ONTAP 用户和角色 - FSx for ONTAP
文件系统管理员角色和用户SVM 管理员角色和用户使用 Active Directory 对 ONTAP 用户进行身份验证为文件系统和 SVM 管理创建新的 ONTAP 用户

ONTAP 用户和角色

NetApp ONTAP 包含强大且可扩展的基于角色的访问控制 (RBAC) 功能。ONTAP 角色定义用户在使用 ONTAP CLI 和 REST API 时的能力和权限。每个角色定义不同级别的管理功能和权限。可以为用户分配角色,以便控制他们在使用 ONTAP REST API 和 CLI 时对 FSx for ONTAP 资源的访问。有一些是 ONTAP 角色分别提供给 FSx for ONTAP 文件系统用户和存储虚拟机 (SVM) 用户的。

在创建 FSx for ONTAP 文件系统时,将创建文件系统级和 SVM 级的默认 ONTAP 用户。您可以创建其他文件系统用户和 SVM 用户,也可以创建其他 SVM 角色来满足贵组织的需求。本章介绍了 ONTAP 用户和角色,并提供了创建其他用户和 SVM 角色的详细步骤。

文件系统管理员角色和用户

默认 ONTAP 文件系统用户为 fsxadmin,该用户被分配了 fsxadmin 角色。您可以为文件系统用户分配两个预定义角色,如下所示:

  • fsxadmin - 具有此角色的管理员在 ONTAP 系统中拥有不受限制的权限。他们可以在 FSx for ONTAP 文件系统上配置所有可用的文件系统和 SVM 级资源。

  • fsxadmin-readonly - 具有此角色的管理员可以查看文件系统级别的所有内容,但不能进行任何更改。

    此角色非常适合与 NetApp Harvest 等监视应用程序一起使用,因为它对所有可用资源及其属性拥有只读访问权限,但无法对其进行任何更改。

您可以创建其他文件系统用户并为其分配 fsxadminfsxadmin-readonly 角色。您无法创建新角色或修改现有角色。有关更多信息,请参阅 为文件系统和 SVM 管理创建新的 ONTAP 用户

下表描述了文件系统管理员角色对 ONTAP CLI 和 REST API 命令以及命令目录拥有的访问权限。

角色名称 访问级别 对以下命令或命令目录

fsxadmin

 all FSx for ONTAP 中可用的所有命令目录

fsxadmin-readonly

 all

security login password

仅用于管理自己的用户账户本地密码和密钥信息
none security
readonly FSx for ONTAP 中可用的其他所有命令目录

SVM 管理员角色和用户

每个 SVM 都有单独的身份验证域,可以由其管理员进行独立管理。文件系统上的每个 SVM 都有一个默认用户 vsadmin,并默认为 vsadmin 分配了角色。除 vsadmin 角色外,还有其他预定义的 SVM 角色可提供缩小的权限范围,您可以将此权限分配给 SVM 用户。您还可以创建自定义角色,提供满足贵组织需求的访问控制级别。

SVM 管理员的预定义角色及其功能如下:

角色名称 功能

vsadmin

  • 管理您的用户账户、本地密码和密钥信息

  • 管理卷,但移动卷除外

  • 管理配额、qtree、快照副本和文件

  • 管理 LUN

  • 执行 SnapLock 操作,但特权删除除外

  • 配置协议:NFS、SMB 和 iSCSI

  • 配置服务:DNS、LDAP 和 NIS

  • 监控作业

  • 监控网络连接和网络接口

  • 监控 SVM 的运行状况

vsadmin-volume

  • 管理您的用户账户、本地密码和密钥信息

  • 管理卷,包括卷移动

  • 管理配额、qtree、快照副本和文件

  • 管理 LUN

  • 配置协议:NFS、SMB 和 iSCSI

  • 配置服务:DNS、LDAP 和 NIS

  • 监控网络接口

  • 监控 SVM 的运行状况

vsadmin-protocol

  • 管理您的用户账户、本地密码和密钥信息

  • 管理 LUN

  • 配置协议:NFS、SMB 和 iSCSI

  • 配置服务:DNS、LDAP 和 NIS

  • 监控网络接口

  • 监控 SVM 的运行状况

vsadmin-backup

  • 管理您的用户账户、本地密码和密钥信息

  • 管理 NDMP 操作

  • 对恢复的卷进行读/写

  • 管理 SnapMirror 关系和快照副本

  • 查看卷和网络信息

vsadmin-snaplock

  • 管理您的用户账户、本地密码和密钥信息

  • 管理卷,但移动卷除外

  • 管理配额、qtree、快照副本和文件

  • 执行 SnapLock 操作,包括特权删除

  • 配置协议:NFS 和 SMB

  • 配置服务:DNS、LDAP 和 NIS

  • 监控作业

  • 监控网络连接和网络接口

vsadmin-readonly

  • 管理您的用户账户、本地密码和密钥信息

  • 监控 SVM 的运行状况

  • 监控网络接口

  • 查看卷和 LUN

  • 查看服务和协议

有关如何创建新 SVM 角色的更多信息,请参阅 创建 SVM 角色

使用 Active Directory 对 ONTAP 用户进行身份验证

您可以对 Windows Active Directory 域用户访问 FSx for ONTAP 文件系统和 SVM 进行身份验证。在 Active Directory 账户可以访问文件系统之前,您必须完成以下任务:

  • 需要配置 Active Directory 域控制器对 SVM 的访问权限。

    用于配置为 Active Directory 域控制器访问网关或隧道的 SVM 必须启用 CIFS、加入活动目录,或两者兼之。如果不启用 CIFS,只是将隧道 SVM 加入 Active Directory,请确保 SVM 已加入您的 Active Directory。有关更多信息,请参阅 如何将 SVM 加入 Microsoft Active Directory

  • 需要启用 Active Directory 域用户账户以访问文件系统。

    对于访问 ONTAP CLI 或 REST API 的 Windows 域用户,可以使用密码身份验证,也可以使用 SSH 公钥身份验证。

有关如何为文件系统和 SVM 管理员配置 Active Directory 身份验证的过程,请参阅 为 ONTAP 用户配置 Active Directory 身份验证

为文件系统和 SVM 管理创建新的 ONTAP 用户

每个 ONTAP 用户都与 SVM 或文件系统关联。具有 fsxadmin 角色的文件系统用户可以使用 security login create ONTAP CLI 命令创建新的 SVM 角色和用户。

security login create 命令创建管理实用程序的登录方法。登录方法由用户名、应用程序(访问方法)和身份验证方法构成。一个用户名可以与多个应用程序相关联。可以选择包含访问控制角色名称。如果使用的是 Active Directory、LDAP 或 NIS 组名,则登录方法允许访问属于指定组的用户。如果用户是安全登录表中预置的多个群组的成员,则该用户可以访问授权给各个群组的命令列表。

有关如何创建新 ONTAP 用户的信息,请参阅 创建 ONTAP 用户

主题