveaux rôles ni modifier les rôles existants. Pour de plus amples informations, veuillez consulter Création de nouveaux ONTAP utilisateurs pour le système de fichiers et SVM l'administration.

Le tableau suivant décrit le niveau d'accès des rôles d'administrateur de système de fichiers pour les REST API commandes ONTAP CLI et les répertoires de commandes.

Nom du rôle Niveau d'accès Vers les commandes ou répertoires de commandes suivants

fsxadmin

 Tout Tous les répertoires de commandes disponibles dans FSx for ONTAP

fsxadmin-readonly

 Tout

security login password

Pour gérer le compte utilisateur, le mot de passe local et les informations clés uniquement
none security
lecture seule Tous les autres répertoires de commandes disponibles dans FSx for ONTAP

SVMrôles d'administrateur et utilisateurs

Chacun SVM possède un domaine d'authentification distinct et peut être géré indépendamment par ses propres administrateurs. Pour chaque élément SVM de votre système de fichiers, l'utilisateur par défaut est vsadmin, auquel le vsadmin rôle est attribué par défaut. Outre le vsadmin rôle, il existe d'autres SVM rôles prédéfinis qui fournissent des autorisations limitées que vous pouvez attribuer aux SVM utilisateurs. Vous pouvez également créer des rôles personnalisés qui fournissent le niveau de contrôle d'accès adapté aux besoins de votre organisation.

Les rôles prédéfinis pour SVM les administrateurs et leurs capacités sont les suivants :

Nom du rôle Fonctionnalités

vsadmin

  • Gérez votre compte utilisateur, votre mot de passe local et vos informations clés

  • Gérez les volumes, à l'exception des déplacements de volumes

  • Gérez les quotas, les qtrees, les copies instantanées et les fichiers

  • Gérez LUNs

  • Effectuer des SnapLock opérations, à l'exception de la suppression privilégiée

  • Configurer les protocoles :NFS,SMB, et i SCSI

  • Configurer les services : DNSLDAP, et NIS

  • Surveillance des tâches

  • Surveiller les connexions réseau et l'interface réseau

  • Surveillez l'état de santé du SVM

vsadmin-volume

  • Gérez votre compte utilisateur, votre mot de passe local et vos informations clés

  • Gérez les volumes, y compris les déplacements de volumes

  • Gérez les quotas, les qtrees, les copies instantanées et les fichiers

  • Gérez LUNs

  • Configurer les protocoles :NFS,SMB, et i SCSI

  • Configurer les services : DNSLDAP, et NIS

  • Surveiller l'interface réseau

  • Surveillez l'état de santé du SVM

vsadmin-protocol

  • Gérez votre compte utilisateur, votre mot de passe local et vos informations clés

  • Gérez LUNs

  • Configurer les protocoles :NFS,SMB, et i SCSI

  • Configurer les services : DNSLDAP, et NIS

  • Surveiller l'interface réseau

  • Surveillez l'état de santé du SVM

vsadmin-backup

  • Gérez votre compte utilisateur, votre mot de passe local et vos informations clés

  • Gérer les NDMP opérations

  • Lecture et écriture d'un volume restauré

  • Gérez SnapMirror les relations et les copies instantanées

  • Afficher les volumes et les informations sur le réseau

vsadmin-snaplock

  • Gérez votre compte utilisateur, votre mot de passe local et vos informations clés

  • Gérez les volumes, à l'exception des déplacements de volumes

  • Gérez les quotas, les qtrees, les copies instantanées et les fichiers

  • Effectuer des SnapLock opérations, y compris la suppression privilégiée

  • Configurer les protocoles : NFS et SMB

  • Configurer les services : DNSLDAP, et NIS

  • Surveillance des tâches

  • Surveiller les connexions réseau et l'interface réseau

vsadmin-readonly

  • Gérez votre compte utilisateur, votre mot de passe local et vos informations clés

  • Surveillez l'état de santé du SVM

  • Surveiller l'interface réseau

  • Afficher les volumes et LUNs

  • Afficher les services et les protocoles

Pour plus d'informations sur la création d'un nouveau SVM rôle, consultezCréation de SVM rôles.

Utiliser Active Directory pour ONTAP authentifier les utilisateurs

Vous pouvez authentifier l'accès des utilisateurs du domaine Windows Active Directory à un système FSx de ONTAP fichiers for etSVM. Vous devez effectuer les tâches suivantes avant que les comptes Active Directory puissent accéder à votre système de fichiers :

  • Vous devez configurer l'accès du contrôleur de domaine Active Directory auSVM.

    Le que SVM vous utilisez pour le configurer en tant que passerelle ou tunnel pour l'accès au contrôleur de domaine Active Directory doit être CIFS activé, être joint à un Active Directory, ou les deux. Si vous n'activez pas le tunnel CIFS et que vous le joignez uniquement SVM à un Active Directory, assurez-vous que SVM celui-ci est joint à votre Active Directory. Pour de plus amples informations, veuillez consulter Comment fonctionne SVMs l'adhésion à Microsoft Active Directory.

  • Vous devez activer un compte utilisateur de domaine Active Directory pour accéder au système de fichiers.

    Vous pouvez utiliser l'authentification par mot de passe ou l'authentification par clé SSH publique pour les utilisateurs du domaine Windows qui accèdent au ONTAP CLI ou RESTAPI.

Pour les procédures décrivant comment configurer l'authentification Active Directory pour le système de fichiers et SVM les administrateurs, consultezConfiguration de l'authentification Active Directory pour ONTAP les utilisateurs.

Création de nouveaux ONTAP utilisateurs pour le système de fichiers et SVM l'administration

Chaque ONTAP utilisateur est associé à un SVM ou au système de fichiers. Les utilisateurs du système de fichiers dotés de fsxadmin ce rôle peuvent créer de nouveaux SVM rôles et utilisateurs à l'aide de la security login createONTAPCLIcommande.

La security login create commande crée une méthode de connexion pour l'utilitaire de gestion. Une méthode de connexion comprend un nom d'utilisateur, une application (méthode d'accès) et une méthode d'authentification. Un nom d'utilisateur peut être associé à plusieurs applications. Il peut éventuellement inclure un nom de rôle de contrôle d'accès. Si un Active Directory ou un nom de NIS groupe est utilisé, la méthode de connexion donne accès aux utilisateurs appartenant au groupe spécifié. LDAP Si l'utilisateur est membre de plusieurs groupes fournis dans la table de connexion de sécurité, il aura accès à une liste combinée des commandes autorisées pour les groupes individuels.

Pour plus d'informations sur la procédure de création d'un nouvel ONTAP utilisateur, consultezCréation d'utilisateurs ONTAP.

Rubriques