ONTAP角色和使用者 - 適用於 ONTAP 的 FSx
檔案系統管理員角色與使用者SVM管理員角色和使用者使用活動目錄驗證ONTAP用戶建立檔案系統與SVM管理的新ONTAP使用者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

ONTAP角色和使用者

NetApp ONTAP包含強大且可擴充的角色型存取控制 (RBAC) 功能。 ONTAP使用和時,角色定義了使用者權能ONTAPCLI和權限RESTAPI。每個角色都會定義不同層級的管理權能和權限。您可以將角色指派給使用者,以便在使用ONTAPRESTAPI和時控制其FSx對ONTAP資源的存取權限CLI。ONTAP檔案系統使用者和儲存區虛擬機器 (SVM) 使用者可分別使用ONTAP角色。FSx

當您建立 F FSx OR ONTAP 檔案系統時,會在檔案系統層級和層級上建立預設ONTAP使用者。SVM您可以建立其他檔案系統和SVM使用者,也可以建立其他SVM角色以符合組織的需求。本章說明ONTAP使用者和角色,並提供建立其他使用者和SVM角色的詳細程序。

檔案系統管理員角色與使用者

默認的ONTAP文件系統用戶是fsxadmin,它具有指定的fsxadmin角色。您可以將兩個預先定義的角色指定給檔案系統使用者,如下所示:

  • fsxadmin具有此角色的管理員在系統中擁有不受限制的ONTAP權限。他們可以配置文件系統上FSx可用的所有ONTAP文件系統和SVM級別資源。

  • fsxadmin-readonly— 具有此角色的管理員可以檢視檔案系統層級的所有內容,但無法進行任何變更。

    此角色非常適合用於監視應用程式,例如,NetApp Harvest因為它對所有可用資源及其屬性具有唯讀存取權,但無法對其進行任何變更。

您可以建立其他檔案系統使用者,並為其指定fsxadminfsxadmin-readonly角色。您無法建立新角色或修改現有角色。如需詳細資訊,請參閱建立檔案系統與SVM管理的新ONTAP使用者

下表說明檔案系統管理員角色所擁有的存取層級,以ONTAPCLI及RESTAPI指令和指令目錄。

角色名稱 存取層級 至下列指令或指令目錄

fsxadmin

 全部 中所有可用FSx的命令目錄 ONTAP

fsxadmin-readonly

 全部

security login password

僅用於管理自己的用戶帳戶本地密碼和密鑰信息
security
只讀 中可用FSx的所有其他指令目錄 ONTAP

SVM管理員角色和使用者

每個網域都SVM有個別的驗證網域,可由其自己的系統管理員獨立管理。對於檔案系統SVM上的每個使用者,預設使用者都是 vsadmin,依預設會指定vsadmin角色。除了vsadmin角色之外,還有其他預先定義的SVM角色可提供您可以指派給使用者的關閉範圍權限。SVM您也可以建立自訂角色,以提供符合組織需求的存取控制層級。

SVM管理員及其權能的預先定義角色如下:

角色名稱 功能

vsadmin

  • 管理您的使用者帳戶、本機密碼和金鑰資訊

  • 管理磁碟區,磁碟區移動除外

  • 管理配額、Q 樹狀結構、快照複本和檔案

  • 管理 LUNs

  • 執行 SnapLock 作業,授權刪除除外

  • 設定通訊協定:NFSSMB、和 i SCSI

  • 設定服務:DNSLDAP、和 NIS

  • 監控作業

  • 監控網絡連接和網絡接口

  • 監控的健康狀況 SVM

vsadmin-volume

  • 管理您的使用者帳戶、本機密碼和金鑰資訊

  • 管理磁碟區,包括磁碟區移動

  • 管理配額、Q 樹狀結構、快照複本和檔案

  • 管理 LUNs

  • 設定通訊協定:NFSSMB、和 i SCSI

  • 設定服務:DNSLDAP、和 NIS

  • 監控網路介面

  • 監控的健康狀況 SVM

vsadmin-protocol

  • 管理您的使用者帳戶、本機密碼和金鑰資訊

  • 管理 LUNs

  • 設定通訊協定:NFSSMB、和 i SCSI

  • 設定服務:DNSLDAP、和 NIS

  • 監控網路介面

  • 監控的健康狀況 SVM

vsadmin-backup

  • 管理您的使用者帳戶、本機密碼和金鑰資訊

  • 管理NDMP作業

  • 使用復原的磁碟讀取/寫入

  • 管理 SnapMirror 關係和快照副本

  • 檢視磁碟區和網路資訊

vsadmin-snaplock

  • 管理您的使用者帳戶、本機密碼和金鑰資訊

  • 管理磁碟區,磁碟區移動除外

  • 管理配額、Q 樹狀結構、快照複本和檔案

  • 執行 SnapLock 作業,包括授權刪除

  • 設定通訊協定:NFS和 SMB

  • 設定服務:DNSLDAP、和 NIS

  • 監控作業

  • 監控網絡連接和網絡接口

vsadmin-readonly

  • 管理您的使用者帳戶、本機密碼和金鑰資訊

  • 監控的健康狀況 SVM

  • 監控網路介面

  • 檢視磁碟區和 LUNs

  • 檢視服務和通訊協定

如需如何建立新SVM角色的詳細資訊,請參閱建立SVM角色

使用活動目錄驗證用ONTAP戶

您可以驗證 Windows 作用中目錄網域使用者對FSx於ONTAP檔案系統和的存取SVM。您必須先執行下列工作,才能存取您的檔案系統:

  • 您需要設定使用中目錄網域控制站的存取SVM。

    SVM您用來設定為 Active Directory 網域控制站存取的閘道或通道必須已CIFS啟用、加入作用中目錄,或兩者兼而有之。如果您不啟用,而CIFS且只SVM將通道加入至作用中目錄,請確定SVM已結合至您的作用中目錄。如需詳細資訊,請參閱如何加入 Microsoft 活動目錄SVMs的工作原理

  • 您必須啟用 Active Directory 網域使用者帳戶,才能存取檔案系統。

    對於存取或的 Windows 網域使用者,您可以使用密碼驗證ONTAPCLI或SSH公開金鑰驗證RESTAPI。

如需說明如何使用來設定檔案系統和系統SVM管理員的 Active Directory 驗證的程序,請參閱設定ONTAP使用者的使用中目錄驗證

建立檔案系統與SVM管理的新ONTAP使用者

每個ONTAP使用者都與SVM或檔案系統相關聯。具有該fsxadmin角色的檔案系統使用者可以使用security login createONTAPCLI指令建立新SVM角色和使用者。

此指security login create令會建立管理公用程式的登入方法。登入方法包含使用者名稱、應用程式 (存取方法) 和驗證方法。一個使用者名稱可以與多個應用程式相關聯。它可以選擇性地包含存取控制角色名稱。如果使用 Active Directory LDAP、或NIS群組名稱,則登入方法可讓您存取屬於指定群組的使用者。如果使用者是安全性登入表格中佈建的多個群組的成員,則使用者將可存取授權給個別群組之命令的組合清單。

如需如何建立新ONTAP使用者的資訊,請參閱建立 ONTAP 使用者

主題