Peran administrator sistem file dan pengguna SVMperan administrator dan pengguna Mengautentikasi ONTAP pengguna dengan Active Directory Membuat baru ONTAP pengguna untuk sistem file dan SVM administrasi

ONTAP peran dan pengguna

NetApp ONTAP mencakup kemampuan kontrol akses (RBAC) berbasis peran yang kuat dan dapat diperluas. ONTAP peran menentukan kemampuan dan hak istimewa pengguna saat menggunakan ONTAP CLIdan RESTAPI. Setiap peran mendefinisikan tingkat kemampuan administratif dan hak istimewa yang berbeda. Anda menetapkan peran kepada pengguna untuk tujuan mengontrol akses mereka FSx untuk ONTAP sumber daya saat menggunakan ONTAP RESTAPIdanCLI. Ada ONTAP peran tersedia secara terpisah FSx untuk pengguna sistem ONTAP file dan penyimpanan virtual machine (SVM) pengguna.

Saat Anda membuat sistem ONTAP file FSx for, default ONTAP pengguna dibuat di tingkat sistem file dan di SVM level. Anda dapat membuat sistem file dan SVM pengguna tambahan, dan Anda dapat membuat SVM peran tambahan untuk memenuhi kebutuhan organisasi Anda. Bab ini menjelaskan ONTAP pengguna dan peran, dan menyediakan prosedur terperinci untuk membuat pengguna dan SVM peran tambahan.

Peran administrator sistem file dan pengguna

Default ONTAP pengguna sistem file adalahfsxadmin, yang memiliki fsxadmin peran yang ditetapkan untuk itu. Ada dua peran standar yang dapat Anda tetapkan untuk pengguna sistem file, yang tercantum sebagai berikut:

fsxadmin—Administrator dengan peran ini memiliki hak yang tidak terbatas dalam ONTAP sistem. Mereka dapat mengkonfigurasi semua sistem file dan sumber daya SVM -level yang tersedia FSx untuk sistem ONTAP file.
fsxadmin-readonly—Administrator dengan peran ini dapat melihat semuanya di tingkat sistem file tetapi tidak dapat membuat perubahan apa pun.

Peran ini sangat cocok untuk digunakan dengan aplikasi pemantauan seperti NetApp Harvest karena memiliki akses hanya-baca ke semua sumber daya yang tersedia dan propertinya, tetapi tidak dapat membuat perubahan apa pun padanya.

Anda dapat membuat pengguna sistem file tambahan dan menetapkan mereka baik fsxadmin-readonly peran fsxadmin atau. Anda tidak dapat membuat peran baru atau memodifikasi peran yang ada. Untuk informasi selengkapnya, lihat Membuat baru ONTAP pengguna untuk sistem file dan SVM administrasi.

Tabel berikut menjelaskan tingkat akses yang dimiliki peran administrator sistem file untuk ONTAP CLIdan REST API perintah dan direktori perintah.

Nama peran	Tingkat akses	Untuk perintah atau direktori perintah berikut
`fsxadmin`	all	Semua direktori perintah tersedia untuk FSx ONTAP
`fsxadmin-readonly`	all	`security login password` Untuk mengelola akun pengguna sendiri kata sandi lokal dan informasi kunci saja
	none	`security`
	hanya-baca	Semua direktori perintah lain tersedia untuk FSx ONTAP

SVMperan administrator dan pengguna

Masing-masing SVM memiliki domain otentikasi terpisah dan dapat dikelola secara independen oleh administratornya sendiri. Untuk masing-masing SVM di sistem file Anda, pengguna default adalah vsadmin, yang memiliki vsadmin peran yang ditetapkan secara default. Selain vsadmin peran, ada peran lain yang telah ditentukan sebelumnya SVM yang memberikan izin cakupan bawah yang dapat Anda tetapkan kepada pengguna. SVM Anda juga dapat membuat peran khusus yang menyediakan tingkat kontrol akses yang memenuhi kebutuhan organisasi Anda.

