Data Domain — 配置和启用多因素身份验证
Summary: 多因素身份验证是在 DDOS 7.5 和 DDMC 7.11 中引入的,可在保护系统上添加额外的安全层。它要求安全专员和系统管理员输入 RSA SecurID 验证码,然后才能执行某些破坏性命令或配置更改。 Multifactor Authentication面板允许用户配置、启用和禁用多因素身份验证。
Instructions
从 7.5 开始为 DDOS 配置和启用多因素身份验证
步骤
1.选择 AdministrationAccessAuthentication >> 。
此时将显示“Authentication”视图。
2.展开 Multi-factor Authentication面板。
3.单击 Configure。
此时将显示RSA SecurID 服务器身份验证对话框。
4.指定 RSA 配置值:
一个。在 服务器 URL字段中,指定 RSA 服务器 URL。
b.在 客户端密钥字段中,指定 RSA 客户端密钥。
c.在 客户端 ID字段中,指定 RSA 客户端 ID。
d.在 连接超时字段中,(可选)更改连接超时值。
e.在 读取超时字段中,(可选)更改读取超时值。
f.在Replica URLs字段中,(可选)指定 RSA 服务器的任何副本 URL。
5.单击 “确定”。
6.单击 + Add 以选择 RSA 服务器证书并将其添加到保护系统。
7.单击 “确定”。
8.单击 启用。
9.指定安全监察官凭据:
a。在 Username 字段中,指定安全监察官用户名。
b.在 密码 字段中,指定安全监察官密码。
10.单击 “下一步”。
11.在 密码 字段中,指定 sysadmin 密码。
12.单击 完成。
13.如有必要,请单击 编辑 以更改 RSA 配置值。
禁用多因素身份验证
步骤
1.选择“Administration”>“Access”>“Authentication”。此时将显示“Authentication”视图。
2.展开Multifactor Authentication面板。
3.单击 禁用。此时将显示Disable RSA SecurID对话框。
4.指定安全监察官凭据:
一个。在 Username 字段中,指定安全监察官用户名。
b.在 密码 字段中,指定安全监察官密码。
c.在 Passcode 字段中,指定安全监察官 RSA 验证码。
5.单击 “下一步”。
6.指定 sysadmin 凭据:
一个。在 密码 字段中,指定 sysadmin 密码。
b.在 Passcode 字段中,指定 sysadmin RSA 验证码。
7.单击 Finish。
从 7.11 开始为 DDMC 配置和启用多因素身份验证
先决条件
多因素身份验证要求用户在登录到系统之前输入 RSA SecurID 验证码,从而在保护系统上添加了额外的安全层。Multifactor Authentication面板允许用户配置、启用、编辑和禁用多因素身份验证。只有管理员才能在 DDMC 上配置 MFA,并且在执行此操作时必须始终要求提供系统管理员的密码。
在配置 MFA 之前,请将保护系统用户添加到 RSA Authentication Manager。
以下特定于 DD 的要求适用:
● 对于本地、NIS 或 AD 用户,请先将用户添加到 RSA 内部数据库。
● 对于LDAP用户:
○ 将外部身份源添加到 RSA Operation Console。
○ 在 RSA Security Console 中链接外部身份源。
○ 在启用 MFA 之前,需要故障处理用户。故障处理用户可以登录到 DDMC 以编辑或重置系统。此角色没有验证码,也不执行其他功能。
● 在配置 MFA 之前,在 RSA Manager 中为每个用户创建一个唯一的用户 ID:
○ 对于本地用户,以 DDMC username>@<DDMC serial-number> 格式<创建用户 ID。
说明:运行 system show serialno 命令以获取系统序列号。
○ 请勿将系统序列号附加到 AD 或 NIS 用户的用户 ID。
○ 关于权限,只有 Admin 和 Admin- 才能执行 XYA。
关于此任务
仅从用户界面登录的用户名和密码支持用于登录的 MFA。SSH、证书或基于令牌的登录不支持此功能。RSA SecurID 是唯一受支持的 MFA 服务器。
说明:要成功对本地用户进行身份验证,必须在 RSA SecurID 服务器中创建 ID 为 username@serial 号的相应用户。用户名是本地用户的名称。
为确保备份应用程序可以在没有验证码的情况下访问系统,用于登录的 MFA 提供了一个选项,用于仅为 sysadmin 用户禁用 MFA。
步骤
1.选择 设置 齿轮图标 >多重身份验证。
此时将显示“Authentication”视图。
2.单击 Configure。
此时将显示RSA SecurID 服务器身份验证对话框。
3.指定 RSA 配置值:
RSA SecurID 服务器配置值
| 商品 | 描述 |
| 服务器 URL | 指定 RSA 服务器 URL。 |
| 端口 | 指定端口号。 |
| 客户端 ID | 指定 RSA 客户端 ID 身份验证代理。 |
| 客户端密钥 | 指定 RSA 客户端密钥。(在 RSA 身份验证 API 中,这也可能称为访问密钥。) |
| 连接超时 | (可选)更改连接超时值。 |
| 读取超时 | (可选)更改读取超时值。 |
| 副本 URL | (可选)指定 RSA 服务器的任何副本 URL。 |
4.单击 “确定”。
5.单击 + Add 以选择 RSA 服务器证书并将其添加到保护系统。
6.单击 “确定”。
7.单击 启用。
8.指定安全监察官凭据:
a。在 Username 字段中,指定安全监察官用户名。
b.在 密码 字段中,指定安全监察官密码。
9.单击 “下一步”。
10.在 密码 字段中,指定 sysadmin 密码。
11.单击 完成。
12.测试与 RSA SecurID 服务器的连接:单击 测试连接。
注意:对于用于登录的 MFA,必须测试连接。如果未测试连接,sysadmin 和安全监察官用户将无法登录到系统。建议为其他用户测试连接,但这不是必需的。
DDMC 用户权限
| 角色 | 权限 |
| 系统管理员(最高 DDMC 管理员角色) | 可以测试所有用户和所有管理员的验证码。 |
| Admin | 可以测试自己的验证码和下面的所有用户。 |
| 有限管理员 | 可以测试自己的验证码和所有用户。 |
| 用户 | 只能测试自己的验证码。 |
b.在 用户名 字段中,指定要测试的用户名。
c.在 Passcode 字段中,指定 sysadmin RSA 验证码。
d.单击 OK。
14.如有必要,请单击 编辑 以更改 RSA 配置值。
注意:如果系统检测到 MFA 已在其中一个系统上启用,但未在 DDMC 上启用,则会显示警告横幅。如果在一个或多个托管系统上启用了 MFA,则还必须在 DDMC 上启用 MFA。否则,与 DD 配置相关的某些功能将不可用。
禁用多因素身份验证
步骤
1.选择AdministrationAccessAuthentication >>。
此时将显示“Authentication”视图。
2.展开Multifactor Authentication面板。
3.单击 禁用。
此时将显示Disable RSA SecurID对话框。
4.指定安全监察官凭据:
b.在 密码 字段中,指定安全监察官密码。
c.在 Passcode 字段中,指定安全监察官 RSA 验证码。
6.指定 sysadmin 凭据:
b.在 Passcode 字段中,指定 sysadmin RSA 验证码。
注意:禁用 MFA 需要 sysadmin 密码。
Additional Information