You are here

Benutzer und Gruppenverwaltung

Useradmin
Verwendung und Einrichtung von Gruppen und Rollen

Gruende fuer die Verwendung von verschiedenen Gruppen und Rollen

Abschaltung eines gemeinsamen Root Accounts
Verwendung von einem Backup Account der nur bestimmte Befehle benoetigt.
unterschiedlicher Wissenstand innerhalb der Administratoren Gruppe
Kontrolle ueber die Ausfuehrung von Risikoreichen Befehlen (Audit)

Eine kleine Einfuehrung in dieses Thema bietet:

http://now.netapp.com/NOW/knowledge/docs/ontap/rel7001_gf/html/ontap/sys...

Nach der Basis Installation des NeApp Filer sind im System bereits, User, Gruppen und Rollen angelegt.

An diesem Beispiel wird eine Rolle mit den Berechtigungen login-*,cli-ndmpd,cli-sysconfig,cli-df,cli-? erstellt und diese Rolle wird den Backup Operators (Gruppe) zugeordnet.

Am Schluss wird dann der neu erstellte Backup Account dieser Gruppe zugeordnet.

useradmin userlist

fas3020> useradmin user list
Name: root
Info: Default system administrator.
Rid: 0
Groups:

Name: administrator
Info: Built-in account for administering the filer
Rid: 500
Groups: Administrators

useradmin group list

fas3020> useradmin group list
Name: Administrators
Info: Members can fully administer the filer
Rid: 544
Roles: admin

Name: Backup Operators
Info: Members can bypass file security to backup files
Rid: 551
Roles: none

Name: Guests
Info: Users granted Guest Access
Rid: 546
Roles: none

Name: Power Users
Info: Members that can share directories
Rid: 547
Roles: power

Name: Replicators
Info: not supported
Rid: 552
Roles: none

Name: Users
Info: Ordinary Users
Rid: 545
Roles: audit

Hier sehen wir alle Default existierenden Gruppen.
Es sind bereits Rollen verschiedenen Gruppen zugeordnet.

useradmin role list

fas3020> useradmin role list
Name: admin
Info: Default role for administrator privileges.
Allowed Capabilities: login-*,cli-*,api-*,security-*

Name: audit
Info:
Allowed Capabilities: api-snmp-get,api-snmp-get-next

Name: none
Info: Default role for no privileges.
Allowed Capabilities:

Name: power
Info: Default role for power user privileges.
Allowed Capabilities: cli-cifs*,cli-exportfs*,cli-nfs*,cli-useradmin*,api-cifs-*,api-nfs-*,login-telnet,login-http-admin,login-rsh,login-ssh

Name: root
Info: Default role for root privileges.
Allowed Capabilities: *

Erstellen des Backup Accounts

useradmin user -add

fas3020> useradmin user add Backup -g "Backup Operators" -n "Backup-Account"
New password:
Retype new password:
User added.

Der neue Backup Account wird gleich der Gruppe Backup Operators zugeordnet.

useradmin user list

fas3020> useradmin user list Backup
Name: Backup
Info:
Rid: 131072
Groups: Backup Operators

useradmin role add

fas3020> useradmin role add backup-restore -a login-*,cli-ndmpd,cli-sysconfig,cli-df,cli-?
Role added.

useradmin role list backup-restore

fas3020> useradmin role list backup-restore
Name: backup-restore
Info:
Allowed Capabilities: login-*,cli-ndmpd,cli-sysconfig,cli-df,cli-?

useradmin group modify "Backup Operators" -r backup-restore

fas3020> useradmin group modify "Backup Operators" -r backup-restore
Group modified.

Nun wurde die Rolle der Gruppe Backup Operators zugeordnet.

Kontrolle:

Einloggen mit dem Backup Account.

ssh backup@fas3020
backup@fas3020's password:

fas3020> ?
? filestats ndmpcopy ndmpd
df
fas3020>

Der User Backup kann nur noch die Ihm zugeordneten Befehle ausfuehren.

Zusammenfassung

useradmin user list

useradmin user modify „User“ -g „Gruppe“ (Gruppe zum User hinzufuegen)

useradmin role add (Rollenname)

useradmin role modify “Rolle” -a (was der Account durchfuehren kann)

useradmin role modify “Rolle” -c (Kommentar hinzufuegen)

useradmin group modify „Gruppe“ -r (Rolle zur Gruppe hinzufuegen)