Lukas Prelovsky

Es ist möglich, dass der CIFS-Administrator vom SSH, RSH, Telnet, Console, SP Login ausgeschlossen wird, falls dies von der Umgebung her notwendig (Sicherheitsrichtlinie, oder Vorgabe), bzw. gewünscht ist. Hierfür muss die Rolle „admin“ angepasst werden, denn der lokale NetApp CIFS-Administrator wird nach dem CIFS-Setup standardmäßig in die „admin“ Rolle hinzugefügt.

In der CLI des Data ONTAPs als root einloggen und mit folgenden Befehlen kann man überprüfen, in welcher Gruppe und Rolle sich der Benutzer Administrator befindet:

- useradmin user list
Auflistung aller auf der NetApp vorhandenen Benutzer, dort taucht der Benutzer „Administrator“ auf, welcher sich in der Gruppe „Administrators“ befindet

- useradmin group list
Auflistung aller vorhandenen Gruppen auf der NetApp. Wenn man sich die Gruppe „Administrators“ anschaut, wird man feststellen, dass ich diese in der Rolle „admin“ befindet.

- useradmin role list
Hier werden alle auf der NetApp verfügbaren Rollen aufgelistet, uns interessiert aktuell nur die „admin“ Rolle.

Die Rolle „admin“ ist mit folgenden Möglichkeiten (capabilities) versehen:

- login-*
Steuerung der Login möglichkeit über div. von NetApp unterstützte Protokolle

- cli-*
Festlegung zur Verwendung der NetApp Befehle

- api-*
Festlegung zur Abfrage der verschiedenen NetApp APIs, welche nur durch die login-http Rolle nutzbar sind.

- security-*
Diverse Sicherheitsoptionen / Möglichkeiten zur Steuerung der Passwörter und Benutzersteuerung.

In diesem Fall muss die login-* capability modifiziert werden, für dieses Beispiel nehme ich mir nur SSH, RSH und Telnet vor. Um mit dem nachfolgenden Befehl die anderen für die Rolle vorhandenen capabilities nicht raus zu löschen, sollten diese mit angehängt werden:

useradmin role modify admin –a login-console,login-sp,login-snmp,login-ndmp,login-http-admin,cli-*,api-*,security-*

Hierdurch wird dem lokale CIFS-Administrator der Zugang zur NetApp mittels SSH, RSH und Telnet verwehrt. Hiermit kann noch viel mehr umgestellt / eingestellt werden, es ist immer vom Vorhaben abhängig. Macht euch vorher ein Backup der Gruppe / Rollenkonfiguration, damit Ihr ggf. später die Konfiguration wieder den Ursprungszustand zurückbringen könnt.

Weitere Informationen zu den Commands innerhalb des Data ONTAPs sind zu finden unter (NetApp Account vorausgesetzt): https://library.netapp.com/ecmdocs/ECMM1281126/html/html/man1/na_useradmin.1.html

Lukas Prelovsky

IT-Blog rund um Windows, Netapp, Software & Mobile

Archiv für August, 2012

CIFS-Administrator Zugang über verschiedene Protokollarten verwehren