本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# ONTAP 角色和使用者
NetApp ONTAP 包含強大且可擴展的角色型存取控制 (RBAC) 功能。 ONTAP角色會在使用 CLI 和 REST API ONTAP 時定義使用者功能和權限。每個角色都會定義不同層級的管理功能和權限。您可以在使用 ONTAP REST API 和 CLI 時,將角色指派給使用者,以控制其對 FSx for ONTAP 資源的存取。FSx for ONTAP 檔案系統使用者和儲存虛擬機器 (SVM) 使用者有個別可用的ONTAP角色。
當您建立 FSx for ONTAP 檔案系統時,預設ONTAP使用者會在檔案系統層級和 SVM 層級建立。您可以建立其他檔案系統和 SVM 使用者,也可以建立其他 SVM 角色,以滿足組織的需求。本章說明ONTAP使用者和角色,並提供建立其他使用者和 SVM 角色的詳細程序。
## 檔案系統管理員角色和使用者
預設ONTAP檔案系統使用者為 `fsxadmin`,其具有指派給該使用者`fsxadmin`的角色。您可以為檔案系統使用者指派兩個預先定義的角色,如下所示:
+ **`fsxadmin`**- 具有此角色的管理員在ONTAP系統中擁有不受限制的權限。他們可以設定 FSx for ONTAP 檔案系統上可用的所有檔案系統和 SVM 層級資源。
+ **`fsxadmin-readonly`**- 具有此角色的管理員可以在檔案系統層級檢視所有項目,但無法進行任何變更。
此角色非常適合與監控應用程式搭配使用,例如 ,NetApp Harvest因為它具有所有可用資源及其屬性的唯讀存取權,但無法對其進行任何變更。
您可以建立其他檔案系統使用者,並將 `fsxadmin`或 `fsxadmin-readonly`角色指派給他們。您無法建立新的角色或修改現有的角色。如需詳細資訊,請參閱[為檔案系統和 SVM 管理建立新的ONTAP使用者](#file-system-roles-and-users)。
下表說明檔案系統管理員角色對 CLI 和 REST API ONTAP 命令和命令目錄的存取層級。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/roles-and-users.html)
## SVM 管理員角色和使用者
每個 SVM 都有單獨的身分驗證網域,並且可以由自己的管理員獨立管理。對於檔案系統上的每個 SVM,預設使用者是 *vsadmin*,其預設會指派`vsadmin`角色。除了 `vsadmin`角色之外,還有其他預先定義的 SVM 角色,提供可指派給 SVM 使用者的縮小範圍許可。您也可以建立自訂角色,提供符合您組織需求的存取控制層級。
SVM 管理員及其功能的預先定義角色如下:
| 角色名稱 | 功能 |
| --- | --- |
| `vsadmin` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-volume` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-protocol` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-backup` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-snaplock` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-readonly` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/roles-and-users.html) |
如需如何建立新的 SVM 角色的詳細資訊,請參閱 [建立 SVM 角色](creating-new-svm-roles.md)。
## 使用 Active Directory 驗證ONTAP使用者
您可以驗證 Windows Active Directory 網域使用者對 FSx for ONTAP 檔案系統和 SVM 的存取。您必須先執行下列任務,Active Directory 帳戶才能存取您的檔案系統:
+ 您需要設定 Active Directory 網域控制站對 SVM 的存取。
您用來將 設定為 Active Directory 網域控制站存取閘道或通道的 SVM 必須啟用 CIFS、加入 Active Directory 或兩者。如果您未啟用 CIFS 且僅將通道 SVM 加入 Active Directory,請確定 SVM 已加入您的 Active Directory。如需詳細資訊,請參閱[將 SVMs加入 Microsoft Active Directory 的運作方式](self-managed-AD-join.md)。
+ 您需要啟用 Active Directory 網域使用者帳戶才能存取檔案系統。
您可以為存取 CLI 或 REST API 的 Windows 網域使用者使用密碼身分驗證或 SSH ONTAP 公有金鑰身分驗證。
如需說明如何使用 為檔案系統和 SVM 管理員設定 Active Directory 身分驗證的程序,請參閱 [為ONTAP使用者設定 Active Directory 身分驗證](set-up-ad-auth.md)。
## 為檔案系統和 SVM 管理建立新的ONTAP使用者
每個ONTAP使用者都與 SVM 或檔案系統相關聯。具有 `fsxadmin`角色的檔案系統使用者可以使用 CLI 命令建立新的 SVM [https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html) ONTAP 角色和使用者。
`security login create` 命令會為 管理公用程式建立登入方法。登入方法包含使用者名稱、應用程式 (存取方法) 和身分驗證方法。使用者名稱可以與多個應用程式建立關聯。它可以選擇性地包含存取控制角色名稱。如果使用 Active Directory、LDAP 或 NIS 群組名稱,則登入方法會將存取權授予屬於指定群組的使用者。如果使用者是安全登入資料表中佈建的多個群組的成員,則該使用者將存取針對個別群組授權的命令組合清單。
