本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# ONTAP 用户和角色
NetApp ONTAP 包含强大且可扩展的基于角色的访问控制(RBAC)功能。ONTAP 角色定义用户在使用 ONTAP CLI 和 REST API 时的能力和权限。每个角色定义不同级别的管理功能和权限。您可以为用户分配角色,以便在使用 ONTAP REST API 和 CLI 时控制他们对 ONTAP 资源的访问权限。 FSx ONTAP 文件系统用户和存储虚拟机 (SVM) 用户分别有ONTAP角色可用。 FSx
在 FSx 为 ONTAP 文件系统创建时,将在文件系统级别和 SVM 级别创建默认ONTAP用户。您可以创建其他文件系统用户和 SVM 用户,也可以创建其他 SVM 角色来满足贵组织的需求。本章介绍了 ONTAP 用户和角色,并提供了创建其他用户和 SVM 角色的详细步骤。
## 文件系统管理员角色和用户
默认 ONTAP 文件系统用户为 `fsxadmin`,该用户被分配了 `fsxadmin` 角色。您可以为文件系统用户分配两个预定义角色,如下所示:
+ **`fsxadmin`** - 具有此角色的管理员在 ONTAP 系统中拥有不受限制的权限。他们可以配置 ONTAP 文件系统上 FSx 可用的所有文件系统和 SVM 级资源。
+ **`fsxadmin-readonly`** - 具有此角色的管理员可以查看文件系统级别的所有内容,但不能进行任何更改。
此角色非常适合与 NetApp Harvest 等监视应用程序一起使用,因为它对所有可用资源及其属性拥有只读访问权限,但无法对其进行任何更改。
您可以创建其他文件系统用户并为其分配 `fsxadmin` 或 `fsxadmin-readonly` 角色。您无法创建新角色或修改现有角色。有关更多信息,请参阅 [为文件系统和 SVM 管理创建新的 ONTAP 用户](#file-system-roles-and-users)。
下表描述了文件系统管理员角色对 ONTAP CLI 和 REST API 命令以及命令目录拥有的访问权限。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html)
## SVM 管理员角色和用户
每个 SVM 都有单独的身份验证域,可以由其管理员进行独立管理。文件系统上的每个 SVM 都有一个默认用户 *vsadmin*,并默认为 `vsadmin` 分配了角色。除 `vsadmin` 角色外,还有其他预定义的 SVM 角色可提供缩小的权限范围,您可以将此权限分配给 SVM 用户。您还可以创建自定义角色,提供满足贵组织需求的访问控制级别。
SVM 管理员的预定义角色及其功能如下:
| 角色名称 | 功能 |
| --- | --- |
| `vsadmin` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-volume` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-protocol` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-backup` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-snaplock` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-readonly` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html) |
有关如何创建新 SVM 角色的更多信息,请参阅 [创建 SVM 角色](creating-new-svm-roles.md)。
## 使用 Active Directory 对 ONTAP 用户进行身份验证
您可以对 Windows Active Directory 域用户 FSx 对适用于 ONTAP 的文件系统和 SVM 的访问权限进行身份验证。在 Active Directory 账户可以访问文件系统之前,您必须完成以下任务:
+ 需要配置 Active Directory 域控制器对 SVM 的访问权限。
用于配置为 Active Directory 域控制器访问网关或隧道的 SVM 必须启用 CIFS、加入活动目录,或两者兼之。如果不启用 CIFS,只是将隧道 SVM 加入 Active Directory,请确保 SVM 已加入您的 Active Directory。有关更多信息,请参阅 [如何加入微软 Ac SVMs tive Directory](self-managed-AD-join.md)。
+ 需要启用 Active Directory 域用户账户以访问文件系统。
对于访问 ONTAP CLI 或 REST API 的 Windows 域用户,可以使用密码身份验证,也可以使用 SSH 公钥身份验证。
有关如何为文件系统和 SVM 管理员配置 Active Directory 身份验证的过程,请参阅 [为 ONTAP 用户配置 Active Directory 身份验证](set-up-ad-auth.md)。
## 为文件系统和 SVM 管理创建新的 ONTAP 用户
每个 ONTAP 用户都与 SVM 或文件系统关联。具有 `fsxadmin` 角色的文件系统用户可以使用 [https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html) ONTAP CLI 命令创建新的 SVM 角色和用户。
`security login create` 命令创建管理实用程序的登录方法。登录方法由用户名、应用程序(访问方法)和身份验证方法构成。一个用户名可以与多个应用程序相关联。可以选择包含访问控制角色名称。如果使用的是 Active Directory、LDAP 或 NIS 组名,则登录方法允许访问属于指定组的用户。如果用户是安全登录表中预置的多个群组的成员,则该用户可以访问授权给各个群组的命令列表。
有关如何创建新 ONTAP 用户的信息,请参阅 [创建 ONTAP 用户](create-new-ontap-users.md)。
**Topics**
+ [文件系统管理员角色和用户](#file-system-admin-roles)
+ [SVM 管理员角色和用户](#svm-admin-roles)
+ [使用 Active Directory 对 ONTAP 用户进行身份验证](#ad-tunneling)
+ [为文件系统和 SVM 管理创建新的 ONTAP 用户](#file-system-roles-and-users)
+ [创建 ONTAP 用户](create-new-ontap-users.md)
+ [创建 SVM 角色](creating-new-svm-roles.md)
+ [为 ONTAP 用户配置 Active Directory 身份验证](set-up-ad-auth.md)
+ [配置公钥认证](public-key-auth.md)
+ [更新文件系统和 SVM 角色的密码要求](update-password-requirements.md)
+ [更新 `fsxadmin` 账户密码失败](updating-admin-password.md)