PowerFlex 4.X : Créer des informations d’identification pour les utilisateurs root et non root
Résumé: Cette procédure vous permet de créer des informations d’identification pour les utilisateurs root et non root dans PowerFlex Manager.
Instructions
Créer des informations d’identification pour les utilisateurs root et non root
Cette procédure vous permet de créer des informations d’identification pour les utilisateurs root et non root dans PowerFlex Manager.
Configuration requise
Pour importer et créer les clés SSH d’un nœud PowerFlex, d’un commutateur, d’un administrateur de système d’exploitation ou d’un utilisateur du système d’exploitation, assurez-vous de générer des paires de clés SSH de type RSA sans phrase secrète. Pour plus d’informations, reportez-vous à la section Informations connexes .
À propos de cette tâche
Vous pouvez désormais utiliser un utilisateur non-root au lieu de l’utilisateur root pour les fonctions d’administration du système PowerFlex. Cela renforce la sécurité en désactivant l’utilisateur root lors de la découverte des nœuds, de l’installation du système d’exploitation et des mises à jour sans interruption. Le nom d’utilisateur non-root par défaut est pflex.
Letyped’informations d’identificationAdministrateurdu système d’exploitationestutilisépourles utilisateursrootetUtilisateur dusystème d’exploitationestutilisépourles utilisateursnon root. Lestypes d’informations d’identificationOS Admin etOS User s’appliquent au déploiement des groupes de ressources.
Pour l’authentification des utilisateurs non-root, après le déploiement du groupe de ressources, l’accès SSH à la racine de l’utilisateur est désactivé, le mot de passe est toujours disponible pour accéder à la console à des fins de dépannage.
PowerFlex Manager vous permet de spécifier un utilisateur non-root lorsque vous configurez un modèle pour un déploiement de fichier de calcul uniquement, de stockage uniquement, hyperconvergé ou PowerFlex.
Les déploiements root ou non root basés sur des paires de clés SSH ne sont pas pris en charge pour les déploiements de fichiers PowerFlex.
PowerFlex Manager vous permet d’utiliser un utilisateur LDAP pour les fonctions d’administration du système PowerFlex. Lorsque vous créez ou modifiez les informations d’identification d’un utilisateur de système d’exploitation, vous pouvez éventuellement spécifier le domaine LDAP. Cela vous permet d’utiliser un utilisateur Active Directory (AD) plutôt qu’un utilisateur local pour les fonctions d’administration.
Étapes
- Dans la barre de menus, cliquez sur Paramètres>Sécurité.
- Cliquez sur ResourceCredentials. La page Credentials Management s’ouvre.
- Cliquez sur Create.
- Danslalistedéroulante Credential Typede la boîte de dialogueCreateCredentials, sélectionnezl’unedes options suivantesTypes de ressourcespourlesquelsvoussouhaitezcréerdes informations d’identificationnon root :
- Nœud
- Commutateur
- Administrateur du système d’exploitation
- Utilisateur du système d’exploitation
Les types d’informations d’identification OSAdminetOS Users’appliquent aux éléments déployés, pas à PowerFlex Manager. Si vous créez un jeu d’informations d’identification d’utilisateur de système d’exploitation pour les machines virtuelles de gestion sur un groupe de ressources du contrôleur de gestion PowerFlex, sélectionnez Utilisateur du système d’exploitation.
- Dans le champ CredentialName, saisissez le nom pour identifier les informations d’identification.
Si vous créez un jeud’informations d’identification d’utilisateur de système d’exploitation pour les machines virtuelles de gestion d’un groupe de ressources du contrôleur de gestion PowerFlex, procédez comme suit :
- Saisissez MVM delladmin pour identifier les informations d’identification.
- Dans lechamp Nom d’utilisateur, saisissez delladmin.
- Saisissez le mot de passe du compte delladmin dans les champs Mot de passeet Confirmer le mot de passe.