如需如何建立新ONTAP使用者的資訊,請參閱 [建立 ONTAP 使用者](create-new-ontap-users.md)。
**Topics**
+ [檔案系統管理員角色和使用者](#file-system-admin-roles)
+ [SVM 管理員角色和使用者](#svm-admin-roles)
+ [使用 Active Directory 驗證ONTAP使用者](#ad-tunneling)
+ [為檔案系統和 SVM 管理建立新的ONTAP使用者](#file-system-roles-and-users)
+ [建立 ONTAP 使用者](create-new-ontap-users.md)
+ [建立 SVM 角色](creating-new-svm-roles.md)
+ [為ONTAP使用者設定 Active Directory 身分驗證](set-up-ad-auth.md)
+ [設定公有金鑰身分驗證](public-key-auth.md)
+ [更新檔案系統和 SVM 角色的密碼需求](update-password-requirements.md)
+ [更新`fsxadmin`帳戶密碼失敗](updating-admin-password.md)
# 建立 ONTAP 使用者
**建立新的 SVM 或檔案系統使用者 (ONTAP CLI)**
只有具有 `fsxadmin`角色的檔案系統使用者可以建立新的 SVM 和檔案系統使用者。
1. 若要存取 ONTAP CLI,請執行下列命令,在 Amazon FSx for NetApp ONTAP 檔案系統或 SVM 的管理連接埠上建立 SSH 工作階段。`management_endpoint_ip` 將 取代為檔案系統管理連接埠的 IP 地址。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
如需詳細資訊,請參閱[使用 CLI ONTAP 管理檔案系統](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)。
1. 使用 `security login create` ONTAP CLI 命令在 FSx for ONTAP 檔案系統或 SVM 上建立新的使用者帳戶。
在範例中插入預留位置的資料,以定義下列必要屬性:
+ `-vserver` – 指定您要建立新 SVM 角色或使用者的 SVM 名稱。如果您要建立檔案系統角色或使用者,請不要指定 SVM。
+ `-user-or-group-name` – 指定登入方法的使用者名稱或 Active Directory 群組名稱。Active Directory 群組名稱只能使用`domain`身分驗證方法和 `ontapi`和 `ssh` 應用程式來指定。
+ `-application` – 指定登入方法的應用程式。可能的值包括 http、ontapi 和 ssh。
+ `-authentication-method` – 指定登入的身分驗證方法。可能的值包括以下:
+ domain – 用於 Active Directory 身分驗證
+ password – 用於密碼身分驗證
+ publickey – 公有金鑰身分驗證的使用者
+ `-role` – 指定登入方法的存取控制角色名稱。在檔案系統層級,唯一可以指定的角色是 `fsxadmin`。
(選用) 您也可以搭配 命令使用下列一或多個參數:
+ `[-comment]` – 使用 來包含使用者帳戶的符號或註解。例如 **Guest account**。長度上限為 128 個字元。
+ `[-second-authentication-method {none|publickey|password|nsswitch}]` – 指定第二要素驗證方法。您可以指定下列方法:
+ password – 用於密碼身分驗證
+ publickey – 用於公有金鑰身分驗證
+ nsswitch – 用於 NIS 或 LDAP 身分驗證
+ none – 如果您未指定預設值
```
Fsx0123456::> security login create -vserver vserver_name -user-or-group-name user_or_group_name -application login_application -authentication-method auth_method -role role_or_account_name
```
下列命令會使用 SSH 搭配密碼登入,`new_fsxadmin`以指派`fsxadmin-readonly`的角色建立新的檔案系統使用者。出現提示時,請為使用者提供密碼。
```
Fsx0123456::> security login create -user-or-group-name new_fsxadmin -application ssh -authentication-method password -role fsxadmin-readonly
Please enter a password for user 'new_fsxadmin':
Please enter it again:
Fsx0123456::>
```
1. 下列命令會使用 `vsadmin_readonly`角色在 SVM `new_vsadmin` 上建立新的 `fsx` SVM 使用者,設定為使用 SSH 搭配密碼登入。出現提示時,請為使用者提供密碼。
```
Fsx0123456::> security login create -vserver fsx -user-or-group-name new_vsadmin -application ssh -authentication-method password -role vsadmin-readonly
Please enter a password for user 'new_vsadmin':
Please enter it again:
Fsx0123456::>
```
