ONTAP 角色和使用者 - 適用於 ONTAP 的 FSx
檔案系統管理員角色和使用者SVM 管理員角色和使用者驗證 ONTAP 具有 Active Directory 的使用者建立新的 ONTAP 檔案系統和SVM管理的使用者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

ONTAP 角色和使用者

NetApp ONTAP 包含強大且可擴展的角色型存取控制 (RBAC) 功能。ONTAP 角色定義使用 時的使用者功能和權限 ONTAP CLI 和 REST API。每個角色都會定義不同層級的管理功能和權限。您可以將角色指派給使用者,以便在使用 時控制使用者對 ONTAP 資源FSx的存取 ONTAP REST API 和 CLI。有 ONTAP ONTAP 檔案系統使用者和儲存虛擬機器 FSx (SVM) 使用者分別可用的 角色。

當您FSx為ONTAP檔案系統建立 時,預設 ONTAP 使用者是在檔案系統層級和SVM層級建立。您可以建立其他檔案系統和SVM使用者,也可以建立其他SVM角色以滿足組織的需求。本章說明 ONTAP 使用者和角色,並提供建立其他使用者和SVM角色的詳細程序。

檔案系統管理員角色和使用者

預設的 ONTAP 檔案系統使用者為 fsxadmin,其具有指派給該使用者fsxadmin的角色。您可以為檔案系統使用者指派兩個預先定義的角色,如下所示:

  • fsxadmin- 具有此角色的管理員在 中有不受限制的權限 ONTAP 系統。他們可以設定 FSx上可用於檔案系統的所有ONTAP檔案系統和 SVM層級資源。

  • fsxadmin-readonly—具有此角色的管理員可以在檔案系統層級檢視所有內容,但無法進行任何變更。

    此角色非常適合與監控應用程式搭配使用,例如 NetApp Harvest 因為它具有所有可用資源及其屬性的唯讀存取權,但無法對其進行任何變更。

您可以建立其他檔案系統使用者,並為其指派 fsxadminfsxadmin-readonly角色。您無法建立新角色或修改現有角色。如需詳細資訊,請參閱建立新的 ONTAP 檔案系統和SVM管理的使用者

下表說明檔案系統管理員角色的存取層級 ONTAP CLI 和 REST API 命令和命令目錄。

角色名稱 存取層級 前往下列命令或命令目錄

fsxadmin

 全部 FSx 中可用於 的所有命令目錄 ONTAP

fsxadmin-readonly

 全部

security login password

僅適用於管理自己的使用者帳戶本機密碼和金鑰資訊
security
唯讀 適用於 FSx的所有其他命令目錄 ONTAP

SVM 管理員角色和使用者

每個 SVM 都有單獨的身分驗證網域,並且可以由自己的管理員獨立管理。對於SVM檔案系統上的每個 ,預設使用者為 vsadmin ,其依預設指派vsadmin角色。除了vsadmin角色之外,還有其他預先定義的SVM角色,提供可指派給SVM使用者的範圍縮減許可。您也可以建立自訂角色,提供符合組織需求的存取控制層級。

SVM 管理員及其功能的預先定義角色如下:

角色名稱 功能

vsadmin

  • 管理您的使用者帳戶、本機密碼和金鑰資訊

  • 管理磁碟區,磁碟區移動除外

  • 管理配額、qtrees、快照複本和檔案

  • 管理 LUNs

  • 執行 SnapLock 操作,特殊權限刪除除外

  • 設定通訊協定:NFS、 SMB和 iSCSI

  • 設定服務:LDAP、 DNS和 NIS

  • 監控作業

  • 監控網路連線和網路介面

  • 監控 的運作狀態 SVM

vsadmin-volume

  • 管理您的使用者帳戶、本機密碼和金鑰資訊

  • 管理磁碟區,包括磁碟區移動

  • 管理配額、qtrees、快照複本和檔案

  • 管理 LUNs

  • 設定通訊協定:NFS、 SMB和 iSCSI

  • 設定服務:LDAP、 DNS和 NIS

  • 監控網路介面

  • 監控 的運作狀態 SVM

vsadmin-protocol

  • 管理您的使用者帳戶、本機密碼和金鑰資訊

  • 管理 LUNs

  • 設定通訊協定:NFS、 SMB和 iSCSI

  • 設定服務:LDAP、 DNS和 NIS

  • 監控網路介面

  • 監控 的運作狀態 SVM

vsadmin-backup

  • 管理您的使用者帳戶、本機密碼和金鑰資訊

  • 管理NDMP操作

  • 讓還原的磁碟區讀取/寫入

  • 管理 SnapMirror 關係和快照複本

  • 檢視磁碟區和網路資訊

vsadmin-snaplock

  • 管理您的使用者帳戶、本機密碼和金鑰資訊

  • 管理磁碟區,磁碟區移動除外

  • 管理配額、qtrees、快照複本和檔案

  • 執行 SnapLock 操作,包括特殊權限刪除

  • 設定通訊協定: NFS 和 SMB

  • 設定服務:LDAP、 DNS和 NIS

  • 監控作業

  • 監控網路連線和網路介面

vsadmin-readonly

  • 管理您的使用者帳戶、本機密碼和金鑰資訊

  • 監控 的運作狀態 SVM

  • 監控網路介面

  • 檢視磁碟區和 LUNs

  • 檢視 服務和通訊協定

如需如何建立新SVM角色的詳細資訊,請參閱 建立SVM角色

使用 Active Directory 進行身分驗證 ONTAP 使用者

您可以驗證 Windows Active Directory 網域使用者對ONTAP檔案系統和 FSx的存取權SVM。您必須先執行下列任務,Active Directory 帳戶才能存取您的檔案系統:

  • 您需要設定 Active Directory 網域控制器對 的存取權SVM。

    SVM 您用來將 設定為 Active Directory 網域控制器存取的閘道或通道必須CIFS已啟用、加入 Active Directory,或兩者皆啟用。如果您未啟用 CIFS,且僅將通道加入 SVM Active Directory,請確定 SVM 已加入您的 Active Directory。如需詳細資訊,請參閱如何加入 Microsoft 活動目錄SVMs的工作原理

  • 您需要啟用 Active Directory 網域使用者帳戶才能存取檔案系統。

    對於存取 的 Windows 網域使用者,您可以使用密碼身分驗證或SSH公有金鑰身分驗證 ONTAP CLI 或 REST API。

如需說明如何使用 為檔案系統和SVM管理員設定 Active Directory 身分驗證的程序,請參閱 設定 的 Active Directory 身分驗證 ONTAP 使用者

建立新的 ONTAP 檔案系統和SVM管理的使用者

每個 ONTAP 使用者與 SVM或 檔案系統相關聯。具有 fsxadmin角色的檔案系統使用者可以使用 建立新的SVM角色和使用者 security login create ONTAP CLI 命令。

security login create 命令會為 管理公用程式建立登入方法。登入方法包含使用者名稱、應用程式 (存取方法) 和身分驗證方法。使用者名稱可以與多個應用程式建立關聯。它可以選擇性地包含存取控制角色名稱。如果使用 Active DirectoryLDAP、 或 NIS 群組名稱,則登入方法會將存取權授予屬於指定群組的使用者。如果使用者是在安全登入資料表中佈建的多個群組的成員,則使用者將取得個別群組授權的命令組合清單。

如需說明如何建立新的 ONTAP 使用者,請參閱 正在建立 ONTAP 使用者

主題