- Cliquez sur Activerles pairesde clés pour activer la connexion avec des paires de clés SSH et procédez comme suit :
|
À... |
Procédez comme suit... |
|
Activez les paires de clés pour les informations d’identificationdu nœud ou ducommutateur : |
Générezmanuellementles paires declésSSH.
|
|
Créez desclésà l’aide dePowerFlexManagerpourles informations d’identification de l’administrateurdu système d’exploitation ou de l’utilisateur du système d’exploitation, et activez les paires de clés : |
|
|
Pour générer et importer manuellement des paires de clésexistantes pour les informations d’identification de l’administrateur du système d’exploitation ou de l’utilisateur du système d’exploitation : |
Générezmanuellementles paires declésSSH.
|
Si vous activez des paires de clés SSH pour les informations d’identification d’un nœud ou d’un commutateur et que vous utilisez ces informations d’identification pour la découverte, PowerFlex Manager utilise des paires de clés RSA publiques ou privées pour vous connecter en toute sécurité à votre nœud ou commutateur, au lieu d’utiliser un nom d’utilisateur et un mot de passe.
Si vous activez des paires de clés SSH pour les informations d’identification d’utilisateur du système d’exploitation ou d’administrateurdu système d’exploitation et que vous utilisez ces informations d’identification pour un déploiement, PowerFlex Manager utilise des paires de clés publiques ou privées RSA pour les opérations de déploiement.
PowerFlex Manager ne consomme pas de clés SSH pour tous les types de composants. Par exemple, si vous activez des paires de clés SSH comme informations d’identification d’administrateur, les clés SSH ne sont pas utilisées pour le déploiement d’une machine virtuelle CloudLink Center. À la place, le nom d’utilisateur et le mot de passe sont utilisés pour toutes les communications.
- Pour activer LDAP pour un utilisateurdu système d’exploitation (facultatif) :
- Sur la page Create Credentials , dans le champ Credential type , saisissez OS User.
- Dans lechamp Nom des informations d’identification, saisissez LDAP.
- Saisissez le nom de domaine et le nom d’utilisateur dans les champs Domaineet Nomd’utilisateur.
- Saisissez les mots de passe, puis cliquez sur Save.
Créez un nom d’utilisateur avec un nom de domaine sur le serveur Active Directory. L’heure du serveur NTP et du serveur Active Directory doit être synchronisée. Configurez le serveur DNS et le préfixe sur la configuration du réseau de gestion.
- Dans lechamp Nom d’utilisateur, saisissez le nom d’utilisateur des informations d’identification.
Pour lesnœuds (iDRAC), root est le seul nom d’utilisateur valide pour les informations d’identification au niveau racine. Pour un nom d’utilisateur non-root, saisissez le nom d’utilisateur non-root par défaut.
Pour le type d’informations d’identification d’administrateurdu système d’exploitation, le champ Nomd’utilisateur est désactivé car l’utilisateur est supposé être root. Vous devez utiliser l’utilisateur root pour les nouveaux déploiements.
Pour le Type d’informations d’identification de l’utilisateurdu système d’exploitation, saisissez le nom d’utilisateur non-root par défaut.
Pour le système d’exploitation intégré, SSH doit être activé sur ce compte d’utilisateur et disposer d’un accès sudo. Pour VMware ESXi, le compte doit être configuré avec le rôle d’administrateur sur le paramètre d’autorisation du serveur local, ce qui doit activer SSH et d’autres outils tels que esxcli. Vous pouvez ajouter des groupes de ressources existants avec un utilisateur non-root. Le compte sur les nœuds de stockage uniquement SVM et/ou PowerFlex pour le type d’informations d’identification de l’utilisateurdu système d’exploitation doit disposer d’un répertoire /home et des autorisations de groupe appropriées.
- Dans les zones Mot de passeet Confirmer le mot de passe, saisissez le mot de passe associé aux informations d’identification.
Voir PowerFlex 4.x Mise à jour du mot de passe
PowerFlex Manager Voir PowerFlex Comment générer des paires de clés SSH