1. 下列命令會建立新的唯讀檔案系統使用者`harvest2-user`,供 NetApp Harvest 應用程式用來收集效能和容量指標。如需詳細資訊,請參閱[使用 Harvest 和 Grafana 監控 FSx for ONTAP 檔案系統](monitoring-harvest-grafana.md)。
```
Fsx0123456::> security login create -user-or-group-name harvest2-user -application ssh -role fsxadmin-readonly -authentication-method password
```
**檢視所有檔案系統和 SVM 使用者的資訊**
+ 使用以下命令來檢視檔案系統和 SVMs的所有登入資訊。
```
Fsx0123456::> security login show
Vserver: Fsx0123456
Second
User/Group Authentication Acct Authentication
Name Application Method Role Name Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
autosupport console password autosupport no none
fsxadmin http password fsxadmin no none
fsxadmin ontapi password fsxadmin no none
fsxadmin ssh password fsxadmin no none
fsxadmin ssh publickey fsxadmin - none
new_fsxadmin ssh password fsxadmin-readonly
no none
Vserver: fsx
Second
User/Group Authentication Acct Authentication
Name Application Method Role Name Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
new_vsadmin ssh password vsadmin-readonly no none
vsadmin http password vsadmin yes none
vsadmin ontapi password vsadmin yes none
vsadmin ssh password vsadmin yes none
10 entries were displayed.
Fsx0123456::>
```
# 建立 SVM 角色
您建立的每個 SVM 都有預設 SVM 管理員,該管理員會指派預先定義的`vsadmin`角色。除了一組[預先定義的 SVM 角色](roles-and-users.md#svm-admin-roles)之外,您還可以建立新的 SVM 角色。如果您需要為 SVM 建立新角色,請使用 `security login role create` ONTAP CLI 命令。此命令可供具有 `fsxadmin`角色的檔案系統管理員使用。
**建立新的 SVM 角色 (ONTAP CLI)**
1. 您可以使用 [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html)ONTAP CLI命令建立新的 SVM 角色:
```
Fsx0123456::> security login role create -vserver vs1.example.com -role vol_role -cmddirname volume
```
1. 在 命令中指定下列必要參數:
+ `-vserver` SVM 的名稱
+ `-role` – 角色的名稱。
+ `-cmddirname` – 角色授予存取權的命令或命令目錄。以雙引號括住命令子目錄名稱。例如 `"volume snapshot"`。輸入 `DEFAULT`以指定所有命令目錄。
1. (選用) 您也可以將下列任何參數新增至命令:
+ `-vserver` – 與該角色相關聯的 SVM 名稱。
+ `-access` – 角色的存取層級。對於命令目錄,這包括:
+ `none` – 拒絕存取命令目錄中的命令。這是自訂角色的預設值。
+ `readonly` – 准許存取命令目錄中的 show 命令及其子目錄。
+ `all` – 授予對命令目錄及其子目錄中所有命令的存取權。若要授予或拒絕對內部命令的存取,您必須指定命令目錄。
對於非內部命令 (結尾不是 `create`、`delete`、 `modify`或 的命令`show`):
+ `none` – 拒絕存取命令目錄中的命令。這是自訂角色的預設值。
+ `readonly` – 不適用。請勿使用 。
+ `all` – 授予 命令的存取權。
+ `-query` – 用來篩選存取層級的查詢物件,以命令的有效選項形式或命令目錄中的命令形式指定。以雙引號括住查詢物件。
1. 執行 `security login role create` 命令。
下列命令會為 vs1.example.com Vserver 建立名為 "admin" 的存取控制角色。此角色具有「磁碟區」命令的所有存取權,但僅限於「彙總0」彙總內。
```
Fsx0123456::>security login role create -role admin -cmddirname volume -query "-aggr aggr0" -access all -vserver vs1.example.com
```
# 為ONTAP使用者設定 Active Directory 身分驗證
使用 ONTAP CLI 為ONTAP檔案系統和 SVM 使用者設定使用 Active Directory 身分驗證。
您必須是具有 `fsxadmin`角色的檔案系統管理員,才能使用此程序中的命令。
**為ONTAP使用者設定 Active Directory 身分驗證 (ONTAP CLI)**
此程序中的命令可供具有 `fsxadmin`角色的檔案系統使用者使用。
