Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
ONTAP ruoli e utenti
NetApp ONTAP include una funzionalità di controllo degli accessi basata sui ruoli (RBAC) robusta ed estensibile. ONTAP i ruoli definiscono le capacità e i privilegi degli utenti quando si utilizza il ONTAP CLI e API REST. Ogni ruolo definisce un diverso livello di capacità e privilegi amministrativi. Si assegnano ruoli agli utenti allo scopo di controllarne l'accesso alle FSx risorse For ONTAP quando si utilizza il ONTAP API REST e CLI. Ci sono ONTAP ruoli disponibili separatamente FSx per gli utenti del file system ONTAP e per gli utenti di Storage Virtual Machine (SVM).
Quando si crea un file system FSx for ONTAP, un file system predefinito ONTAP l'utente viene creato a livello di file system e a livello SVM. È possibile creare utenti di file system e SVM aggiuntivi e creare ruoli SVM aggiuntivi per soddisfare le esigenze dell'organizzazione. Questo capitolo spiega ONTAP utenti e ruoli e fornisce procedure dettagliate per la creazione di utenti e ruoli SVM aggiuntivi.
Ruoli e utenti dell'amministratore del file system
Il valore di timeout predefinito per ONTAP utente del file system èfsxadmin
, a cui è assegnato il fsxadmin
ruolo. È possibile assegnare due ruoli predefiniti agli utenti del file system, elencati di seguito:
-
fsxadmin
—Gli amministratori con questo ruolo dispongono di diritti illimitati in ONTAP sistema. Possono configurare tutte le risorse a livello di file system e SVM disponibili sui FSx file system ONTAP. fsxadmin-readonly
—Gli amministratori con questo ruolo possono visualizzare tutto a livello di file system ma non possono apportare modifiche.Questo ruolo è ideale per l'uso con applicazioni di monitoraggio come NetApp Harvest perché ha accesso in sola lettura a tutte le risorse disponibili e alle relative proprietà, ma non può modificarle.
È possibile creare utenti aggiuntivi del file system e assegnare loro il fsxadmin
ruolo or. fsxadmin-readonly
Non è possibile creare nuovi ruoli o modificare i ruoli esistenti. Per ulteriori informazioni, consulta Creazione di nuovi ONTAP utenti per l'amministrazione di file system e SVM.
La tabella seguente descrive il livello di accesso dei ruoli di amministratore del file system ONTAP Comandi e directory di comandi delle API CLI e REST.
Nome ruolo | Livello di accesso | Ai seguenti comandi o directory di comandi |
---|---|---|
|
tutto | Tutte le directory di comandi disponibili in FSx ONTAP |
|
tutto |
Solo per gestire il proprio account utente, la password locale e le informazioni chiave |
nessuno | security |
|
sola lettura | Tutte le altre directory di comandi disponibili in FSx ONTAP |
Ruoli e utenti degli amministratori SVM
Ogni SVM ha un dominio di autenticazione separato e può essere gestita in modo indipendente dai propri amministratori. Per ogni SVM del file system, l'utente predefinito è vsadmin, a cui viene assegnato il vsadmin
ruolo di default. Oltre al vsadmin
ruolo, esistono altri ruoli SVM predefiniti che forniscono autorizzazioni limitate che è possibile assegnare agli utenti SVM. È inoltre possibile creare ruoli personalizzati che forniscono il livello di controllo degli accessi adatto alle esigenze dell'organizzazione.
I ruoli predefiniti per gli amministratori SVM e le relative funzionalità sono i seguenti:
Nome ruolo | Funzionalità |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
Per ulteriori informazioni su come creare un nuovo ruolo SVM, vedereCreazione di ruoli SVM.
Utilizzo di Active Directory per l'autenticazione ONTAP utenti
È possibile autenticare l'accesso degli utenti del dominio Windows Active Directory a un file system FSx for ONTAP e a SVM. È necessario eseguire le seguenti attività prima che gli account Active Directory possano accedere al file system:
È necessario configurare l'accesso del controller di dominio Active Directory alla SVM.
L'SVM utilizzato per configurare come gateway o tunnel per l'accesso al controller di dominio Active Directory deve avere CIFS abilitato, essere aggiunto a un Active Directory o entrambi. Se non stai abilitando CIFS e stai solo unendo il tunnel SVM a un Active Directory, assicurati che l'SVM sia aggiunto al tuo Active Directory. Per ulteriori informazioni, consulta Come funziona l' SVMs accesso a Microsoft Active Directory.
È necessario abilitare un account utente di dominio Active Directory per accedere al file system.
È possibile utilizzare l'autenticazione tramite password o l'autenticazione con chiave pubblica SSH per gli utenti del dominio Windows che accedono a ONTAP CLI o API REST.
Per le procedure che descrivono come utilizzare per configurare l'autenticazione Active Directory per gli amministratori del file system e SVM, consulta. Configurazione dell'autenticazione Active Directory per ONTAP utenti
Creazione di nuovi ONTAP utenti per l'amministrazione di file system e SVM
Ciascuno ONTAP l'utente è associato a un SVM o al file system. Gli utenti del file system con il fsxadmin
ruolo possono creare nuovi ruoli e utenti SVM utilizzando il security login create
Il security login create
comando crea un metodo di accesso per l'utilità di gestione. Un metodo di accesso è costituito da un nome utente, un'applicazione (metodo di accesso) e un metodo di autenticazione. Un nome utente può essere associato a più applicazioni. Facoltativamente può includere un nome di ruolo per il controllo degli accessi. Se viene utilizzato un nome di gruppo Active Directory, LDAP o NIS, il metodo di login consente l'accesso agli utenti appartenenti al gruppo specificato. Se l'utente è membro di più gruppi indicati nella tabella di accesso di sicurezza, avrà accesso a un elenco combinato dei comandi autorizzati per i singoli gruppi.
Per informazioni che descrivono come crearne uno nuovo ONTAP utente, vedereCreazione ONTAP utenti.