本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
ONTAP 角色和用户
NetApp ONTAP 包括强大且可扩展的基于角色的访问控制 (RBAC) 功能。ONTAP 角色定义了使用时的用户权能和权限 ONTAP CLI和RESTAPI。每个角色定义不同级别的管理功能和权限。您可以为用户分配角色的目的是在使用时控制他们FSx对ONTAP资源的访问权限 ONTAP RESTAPI和CLI。有 ONTAP 角色分别FSx可供ONTAP文件系统用户和存储虚拟机 (SVM) 用户使用。
当你FSx为ONTAP文件系统创建时,默认 ONTAP 用户是在文件系统级别和级别上创建的SVM。您可以创建其他文件系统和SVM用户,也可以创建其他SVM角色来满足组织的需求。本章解释了 ONTAP 用户和角色,并提供了创建其他用户和SVM角色的详细程序。
文件系统管理员角色和用户
默认 ONTAP 文件系统用户是fsxadmin
,已为其分配了fsxadmin
角色。您可以为文件系统用户分配两个预定义角色,如下所示:
-
fsxadmin
—具有此角色的管理员在中拥有不受限制的权限 ONTAP 系统。他们可以配置文件系统上FSx可用的所有ONTAP文件系统和SVM级别资源。 fsxadmin-readonly
- 具有此角色的管理员可以查看文件系统级别的所有内容,但不能进行任何更改。此角色非常适合与监控应用程序一起使用,例如 NetApp Harvest 因为它对所有可用资源及其属性具有只读访问权限,但无法对其进行任何更改。
您可以创建其他文件系统用户并为其分配 fsxadmin
或 fsxadmin-readonly
角色。您无法创建新角色或修改现有角色。有关更多信息,请参阅 创建新的 ONTAP 文件系统SVM和管理用户。
下表描述了文件系统管理员角色所拥有的访问级别 ONTAP CLI以及RESTAPI命令和命令目录。
角色名称 | 访问级别 | 对以下命令或命令目录 |
---|---|---|
|
all | 中FSx所有可用的命令目录 ONTAP |
|
all |
仅用于管理自己的用户账户本地密码和密钥信息 |
none | security |
|
readonly | 中FSx可用的所有其他命令目录 ONTAP |
SVM管理员角色和用户
每个域都SVM有一个单独的身份验证域,可以由自己的管理员独立管理。对于文件系统SVM上的每个用户,默认用户是 vsadmin,默认情况下会为其分配vsadmin
角色。除了vsadmin
角色之外,还有其他预定义的SVM角色可以提供限定范围的权限,您可以将这些权限分配给SVM用户。您还可以创建自定义角色,提供满足贵组织需求的访问控制级别。
SVM管理员的预定义角色及其权能如下所示:
角色名称 | 功能 |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
有关如何创建新SVM角色的更多信息,请参阅创建SVM角色。
使用活动目录进行身份验证 ONTAP 用户
你可以验证 Windows Active Directory 域用户FSx对ONTAP文件系统的访问权限和SVM。在 Active Directory 账户可以访问文件系统之前,您必须完成以下任务:
您需要配置 Active Directory 域控制器对的访问权限SVM。
用于配置为 Active Directory 域控制器访问的网关或隧道的必须已CIFS启用、已加入 Active Directory,或者两者兼而有之。SVM如果您未启用CIFS而是仅SVM将隧道加入活动目录,请确保SVM已加入您的活动目录。有关更多信息,请参阅 如何加入微软 Ac SVMs tive Directory。
需要启用 Active Directory 域用户账户以访问文件系统。
您可以对访问的 Windows 域用户使用密码身份验证或SSH公钥身份验证 ONTAP CLI或RESTAPI。
有关描述如何用于为文件系统和SVM管理员配置 Active Directory 身份验证的过程,请参阅为配置活动目录身份验证 ONTAP 用户。
创建新的 ONTAP 文件系统SVM和管理用户
每个 ONTAP 用户与SVM或文件系统相关联。具有该fsxadmin
角色的文件系统用户可以通过以下方式创建新的SVM角色和用户 security login create
security login create
命令创建管理实用程序的登录方法。登录方法由用户名、应用程序(访问方法)和身份验证方法构成。一个用户名可以与多个应用程序相关联。可以选择包含访问控制角色名称。如果使用 Active Directory LDAP、或NIS组名,则登录方法允许属于指定组的用户访问权限。如果用户是安全登录表中预置的多个群组的成员,则该用户可以访问授权给各个群组的命令列表。
有关描述如何创建新内容的信息 ONTAP 用户,请参阅Creating ONTAP 用户。