Ruoli e utenti degli amministratori del file system SVMruoli e utenti di amministratore Autenticazione ONTAP degli utenti con Active Directory Creazione di nuovi ONTAP utenti per il file system e l'amministrazione SVM

ONTAPruoli e utenti

NetApp ONTAPinclude una funzionalità di controllo degli accessi () RBAC robusta ed estensibile basata sui ruoli. ONTAPi ruoli definiscono le capacità e i privilegi degli utenti quando utilizzano and. ONTAP CLI REST API Ogni ruolo definisce un diverso livello di capacità e privilegi amministrativi. Assegnate ruoli agli utenti allo scopo di controllarne l'accesso FSx alle ONTAP risorse quando utilizzano and. ONTAP REST API CLI Sono disponibili ONTAP ruoli separati per gli utenti ONTAP del file system e FSx per gli utenti delle macchine virtuali di archiviazione (SVM).

Quando si crea un ONTAP file system FSx for, viene creato un ONTAP utente predefinito a livello di file system e a SVM livello. È possibile creare file system e SVM utenti aggiuntivi e creare SVM ruoli aggiuntivi per soddisfare le esigenze dell'organizzazione. In questo capitolo vengono descritti ONTAP gli utenti e i ruoli e vengono fornite procedure dettagliate per la creazione di utenti e SVM ruoli aggiuntivi.

Ruoli e utenti degli amministratori del file system

L'utente predefinito del ONTAP file system èfsxadmin, a cui è assegnato il fsxadmin ruolo. È possibile assegnare due ruoli predefiniti agli utenti del file system, elencati di seguito:

fsxadmin—Gli amministratori con questo ruolo dispongono di diritti illimitati nel sistema. ONTAP Possono configurare tutte le risorse a livello di file system e a SVM livello di file disponibili sui FSx file system. ONTAP
fsxadmin-readonly—Gli amministratori con questo ruolo possono visualizzare tutto a livello di file system ma non possono apportare modifiche.

Questo ruolo è ideale per l'uso con le applicazioni di monitoraggio, ad esempio NetApp Harvest perché ha accesso in sola lettura a tutte le risorse disponibili e alle relative proprietà, ma non può apportarvi alcuna modifica.

È possibile creare utenti del file system aggiuntivi e assegnare loro il ruolo o. fsxadmin fsxadmin-readonly Non è possibile creare nuovi ruoli o modificare i ruoli esistenti. Per ulteriori informazioni, consulta Creazione di nuovi ONTAP utenti per il file system e l'amministrazione SVM.

La tabella seguente descrive il livello di accesso dei ruoli di amministratore del file system ONTAP CLI e REST API i comandi e le directory dei comandi.

Nome ruolo	Livello di accesso	Ai seguenti comandi o directory di comandi
`fsxadmin`	tutto	Tutte le directory di comandi disponibili in for FSx ONTAP
`fsxadmin-readonly`	tutto	`security login password` Solo per la gestione del proprio account utente, della password locale e delle informazioni chiave
	nessuno	`security`
	sola lettura	Tutte le altre directory di comandi disponibili in for FSx ONTAP

SVMruoli e utenti di amministratore

Ciascuno SVM ha un dominio di autenticazione separato e può essere gestito in modo indipendente dai propri amministratori. Per ogni SVM utente del file system, l'utente predefinito è vsadmin, a cui è assegnato il vsadmin ruolo predefinito. Oltre al vsadmin ruolo, esistono altri SVM ruoli predefiniti che forniscono autorizzazioni limitate che è possibile assegnare agli utenti. SVM È inoltre possibile creare ruoli personalizzati che forniscono il livello di controllo degli accessi adatto alle esigenze dell'organizzazione.