1. 若要存取 ONTAP CLI,請執行下列命令,在 Amazon FSx for NetApp ONTAP 檔案系統或 SVM 的管理連接埠上建立 SSH 工作階段。`management_endpoint_ip` 將 取代為檔案系統管理連接埠的 IP 地址。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
如需詳細資訊,請參閱[使用 CLI ONTAP 管理檔案系統](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)。
1. 使用如下所示的 [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html)命令來建立網域通道,以驗證 Windows Active Directory 使用者。將 *svm\$1name* 取代為您用於網域通道的 SVM 名稱。
```
FsxId0123456::> security login domain-tunnel create -vserver svm_name
```
1. 使用 [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html)命令來建立將存取檔案系統的 Active Directory 網域使用者帳戶。
在 命令中指定下列必要參數:
+ `-vserver` – 使用 CIFS 設定並加入 Active Directory 的 SVM 名稱。它將用作將 Active Directory 網域使用者驗證為檔案系統的通道。將會建立新角色或使用者。
+ `-user-or-group-name` – 登入方法的使用者名稱或 Active Directory 群組名稱。Active Directory 群組名稱只能使用`domain`身分驗證方法和`ontapi``ssh`應用程式來指定。
+ `-application` – 登入方法的應用程式。可能的值包括 http、ontapi 和 ssh。
+ `-authentication-method` – 用於登入的身分驗證方法。可能的值包括以下:
+ domain – 用於 Active Directory 身分驗證
+ password – 用於密碼身分驗證
+ publickey – 用於公有金鑰身分驗證
+ `-role` – 登入方法的存取控制角色名稱。在檔案系統層級,唯一可以指定的角色是 `-role fsxadmin`。
下列範例會`CORP\Admin`建立`filesystem1`檔案系統的 Active Directory 網域使用者帳戶。
```
FSxId012345::> security login create -vserver filesystem1 -username CORP\Admin -application ssh -authmethod domain -role fsxadmin
```
下列範例會建立具有公有金鑰身分驗證的`CORP\Admin`使用者帳戶。
```
FsxId0123456ab::> security login create -user-or-group-name "CORP\Admin" -application ssh -authentication-method publickey -role fsxadmin
Warning: To use public-key authentication, you must create a public key for user "CORP\Admin".
```
使用下列命令為`CORP\Admin`使用者建立公有金鑰:
```
FsxId0123456ab::> security login publickey create -username "CORP\Admin" -publickey "ecdsa-sha2-nistp256 SECRET_STRING_HERE_IS_REDACTED= cwaltham@b0be837a91bf.ant.amazon.com"
```
**使用 SSH 搭配 Active Directory 登入資料登入檔案系統**
+ 如果您選擇 `-application`類型,以下範例示範如何使用 Active Directory 登入資料`ssh`將 SSH 傳送至檔案系統。的格式`username`為 `"domain-name\user-name"`,這是您在建立帳戶時提供的網域名稱和使用者名稱,以反斜線分隔並以引號括住。
```
Fsx0123456::> ssh "CORP\user"@management.fs-abcdef01234567892.fsx.us-east-2.aws.com
```
當系統提示您輸入密碼時,請使用 Active Directory 使用者的密碼。
# 設定公有金鑰身分驗證
若要啟用 SSH 公有金鑰驗證,您必須先產生 SSH 金鑰,並使用 `security login publickey create`命令將其與管理員帳戶建立關聯。這可讓帳戶存取 SVM。`security login publickey create` 命令接受下列參數。
| 參數 | Description |
| --- | --- |
| `-vserver` (選用) | 帳戶存取的 SVM 名稱。如果您要為檔案系統使用者設定 SSH 公有金鑰身分驗證,請勿包含 `-versver`。 |
| `-username` | 帳戶的使用者名稱。預設值 `admin`是叢集管理員的預設名稱。 |
| `-index` | 公有金鑰的索引號碼。如果金鑰是為帳戶建立的第一個金鑰,則預設值為 0。否則,預設值比帳戶的最高現有索引號碼多一個。 |
| `-publickey` | OpenSSH 公有金鑰。以雙引號括住索引鍵。 |
| `-role` | 指派給帳戶的存取控制角色。 |
| `-comment` (選用) | 公有金鑰的描述性文字。以雙引號括住文字。 |
下列範例會將公有金鑰與 SVM `svmadmin`的 SVM 管理員帳戶建立關聯`svm01`。公有金鑰已指派索引號碼 `5`。
```
