Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Usuarios y roles de ONTAP
NetApp ONTAP incluye una sólida y extensible capacidad de control de acceso basado en roles (RBAC). Los roles de ONTAP definen las capacidades y los privilegios de los usuarios al utilizar la CLI y la API de REST de ONTAP. Cada rol define un nivel diferente de capacidades y privilegios administrativos. Al usar la API de REST y la CLI de ONTAP, se asignan roles a los usuarios con el fin de controlar su acceso a los recursos de FSx para ONTAP. Hay roles de ONTAP disponibles por separado para los usuarios del sistema de archivos y de las máquinas virtuales de almacenamiento (SVM) de FSx para ONTAP.
Al crear un sistema de archivos de FSx para ONTAP, se crea un usuario de ONTAP predeterminado en el nivel del sistema de archivos y de la SVM. Puede crear usuarios adicionales del sistema de archivos y de la SVM, como así también puede crear roles de SVM adicionales para satisfacer las necesidades de la organización. En este capítulo, se explican los usuarios y roles de ONTAP y se proporcionan procedimientos detallados para crear usuarios y roles de SVM adicionales.
Roles y usuarios del administrador del sistema de archivos
El usuario predeterminado del sistema de archivos de ONTAP es fsxadmin, quien tiene el rol de fsxadmin asignado. Hay dos roles predefinidos que puede asignar a los usuarios del sistema de archivos, que se enumeran a continuación:
-
fsxadmin: los administradores con este rol tienen derechos ilimitados en el sistema de ONTAP. Pueden configurar todo el sistema de archivos y SVM-level los recursos disponibles en FSx para los sistemas de archivos ONTAP. fsxadmin-readonly: los administradores con este rol pueden ver todo en el nivel del sistema de archivos, pero no pueden realizar ningún cambio.Este rol es adecuado para usarse con aplicaciones de supervisión, como NetApp Harvest, ya que tiene acceso de solo lectura a todos los recursos disponibles y sus propiedades, pero no puede realizar ningún cambio en ellos.
Puede crear usuarios adicionales del sistema de archivos y asignarles el rol fsxadmin o fsxadmin-readonly. No puede crear nuevos roles ni modificar los roles existentes. Para obtener más información, consulte Creación de nuevos usuarios de ONTAP para la administración del sistema de archivos y la SVM.
En la siguiente tabla, se describe el nivel de acceso que tienen los roles de administrador del sistema de archivos a los comandos y directorios de comandos de la CLI y la API de REST de ONTAP.
| Nombre del rol | Nivel de acceso | A los siguientes comandos o directorios de comandos |
|---|---|---|
|
|
all | Todos los directorios de comandos están disponibles en FSx para ONTAP |
|
all |
Solo para administrar la propia cuenta de usuario, la contraseña local y la información clave |
| none | security |
|
| solo lectura | Todos los demás directorios de comandos están disponibles en FSx para ONTAP |
Roles y usuarios de administrador de la SVM
Cada SVM tiene un dominio de autenticación independiente y sus propios administradores pueden administrarlo de forma independiente. Para cada SVM del sistema de archivos, el usuario predeterminado es vsadmin, al que se le ha asignado el rol vsadmin de forma predeterminada.. Además del rol vsadmin, hay otros roles de SVM predefinidos que proporcionan permisos específicos que puede asignar a los usuarios de SVM. También puede crear roles personalizados que proporcionen el nivel de control de acceso que mejor se adapte a las necesidades de la organización.
Los roles predefinidos de los administradores de SVM y sus capacidades son las siguientes:
| Nombre del rol | Capacidades |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Para obtener más información sobre cómo crear un nuevo, consulte Creación de roles de SVM.
Uso de un Active Directory para autenticar usuarios de ONTAP
Puede autenticar el acceso de los usuarios del dominio de Windows Active Directory a un sistema de archivos de FSx para ONTAP y SVM. Debe realizar las siguientes tareas para que las cuentas de Active Directory puedan acceder a su sistema de archivos:
Debe configurar el acceso del controlador de dominio de Active Directory a la SVM.
La SVM que use para configurar como puerta de enlace o túnel para el acceso al controlador de dominio de Active Directory debe tener el CIFS activado, estar unida a un Active Directory o ambas opciones. Si no está habilitando el CIFS y solo va a unir la SVM de túnel a un Active Directory, corrobore que la SVM esté unida al Active Directory. Para obtener más información, consulte Cómo funciona SVMs la unión a Microsoft Active Directory.
Debe habilitar una cuenta de usuario de dominio de Active Directory para acceder al sistema de archivos.
Puede usar la autenticación por contraseña o la autenticación por clave pública SSH para los usuarios del dominio de Windows que acceden a la CLI o a la API de REST de ONTAP.
Para ver los procedimientos que describen cómo configurar la autenticación de Active Directory para los administradores de sistemas de archivos y la SVM, consulte Configuración de la autenticación con Active Directory para usuarios de ONTAP.
Creación de nuevos usuarios de ONTAP para la administración del sistema de archivos y la SVM
Cada usuario de ONTAP está asociado a una SVM o al sistema de archivos. Los usuarios del sistema de archivos con el rol fsxadmin pueden crear nuevos roles y usuarios de SVM mediante el comando security login create
El comando security login create crea un método de inicio de sesión para la utilidad de administración. Un método de inicio de sesión consta de un nombre de usuario, una aplicación (método de acceso) y un método de autenticación. Un nombre de usuario se puede asociar a varias aplicaciones. Si lo desea, puede incluir un nombre de rol de control de acceso. Si se usa un nombre de grupo del Active Directory, el protocolo ligero de acceso a directorios (LDAP) o el servicio de información de red (NIS), el método de inicio de sesión da acceso a los usuarios que pertenecen al grupo especificado. Si el usuario es miembro de varios grupos aprovisionados en la tabla de inicio de sesión de seguridad, tendrá acceso a una lista combinada de comandos autorizados para grupos individuales.
Para obtener información sobre cómo crear un usuario nuevo de ONTAP, consulte Creación de usuarios de ONTAP.
Temas
