Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# ONTAPrôles et utilisateurs
<a name="roles-and-users"></a>

NetApp ONTAPinclut une fonctionnalité de contrôle d'accès basé sur les rôles (RBAC) robuste et extensible. ONTAPles rôles définissent les capacités et les privilèges des utilisateurs lors de l'utilisation de la ONTAP CLI et de l'API REST. Chaque rôle définit un niveau différent de capacités et de privilèges administratifs. Vous attribuez des rôles aux utilisateurs dans le but de contrôler leur accès aux ressources FSx for ONTAP lors de l'utilisation de l'ONTAPAPI REST et de la CLI. Des ONTAP rôles sont disponibles séparément pour les utilisateurs du système de fichiers FSx for ONTAP et pour les utilisateurs de machines virtuelles de stockage (SVM).

Lorsque vous créez un système de fichiers FSx for ONTAP, un ONTAP utilisateur par défaut est créé au niveau du système de fichiers et au niveau de la SVM. Vous pouvez créer des utilisateurs de systèmes de fichiers et de SVM supplémentaires, ainsi que des rôles de SVM supplémentaires pour répondre aux besoins de votre organisation. Ce chapitre explique ONTAP les utilisateurs et les rôles, et fournit des procédures détaillées pour créer des utilisateurs et des rôles de SVM supplémentaires.

## Rôles et utilisateurs de l'administrateur du système de fichiers
<a name="file-system-admin-roles"></a>

L'utilisateur du système de ONTAP fichiers par défaut est`fsxadmin`, à qui le `fsxadmin` rôle est assigné. Vous pouvez attribuer deux rôles prédéfinis aux utilisateurs du système de fichiers, répertoriés comme suit :
+ **`fsxadmin`**—Les administrateurs dotés de ce rôle disposent de droits illimités dans le ONTAP système. Ils peuvent configurer tous les systèmes de fichiers et SVM-level ressources disponibles sur les systèmes de fichiers FSx for ONTAP.
+ **`fsxadmin-readonly`**—Les administrateurs dotés de ce rôle peuvent tout afficher au niveau du système de fichiers, mais ne peuvent apporter aucune modification.

  Ce rôle convient parfaitement aux applications de surveillance, notamment NetApp Harvest parce qu'il dispose d'un accès en lecture seule à toutes les ressources disponibles et à leurs propriétés, mais qu'il ne peut pas y apporter de modifications.

Vous pouvez créer des utilisateurs supplémentaires du système de fichiers et leur attribuer le `fsxadmin-readonly` rôle `fsxadmin` ou. Vous ne pouvez pas créer de nouveaux rôles ni modifier les rôles existants. Pour de plus amples informations, veuillez consulter [Création de nouveaux ONTAP utilisateurs pour l'administration du système de fichiers et des SVM](#file-system-roles-and-users).

Le tableau suivant décrit le niveau d'accès dont disposent les rôles d'administrateur de système de fichiers pour les commandes et les répertoires de commandes de la ONTAP CLI et de l'API REST.



- ** `fsxadmin` **
  - **Niveau d’accès:** tout
  - **Vers les commandes ou répertoires de commandes suivants:** Tous les répertoires de commandes disponibles dans FSx for ONTAP

- **`fsxadmin-readonly`**
  - **Niveau d’accès:** tout / **Vers les commandes ou répertoires de commandes suivants:** `security login password`<br />Pour gérer le compte utilisateur, le mot de passe local et les informations clés uniquement
  - **Niveau d’accès:** Aucune / **Vers les commandes ou répertoires de commandes suivants:** security
  - **Niveau d’accès:** lecture seule / **Vers les commandes ou répertoires de commandes suivants:** Tous les autres répertoires de commandes disponibles dans FSx for ONTAP



## Rôles et utilisateurs de l'administrateur de la SVM
<a name="svm-admin-roles"></a>

Chaque SVM possède un domaine d'authentification distinct et peut être gérée indépendamment par ses propres administrateurs. Pour chaque SVM de votre système de fichiers, l'utilisateur par défaut est *vsadmin*, auquel le `vsadmin` rôle est attribué par défaut. Outre le `vsadmin` rôle, il existe d'autres rôles de SVM prédéfinis qui fournissent des autorisations limitées que vous pouvez attribuer aux utilisateurs de SVM. Vous pouvez également créer des rôles personnalisés qui fournissent le niveau de contrôle d'accès adapté aux besoins de votre organisation.