Fsx0123456::> security login publickey create -vserver svm01 -username svmadmin -index 5 -publickey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAspH64CYbUsDQCdW22JnK6J/vU9upnKzd2zAk9C1f7YaWRUAFNs2Qe5lUmQ3ldi8AD0Vfbr5T6HZPCixNAIzaFciDy7hgnmdj9eNGedGr/JNrftQbLD1hZybX+72DpQB0tYWBhe6eDJ1oPLobZBGfMlPXh8VjeU44i7W4+s0hG0E=tsmith@publickey.example.com"
```
**重要**
您必須是 SVM 或檔案系統管理員才能執行此任務。
# 更新檔案系統和 SVM 角色的密碼需求
您可以使用 CLI 命令更新檔案系統或 SVM [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-config-modify.html#description](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-config-modify.html#description) ONTAP 角色的密碼需求。此命令僅適用於具有 `fsxadmin`角色的檔案系統管理員帳戶。修改密碼要求時,如果有任何具有該角色的現有使用者將受到變更影響,系統會發出警告。
對於在 `fsx` SVM 上具有 `vsadmin-readonly`角色的使用者,下列範例會將長度下限密碼需求修改為 12 個字元。在此範例中,有具有此角色的現有使用者。
```
FsxId0123456::> security login role config modify -role vsadmin-readonly -vserver fsx -passwd-minlength 12
```
由於現有使用者,系統會顯示下列警告:
```
Warning: User accounts with this role exist. Modifications to the username/password restrictions on this role could result in non-compliant user
accounts.
Do you want to continue? {y|n}:
FsxId0123456::>
```
# 更新`fsxadmin`帳戶密碼失敗
當您更新`fsxadmin`使用者的密碼時,如果不符合檔案系統上設定的密碼要求,您可能會收到錯誤。您可以使用 CLI 或 REST API `security login role config show` ONTAP 命令來檢視密碼需求。
**檢視檔案系統或 SVM 角色的密碼需求**
1. 若要存取 ONTAP CLI,請執行下列命令,在 Amazon FSx for NetApp ONTAP 檔案系統或 SVM 的管理連接埠上建立 SSH 工作階段。`management_endpoint_ip` 將 取代為檔案系統管理連接埠的 IP 地址。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
如需詳細資訊,請參閱[使用 CLI ONTAP 管理檔案系統](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)。
1. `security login role config show` 命令會傳回檔案系統或 SVM 角色的密碼需求。
```
FsxId0123456::> security login role config show -role fsxadmin -fields password_requirement_fields
```
針對 `-fields` 參數,指定下列任何或所有項目:
+ `passwd-minlength` – 密碼的長度下限。
+ `passwd-min-special-chars` – 密碼中的特殊字元數目下限。
+ `passwd-min-lowercase-chars` – 密碼中的小寫字元數下限。
+ `passwd-min-uppercase-chars` – 密碼中的大寫字元數下限。
+ `passwd-min-digits` – 密碼中的位數下限。
+ `passwd-alphanum` – 包含或排除英數字元的相關資訊。
+ `passwd-expiry-time` – 密碼過期時間。
+ `passwd-expiry-warn-time` – 密碼過期警告時間。
1. 執行下列命令以查看所有密碼需求:
```
FsxId0123456::> security login role config show -role fsxadmin -fields passwd-minlength, passwd-min-special-chars, passwd-min-lowercase-chars, passwd-min-digits, passwd-alphanum, passwd-expiry-time, passwd-expiry-warn-time, passwd-min-uppercase-chars
vserver role passwd-minlength passwd-alphanum passwd-min-special-chars passwd-expiry-time passwd-min-lowercase-chars passwd-min-uppercase-chars passwd-min-digits passwd-expiry-warn-time
---------------------- -------- ---------------- --------------- ------------------------ ------------------ -------------------------- -------------------------- ----------------- -----------------------
FsxId0123456 fsxadmin 3 enabled 0 unlimited 0 0 0 unlimited
```