ONTAP 角色和用户 - FSx for ONTAP
文件系统管理员角色和用户SVM管理员角色和用户正在进行身份验证 ONTAP 拥有活动目录的用户创建新的 ONTAP 文件系统SVM和管理用户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

ONTAP 角色和用户

NetApp ONTAP 包括强大且可扩展的基于角色的访问控制 (RBAC) 功能。ONTAP 角色定义了使用时的用户权能和权限 ONTAP CLI和RESTAPI。每个角色定义不同的管理权能和权限级别。您可以为用户分配角色的目的是在使用时控制他们FSx对ONTAP资源的访问权限 ONTAP RESTAPI和CLI。有 ONTAP 角色分别FSx可供ONTAP文件系统用户和存储虚拟机 (SVM) 用户使用。

当你FSx为ONTAP文件系统创建时,默认 ONTAP 用户是在文件系统级别和级别上创建的SVM。您可以创建其他文件系统和SVM用户,也可以创建其他SVM角色来满足组织的需求。本章解释了 ONTAP 用户和角色,并提供了创建其他用户和SVM角色的详细程序。

文件系统管理员角色和用户

默认 ONTAP 文件系统用户是fsxadmin,已为其分配了fsxadmin角色。您可以为文件系统用户分配两个预定义的角色,如下所示:

  • fsxadmin—具有此角色的管理员在中拥有不受限制的权限 ONTAP 系统。他们可以配置文件系统上FSx可用的所有ONTAP文件系统和SVM级别资源。

  • fsxadmin-readonly—具有此角色的管理员可以在文件系统级别查看所有内容,但不能进行任何更改。

    此角色非常适合与监视应用程序一起使用,例如 NetApp Harvest 因为它对所有可用资源及其属性具有只读访问权限,但无法对其进行任何更改。

您可以创建其他文件系统用户并为他们分配fsxadminfsxadmin-readonly角色。您无法创建新角色或修改现有角色。有关更多信息,请参阅 创建新的 ONTAP 文件系统SVM和管理用户

下表描述了文件系统管理员角色所拥有的访问级别 ONTAP CLI以及RESTAPI命令和命令目录。

角色名称 访问级别 到以下命令或命令目录

fsxadmin

 all 中FSx所有可用的命令目录 ONTAP

fsxadmin-readonly

 all

security login password

仅用于管理自己的用户帐户、本地密码和密钥信息
none security
只读 中FSx可用的所有其他命令目录 ONTAP

SVM管理员角色和用户

每个域都SVM有一个单独的身份验证域,可以由自己的管理员独立管理。对于文件系统SVM上的每个用户,默认用户是 vsadmin,默认情况下会为其分配vsadmin角色。除了vsadmin角色之外,还有其他预定义的SVM角色可以提供限定范围的权限,您可以将这些权限分配给SVM用户。您还可以创建自定义角色,以提供满足组织需求的访问控制级别。

SVM管理员的预定义角色及其权能如下:

角色名称 功能

vsadmin

  • 管理您的用户账户、本地密码和密钥信息

  • 管理卷,但移动卷除外

  • 管理配额、qtree、快照副本和文件

  • 管理 LUNs

  • 执行除特权删除之外的 SnapLock 操作

  • 配置协议:NFSSMB、和 i SCSI

  • 配置服务:DNSLDAP、和 NIS

  • 监控作业

  • 监控网络连接和网络接口

  • 监视的运行状况 SVM

vsadmin-volume

  • 管理您的用户账户、本地密码和密钥信息

  • 管理卷,包括卷移动

  • 管理配额、qtree、快照副本和文件

  • 管理 LUNs

  • 配置协议:NFSSMB、和 i SCSI

  • 配置服务:DNSLDAP、和 NIS

  • 监控网络接口

  • 监视的运行状况 SVM

vsadmin-protocol

  • 管理您的用户账户、本地密码和密钥信息

  • 管理 LUNs

  • 配置协议:NFSSMB、和 i SCSI

  • 配置服务:DNSLDAP、和 NIS

  • 监控网络接口

  • 监视的运行状况 SVM

vsadmin-backup

  • 管理您的用户账户、本地密码和密钥信息

  • 管理NDMP运营

  • 对恢复的卷进行读/写

  • 管理 SnapMirror 关系和快照副本

  • 查看卷和网络信息

vsadmin-snaplock

  • 管理您的用户账户、本地密码和密钥信息

  • 管理卷,但移动卷除外

  • 管理配额、qtree、快照副本和文件

  • 执行 SnapLock 操作,包括特权删除

  • 配置协议:NFS和 SMB

  • 配置服务:DNSLDAP、和 NIS

  • 监控作业

  • 监控网络连接和网络接口

vsadmin-readonly

  • 管理您的用户账户、本地密码和密钥信息

  • 监视的运行状况 SVM

  • 监控网络接口

  • 查看交易量和 LUNs

  • 查看服务和协议

有关如何创建新SVM角色的更多信息,请参阅创建SVM角色

使用活动目录进行身份验证 ONTAP 用户

你可以验证 Windows Active Directory 域用户FSx对ONTAP文件系统的访问权限和SVM。在 Active Directory 账户可以访问您的文件系统之前,您必须完成以下任务:

  • 您需要配置 Active Directory 域控制器对的访问权限SVM。

    用于配置为 Active Directory 域控制器访问的网关或隧道的必须已CIFS启用、已加入 Active Directory,或者两者兼而有之。SVM如果您未启用CIFS而是仅SVM将隧道加入活动目录,请确保SVM已加入您的活动目录。有关更多信息,请参阅 如何加入微软 Ac SVMs tive Directory

  • 您需要启用 Active Directory 域用户帐户才能访问文件系统。

    您可以对访问的 Windows 域用户使用密码身份验证或SSH公钥身份验证 ONTAP CLI或RESTAPI。

有关描述如何用于为文件系统和SVM管理员配置 Active Directory 身份验证的过程,请参阅为配置活动目录身份验证 ONTAP 用户

创建新的 ONTAP 文件系统SVM和管理用户

每个 ONTAP 用户与SVM或文件系统相关联。具有该fsxadmin角色的文件系统用户可以通过以下方式创建新的SVM角色和用户 security login create ONTAP CLI命令。

security login create命令为管理实用程序创建登录方法。登录方法由用户名、应用程序(访问方法)和身份验证方法组成。一个用户名可以与多个应用程序关联。它可以选择包含访问控制角色名称。如果使用 Active Directory LDAP、或NIS组名,则登录方法允许属于指定组的用户访问权限。如果用户是安全登录表中配置的多个组的成员,则该用户将可以访问为各个组授权的命令的组合列表。

有关描述如何创建新内容的信息 ONTAP 用户,请参阅Creating ONTAP 用户

主题