Les rôles prédéfinis pour les administrateurs de SVM et leurs capacités sont les suivants :


| Nom du rôle | Fonctionnalités | 
| --- | --- | 
| `vsadmin` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/roles-and-users.html)  | 
| `vsadmin-volume` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/roles-and-users.html)  | 
| `vsadmin-protocol` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/roles-and-users.html)  | 
| `vsadmin-backup` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/roles-and-users.html)  | 
| `vsadmin-snaplock` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/roles-and-users.html)  | 
| `vsadmin-readonly` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/roles-and-users.html)  | 

Pour plus d'informations sur la création d'un nouveau rôle de SVM, consultez[Création de rôles de SVM](creating-new-svm-roles.md).

## Utiliser Active Directory pour ONTAP authentifier les utilisateurs
<a name="ad-tunneling"></a>

Vous pouvez authentifier l'accès des utilisateurs du domaine Windows Active Directory à un système de fichiers FSx for ONTAP et à une SVM. Vous devez effectuer les tâches suivantes avant que les comptes Active Directory puissent accéder à votre système de fichiers :
+ Vous devez configurer l'accès du contrôleur de domaine Active Directory à la SVM.

  La SVM que vous utilisez pour configurer en tant que passerelle ou tunnel pour l'accès au contrôleur de domaine Active Directory doit soit avoir le protocole CIFS activé, soit être jointe à un Active Directory, soit les deux. Si vous n'activez pas le CIFS et que vous joignez uniquement la SVM du tunnel à une instance Active Directory, assurez-vous que la SVM est jointe à votre Active Directory. Pour de plus amples informations, veuillez consulter [Comment fonctionne SVMs l'adhésion à Microsoft Active Directory](self-managed-AD-join.md).
+ Vous devez activer un compte utilisateur de domaine Active Directory pour accéder au système de fichiers.

  Vous pouvez utiliser l'authentification par mot de passe ou l'authentification par clé publique SSH pour les utilisateurs du domaine Windows accédant à la ONTAP CLI ou à l'API REST.

Pour les procédures décrivant comment configurer l'authentification Active Directory pour les administrateurs de systèmes de fichiers et de SVM, reportez-vous [Configuration de l'authentification Active Directory pour ONTAP les utilisateurs](set-up-ad-auth.md) à la section.

## Création de nouveaux ONTAP utilisateurs pour l'administration du système de fichiers et des SVM
<a name="file-system-roles-and-users"></a>

Chaque ONTAP utilisateur est associé à une SVM ou au système de fichiers. Les utilisateurs du système de fichiers dotés de `fsxadmin` ce rôle peuvent créer de nouveaux rôles et utilisateurs de SVM à l'aide de la commande [https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html)ONTAPCLI.

La `security login create` commande crée une méthode de connexion pour l'utilitaire de gestion. Une méthode de connexion comprend un nom d'utilisateur, une application (méthode d'accès) et une méthode d'authentification. Un nom d'utilisateur peut être associé à plusieurs applications. Il peut éventuellement inclure un nom de rôle de contrôle d'accès. Si un nom de groupe Active Directory, LDAP ou NIS est utilisé, la méthode de connexion donne accès aux utilisateurs appartenant au groupe spécifié. Si l'utilisateur est membre de plusieurs groupes fournis dans la table de connexion de sécurité, il aura accès à une liste combinée des commandes autorisées pour les groupes individuels.

Pour plus d'informations sur la procédure de création d'un nouvel ONTAP utilisateur, consultez[Création d'utilisateurs ONTAP](create-new-ontap-users.md).

**Topics**
+ [Rôles et utilisateurs de l'administrateur du système de fichiers](#file-system-admin-roles)
+ [Rôles et utilisateurs de l'administrateur de la SVM](#svm-admin-roles)
+ [Utiliser Active Directory pour ONTAP authentifier les utilisateurs](#ad-tunneling)
+ [Création de nouveaux ONTAP utilisateurs pour l'administration du système de fichiers et des SVM](#file-system-roles-and-users)
+ [Création d'utilisateurs ONTAP](create-new-ontap-users.md)
+ [Création de rôles de SVM](creating-new-svm-roles.md)
+ [Configuration de l'authentification Active Directory pour ONTAP les utilisateurs](set-up-ad-auth.md)
+ [Configuration de l'authentification par clé publique](public-key-auth.md)
+ [Mise à jour des exigences relatives aux mots de passe pour les rôles de système de fichiers et de SVM](update-password-requirements.md)
+ [La mise à jour du mot de passe du `fsxadmin` compte échoue](updating-admin-password.md)