I ruoli predefiniti per SVM gli amministratori e le relative funzionalità sono i seguenti:

Nome ruolo	Funzionalità
`vsadmin`	Gestisci il tuo account utente, la password locale e le informazioni chiave Gestisci i volumi, ad eccezione degli spostamenti di volume Gestisci quote, qtree, copie istantanee e file Gestisci LUNs Esegui SnapLock operazioni, ad eccezione dell'eliminazione con privilegi Configura i protocolli: NFSSMB, e i SCSI Configura i servizi: DNSLDAP, e NIS Monitoraggio dei lavori Monitora le connessioni di rete e l'interfaccia di rete Monitora lo stato di SVM
`vsadmin-volume`	Gestisci il tuo account utente, la password locale e le informazioni chiave Gestisci i volumi, compresi gli spostamenti di volume Gestisci quote, qtree, copie istantanee e file Gestisci LUNs Configura i protocolli: NFSSMB, e i SCSI Configura i servizi: DNSLDAP, e NIS Monitora l'interfaccia di rete Monitora lo stato di SVM
`vsadmin-protocol`	Gestisci il tuo account utente, la password locale e le informazioni chiave Gestisci LUNs Configura i protocolli: NFSSMB, e i SCSI Configura i servizi: DNSLDAP, e NIS Monitora l'interfaccia di rete Monitora lo stato di SVM
`vsadmin-backup`	Gestisci il tuo account utente, la password locale e le informazioni chiave Gestisci NDMP le operazioni Effettua la lettura/scrittura di un volume ripristinato Gestisci le SnapMirror relazioni e le copie delle istantanee Visualizza i volumi e le informazioni di rete
`vsadmin-snaplock`	Gestisci il tuo account utente, la password locale e le informazioni chiave Gestisci i volumi, ad eccezione degli spostamenti di volume Gestisci quote, qtree, copie istantanee e file Esegui SnapLock operazioni, inclusa l'eliminazione con privilegi Configurare i protocolli: NFS e SMB Configurare i servizi: DNSLDAP, e NIS Monitoraggio dei lavori Monitora le connessioni di rete e l'interfaccia di rete
`vsadmin-readonly`	Gestisci il tuo account utente, la password locale e le informazioni chiave Monitora lo stato di SVM Monitora l'interfaccia di rete Visualizza i volumi e LUNs Visualizza servizi e protocolli

Per ulteriori informazioni su come creare un nuovo SVM ruolo, vedereCreazione di SVM ruoli.

Utilizzo di Active Directory per autenticare gli utenti ONTAP

È possibile autenticare l'accesso degli utenti del dominio Windows Active Directory a un file system FSx for ONTAP e. SVM È necessario eseguire le seguenti attività prima che gli account di Active Directory possano accedere al file system:

È necessario configurare l'accesso del controller di dominio Active Directory aSVM.

Il SVM dispositivo utilizzato per la configurazione come gateway o tunnel per l'accesso al controller di dominio Active Directory deve essere CIFS abilitato, essere stato aggiunto a un Active Directory o entrambi. Se non lo stai abilitando CIFS e stai solo collegando il tunnel SVM a un Active Directory, assicurati che SVM sia collegato al tuo Active Directory. Per ulteriori informazioni, consulta Come funziona l'SVMsaccesso a Microsoft Active Directory.
È necessario abilitare un account utente di dominio Active Directory per accedere al file system.

È possibile utilizzare l'autenticazione tramite password o l'autenticazione con chiave SSH pubblica per gli utenti del dominio Windows che accedono a ONTAP CLI o RESTAPI.

Per le procedure che descrivono come utilizzare per configurare l'autenticazione Active Directory per il file system e SVM gli amministratori, vedere. Configurazione dell'autenticazione Active Directory per gli utenti ONTAP

Creazione di nuovi ONTAP utenti per il file system e l'amministrazione SVM

Ogni ONTAP utente è associato a un SVM o al file system. Gli utenti del file system con il fsxadmin ruolo possono creare nuovi SVM ruoli e utenti utilizzando il security login createONTAPCLIcomando.

Il security login create comando crea un metodo di accesso per l'utilità di gestione. Un metodo di accesso è costituito da un nome utente, un'applicazione (metodo di accesso) e un metodo di autenticazione. Un nome utente può essere associato a più applicazioni. Facoltativamente può includere un nome di ruolo per il controllo degli accessi. Se viene utilizzato un nome di Active Directory o di NIS gruppo, il metodo di login consente l'accesso agli utenti appartenenti al gruppo specificato. LDAP Se l'utente è membro di più gruppi indicati nella tabella di accesso di sicurezza, avrà accesso a un elenco combinato dei comandi autorizzati per i singoli gruppi.

Per informazioni su come creare un nuovo ONTAP utente, vedere. Creazione di utenti ONTAP

Argomenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo di un software antivirus

Creazione di utenti ONTAP