Peran yang telah ditentukan untuk SVM administrator dan kemampuannya adalah sebagai berikut:

Nama peran	Kemampuan
`vsadmin`	Mengelola akun pengguna Anda, kata sandi lokal, dan informasi kunci Kelola volume, kecuali untuk pergerakan volume Kelola kuota, qtrees, salinan Snapshot, dan file Kelola LUNs Lakukan SnapLock operasi, kecuali untuk penghapusan hak istimewa Konfigurasikan protokol:NFS,SMB, dan i SCSI Konfigurasi layanan:DNS,LDAP, dan NIS Pantau pekerjaan Pantau koneksi jaringan dan antarmuka jaringan Pantau kesehatan SVM
`vsadmin-volume`	Mengelola akun pengguna Anda, kata sandi lokal, dan informasi kunci Kelola volume, termasuk pergerakan volume Kelola kuota, qtrees, salinan Snapshot, dan file Kelola LUNs Konfigurasikan protokol:NFS,SMB, dan i SCSI Konfigurasi layanan:DNS,LDAP, dan NIS Pantau antarmuka jaringan Pantau kesehatan SVM
`vsadmin-protocol`	Mengelola akun pengguna Anda, kata sandi lokal, dan informasi kunci Kelola LUNs Konfigurasikan protokol:NFS,SMB, dan i SCSI Konfigurasi layanan:DNS,LDAP, dan NIS Monitor antarmuka jaringan Pantau kesehatan SVM
`vsadmin-backup`	Mengelola akun pengguna Anda, kata sandi lokal, dan informasi kunci Kelola NDMP operasi Buat volume baca/tulis yang dipulihkan Mengelola SnapMirror hubungan dan salinan Snapshot Lihat volume dan informasi jaringan
`vsadmin-snaplock`	Mengelola akun pengguna Anda, kata sandi lokal, dan informasi kunci Kelola volume, kecuali untuk pergerakan volume Kelola kuota, qtrees, salinan Snapshot, dan file Lakukan SnapLock operasi, termasuk penghapusan hak istimewa Konfigurasikan protokol: dan NFS SMB Konfigurasi layanan:DNS,LDAP, dan NIS Pantau pekerjaan Pantau koneksi jaringan dan antarmuka jaringan
`vsadmin-readonly`	Mengelola akun pengguna Anda, kata sandi lokal, dan informasi kunci Pantau kesehatan SVM Pantau antarmuka jaringan Lihat volume dan LUNs Lihat layanan dan protokol

Untuk informasi selengkapnya tentang cara membuat SVM peran baru, lihatMenciptakan SVM peran.

Menggunakan Active Directory untuk mengautentikasi ONTAP pengguna

Anda dapat mengautentikasi akses pengguna domain Windows Active Directory ke sistem ONTAP file FSx for dan. SVM Anda harus melakukan tugas-tugas berikut sebelum akun Active Directory dapat mengakses sistem file Anda:

Anda perlu mengkonfigurasi akses pengontrol domain Active Directory ke fileSVM.

Yang SVM Anda gunakan untuk mengonfigurasi sebagai gateway atau terowongan untuk akses pengontrol domain Active Directory harus CIFS diaktifkan, digabungkan ke Active Directory, atau keduanya. Jika Anda tidak mengaktifkan CIFS dan hanya bergabung dengan terowongan SVM ke Active Directory, pastikan bahwa SVM tergabung ke Active Directory Anda. Untuk informasi selengkapnya, lihat Cara kerja bergabung SVMs ke Microsoft Active Directory.
Anda perlu mengaktifkan akun pengguna domain Active Directory untuk mengakses sistem file.

Anda dapat menggunakan otentikasi kata sandi atau otentikasi kunci SSH publik untuk pengguna domain Windows yang mengakses ONTAP CLIatau RESTAPI.

Untuk prosedur yang menjelaskan cara menggunakan untuk mengonfigurasi otentikasi Active Directory untuk sistem file dan SVM administrator, lihat. Mengkonfigurasi otentikasi Active Directory untuk ONTAP pengguna

Membuat baru ONTAP pengguna untuk sistem file dan SVM administrasi

Masing-masing ONTAP pengguna dikaitkan dengan SVM atau sistem file. Pengguna sistem file dengan fsxadmin peran dapat membuat SVM peran dan pengguna baru dengan menggunakan security login create ONTAP CLIperintah.

security login createPerintah membuat metode login untuk utilitas manajemen. Metode login terdiri dari nama pengguna, aplikasi (metode akses), dan metode otentikasi. Nama pengguna dapat dikaitkan dengan beberapa aplikasi. Secara opsional dapat menyertakan nama peran kontrol akses. Jika Active DirectoryLDAP,, atau nama NIS grup digunakan, maka metode login memberikan akses ke pengguna yang termasuk dalam grup yang ditentukan. Jika pengguna adalah anggota dari beberapa grup yang disediakan dalam tabel login keamanan, maka pengguna akan mendapatkan akses ke daftar gabungan perintah yang diotorisasi untuk masing-masing grup.

Untuk informasi yang menjelaskan cara membuat yang baru ONTAP pengguna, lihatMembuat ONTAP pengguna.

Topik

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan perangkat lunak antivirus

Membuat ONTAP pengguna