Usuários e perfis do ONTAP
O NetApp ONTAP inclui uma capacidade de controle de acesso por perfil (RBAC) robusta e extensível. Os perfis do ONTAP definem os recursos e os privilégios do usuário ao utilizar a API REST e a CLI do ONTAP. Cada perfil define um nível diferente de recursos e privilégios administrativos. Você atribui perfis aos usuários com a finalidade de controlar o acesso deles aos recursos do FSx para ONTAP ao usar a API REST e a CLI do ONTAP. Há perfis do ONTAP disponíveis separadamente para usuários do sistema de arquivos do FSx para ONTAP e usuários de máquina virtual de armazenamento (SVM).
Quando você cria um sistema de arquivos do FSx para ONTAP, um usuário padrão do ONTAP é criado no nível do sistema de arquivos e no nível de SVM. Você pode criar outros usuários do sistema de arquivos e do SVM, além de criar perfis adicionais do SVM para atender às necessidades da sua organização. Este capítulo explica os usuários e perfis do ONTAP, e apresenta procedimentos detalhados para criar usuários adicionais e perfis de SVM.
Perfis e usuários de administrador do sistema de arquivos
O usuário padrão do sistema de arquivos do ONTAP é fsxadmin, que tem o perfil fsxadmin atribuído a ele. Há dois perfis predefinidos que você pode atribuir aos usuários do sistema de arquivos, listadas a seguir:
-
fsxadmin: os administradores com esse perfil têm direitos irrestritos no sistema ONTAP. Eles podem configurar todos os recursos do sistema de arquivos e da SVM disponíveis em sistemas de arquivos do FSx para ONTAP. fsxadmin-readonly: os administradores com esse perfil podem ver tudo no nível do sistema de arquivos, mas não podem fazer nenhuma alteração.Esse perfil é adequado para uso com aplicativos de monitoramento (p. ex., NetApp Harvest), porque ele tem acesso somente de leitura a todos os recursos disponíveis e suas propriedades, mas não pode fazer nenhuma alteração neles.
Você pode criar outros usuários do sistema de arquivos e atribuir a eles o perfil fsxadmin ou fsxadmin-readonly. Você não pode criar novos perfis nem modificar os perfis existentes. Para obter mais informações, consulte Criação de novos usuários do ONTAP para administração do sistema de arquivos e do SVM.
A tabela a seguir descreve o nível de acesso que os perfis de administrador do sistema de arquivos têm aos comandos e diretórios de comandos da API REST e da CLI do ONTAP.
| Nome do perfil | Nível de acesso | Aos seguintes comandos ou diretórios de comandos |
|---|---|---|
|
|
tudo | Todos os diretórios de comando disponíveis no FSx para ONTAP |
|
tudo |
Somente para gerenciar sua própria conta de usuário, senha local e informações de chave |
| nenhuma | security |
|
| somente leitura | Todos os outros diretórios de comando disponíveis no FSx para ONTAP |
Perfis e usuários de administrador do SVM
Cada SVM tem um domínio de autenticação separado e pode ser gerenciado de modo independente por seus próprios administradores. Cada SVM em seu sistema de arquivos tem um usuário padrão chamado vsadmin, que tem o perfil vsadmin atribuído por padrão. Além do perfil vsadmin, há outros perfis predefinidos do SVM que fornecem permissões com escopo reduzido que você pode atribuir aos usuários do SVM. Você também pode criar perfis personalizados que forneçam o nível de controle de acesso adequado às necessidades da sua organização.
Os perfis predefinidos para administradores de SVM e seus recursos são os seguintes:
| Nome do perfil | Capacidades |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Para obter mais informações sobre como criar um novo perfil de SVM, consulte Criação de perfis de SVM.
Como usar o Active Directory para autenticar usuários do ONTAP
Você pode autenticar o acesso dos usuários do domínio do Windows Active Directory a um sistema de arquivos do FSx para ONTAP. Você deve executar as seguintes tarefas antes que as contas do Active Directory possam acessar seu sistema de arquivos:
Você precisa configurar o acesso do controlador de domínio do Active Directory para o SVM.
O SVM que você usa para configurar como gateway ou túnel para acesso ao controlador de domínio do Active Directory deve ter o CIFS habilitado, estar associado a um Active Directory ou ambos. Se você não estiver habilitando o CIFS e somente unindo a SVM do túnel a um Active Directory, certifique-se de que a SVM esteja associada ao Active Directory. Para obter mais informações, consulte Funcionamento da associação de SVMs a um Microsoft Active Directory.
Você precisa habilitar uma conta de usuário de domínio do Active Directory para acessar o sistema de arquivos.
Você pode usar a autenticação por senha ou a autenticação de chave pública SSH para usuários de domínio do Windows que acessam a API REST ou a CLI do ONTAP.
Para ver os procedimentos que descrevem como configurar a autenticação do Active Directory para administradores de sistemas de arquivos e SVM, consulte Configuração da autenticação do Active Directory para usuários do ONTAP.
Criação de novos usuários do ONTAP para administração do sistema de arquivos e do SVM
Cada usuário do ONTAP está associado a uma SVM ou ao sistema de arquivos. Os usuários do sistema de arquivos com o perfil fsxadmin podem criar novos perfis e usuários do SVM usando o comando security login create
O comando security login create cria um método de login para o utilitário de gerenciamento. Um método de login consiste em um nome de usuário, um aplicativo (método de acesso) e um método de autenticação. Um nome de usuário pode ser associado a vários aplicativos. Opcionalmente, ele pode incluir um nome de perfil de controle de acesso. Se um nome de grupo do Active Directory, LDAP ou NIS for usado, o método de login concederá acesso aos usuários pertencentes ao grupo especificado. Se o usuário integrar vários grupos provisionados na tabela de login de segurança, ele terá acesso a uma lista combinada dos comandos autorizados para cada grupo.
Para obter informações que descrevem como criar um novo usuário do ONTAP, consulte Criação de usuários do ONTAP.
Tópicos
