本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
ONTAP角色和使用者
NetApp ONTAP包含強大且可擴充的角色型存取控制 (RBAC) 功能。 ONTAP使用和時,角色定義了使用者權能ONTAPCLI和權限RESTAPI。每個角色都會定義不同層級的管理權能和權限。您可以將角色指派給使用者,以便在使用ONTAPRESTAPI和時控制其FSx對ONTAP資源的存取權限CLI。ONTAP檔案系統使用者和儲存區虛擬機器 (SVM) 使用者可分別使用ONTAP角色。FSx
當您建立 F FSx OR ONTAP 檔案系統時,會在檔案系統層級和層級上建立預設ONTAP使用者。SVM您可以建立其他檔案系統和SVM使用者,也可以建立其他SVM角色以符合組織的需求。本章說明ONTAP使用者和角色,並提供建立其他使用者和SVM角色的詳細程序。
檔案系統管理員角色與使用者
默認的ONTAP文件系統用戶是fsxadmin
,它具有指定的fsxadmin
角色。您可以將兩個預先定義的角色指定給檔案系統使用者,如下所示:
-
fsxadmin
具有此角色的管理員在系統中擁有不受限制的ONTAP權限。他們可以配置文件系統上FSx可用的所有ONTAP文件系統和SVM級別資源。 fsxadmin-readonly
— 具有此角色的管理員可以檢視檔案系統層級的所有內容,但無法進行任何變更。此角色非常適合用於監視應用程式,例如,NetApp Harvest因為它對所有可用資源及其屬性具有唯讀存取權,但無法對其進行任何變更。
您可以建立其他檔案系統使用者,並為其指定fsxadmin
或fsxadmin-readonly
角色。您無法建立新角色或修改現有角色。如需詳細資訊,請參閱建立檔案系統與SVM管理的新ONTAP使用者。
下表說明檔案系統管理員角色所擁有的存取層級,以ONTAPCLI及RESTAPI指令和指令目錄。
角色名稱 | 存取層級 | 至下列指令或指令目錄 |
---|---|---|
|
全部 | 中所有可用FSx的命令目錄 ONTAP |
|
全部 |
僅用於管理自己的用戶帳戶本地密碼和密鑰信息 |
無 | security |
|
只讀 | 中可用FSx的所有其他指令目錄 ONTAP |
SVM管理員角色和使用者
每個網域都SVM有個別的驗證網域,可由其自己的系統管理員獨立管理。對於檔案系統SVM上的每個使用者,預設使用者都是 vsadmin,依預設會指定vsadmin
角色。除了vsadmin
角色之外,還有其他預先定義的SVM角色可提供您可以指派給使用者的關閉範圍權限。SVM您也可以建立自訂角色,以提供符合組織需求的存取控制層級。
SVM管理員及其權能的預先定義角色如下:
角色名稱 | 功能 |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
如需如何建立新SVM角色的詳細資訊,請參閱建立SVM角色。
使用活動目錄驗證用ONTAP戶
您可以驗證 Windows 作用中目錄網域使用者對FSx於ONTAP檔案系統和的存取SVM。您必須先執行下列工作,才能存取您的檔案系統:
您需要設定使用中目錄網域控制站的存取SVM。
SVM您用來設定為 Active Directory 網域控制站存取的閘道或通道必須已CIFS啟用、加入作用中目錄,或兩者兼而有之。如果您不啟用,而CIFS且只SVM將通道加入至作用中目錄,請確定SVM已結合至您的作用中目錄。如需詳細資訊,請參閱如何加入 Microsoft 活動目錄SVMs的工作原理。
您必須啟用 Active Directory 網域使用者帳戶,才能存取檔案系統。
對於存取或的 Windows 網域使用者,您可以使用密碼驗證ONTAPCLI或SSH公開金鑰驗證RESTAPI。
如需說明如何使用來設定檔案系統和系統SVM管理員的 Active Directory 驗證的程序,請參閱設定ONTAP使用者的使用中目錄驗證。
建立檔案系統與SVM管理的新ONTAP使用者
每個ONTAP使用者都與SVM或檔案系統相關聯。具有該fsxadmin
角色的檔案系統使用者可以使用security login create
此指security login create
令會建立管理公用程式的登入方法。登入方法包含使用者名稱、應用程式 (存取方法) 和驗證方法。一個使用者名稱可以與多個應用程式相關聯。它可以選擇性地包含存取控制角色名稱。如果使用 Active Directory LDAP、或NIS群組名稱,則登入方法可讓您存取屬於指定群組的使用者。如果使用者是安全性登入表格中佈建的多個群組的成員,則使用者將可存取授權給個別群組之命令的組合清單。
如需如何建立新ONTAP使用者的資訊,請參閱建立 ONTAP 使用者。