本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# ONTAP 角色和使用者
NetApp ONTAP 包含強大且可擴展的角色型存取控制 (RBAC) 功能。 ONTAP角色會在使用 CLI 和 REST API ONTAP 時定義使用者功能和權限。每個角色都會定義不同層級的管理功能和權限。您可以將角色指派給使用者,以便在使用 ONTAP REST API 和 CLI 時控制其對 FSx for ONTAP 資源的存取。FSx for ONTAP 檔案系統使用者和儲存虛擬機器 (SVM) 使用者有個別可用的ONTAP角色。
當您建立 FSx for ONTAP 檔案系統時,預設ONTAP使用者會在檔案系統層級和 SVM 層級建立。您可以建立其他檔案系統和 SVM 使用者,也可以建立其他 SVM 角色,以滿足組織的需求。本章說明ONTAP使用者和角色,並提供建立其他使用者和 SVM 角色的詳細程序。
## 檔案系統管理員角色和使用者
預設ONTAP檔案系統使用者為 `fsxadmin`,其具有指派給該使用者`fsxadmin`的角色。您可以指派給檔案系統使用者的兩個預先定義角色,如下所示:
+ **`fsxadmin`**- 具有此角色的管理員在ONTAP系統中擁有不受限制的權限。他們可以設定 FSx for ONTAP 檔案系統上可用的所有檔案系統和 SVM 層級資源。
+ **`fsxadmin-readonly`**- 具有此角色的管理員可以在檔案系統層級檢視所有項目,但無法進行任何變更。
此角色非常適合與監控應用程式搭配使用,例如 ,NetApp Harvest因為它具有所有可用資源及其屬性的唯讀存取權,但無法對其進行任何變更。
您可以建立其他檔案系統使用者,並將 `fsxadmin`或 `fsxadmin-readonly`角色指派給他們。您無法建立新的角色或修改現有的角色。如需詳細資訊,請參閱[為檔案系統和 SVM 管理建立新的ONTAP使用者](#file-system-roles-and-users)。
下表說明檔案系統管理員角色對 CLI 和 REST API ONTAP 命令和命令目錄的存取層級。
- ** `fsxadmin` **
- **存取層級:** 全部
- **前往下列命令或命令目錄:** FSx for ONTAP 中提供的所有命令目錄
- **`fsxadmin-readonly`**
- **存取層級:** 全部 / **前往下列命令或命令目錄:** `security login password`
僅適用於管理自己的使用者帳戶本機密碼和金鑰資訊
- **存取層級:** 無 / **前往下列命令或命令目錄:** security
- **存取層級:** 唯讀 / **前往下列命令或命令目錄:** FSx for ONTAP 中可用的所有其他命令目錄
## SVM 管理員角色和使用者
每個 SVM 都有單獨的身分驗證網域,並且可以由自己的管理員獨立管理。對於檔案系統上的每個 SVM,預設使用者是 *vsadmin*,其預設指派了 `vsadmin`角色。除了 `vsadmin`角色之外,還有其他預先定義的 SVM 角色,提供可指派給 SVM 使用者的縮小範圍許可。您也可以建立自訂角色,提供符合您組織需求的存取控制層級。
SVM 管理員及其功能的預先定義角色如下所示:
| 角色名稱 | 功能 |
| --- | --- |
| `vsadmin` | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-volume` | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-protocol` | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-backup` | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-snaplock` | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-readonly` | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/roles-and-users.html) |
如需如何建立新的 SVM 角色的詳細資訊,請參閱 [建立 SVM 角色](creating-new-svm-roles.md)。
## 使用 Active Directory 驗證ONTAP使用者
您可以驗證 Windows Active Directory 網域使用者對 FSx for ONTAP 檔案系統和 SVM 的存取。您必須先執行下列任務,Active Directory 帳戶才能存取您的檔案系統:
+ 您需要設定 Active Directory 網域控制站對 SVM 的存取。
您用來將 設定為 Active Directory 網域控制站存取閘道或通道的 SVM 必須啟用 CIFS、加入 Active Directory 或兩者。如果您未啟用 CIFS 且僅將通道 SVM 加入 Active Directory,請確定 SVM 已加入您的 Active Directory。如需詳細資訊,請參閱[將 SVMs加入 Microsoft Active Directory 的運作方式](self-managed-AD-join.md)。
+ 您需要啟用 Active Directory 網域使用者帳戶才能存取檔案系統。
您可以為存取 CLI 或 REST API 的 Windows 網域使用者使用密碼身分驗證或 SSH ONTAP 公有金鑰身分驗證。
如需說明如何使用 為檔案系統和 SVM 管理員設定 Active Directory 身分驗證的程序,請參閱 [為ONTAP使用者設定 Active Directory 身分驗證](set-up-ad-auth.md)。
## 為檔案系統和 SVM 管理建立新的ONTAP使用者
每個ONTAP使用者都與 SVM 或檔案系統相關聯。具有 `fsxadmin`角色的檔案系統使用者可以使用 CLI 命令建立新的 SVM [https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html) ONTAP 角色和使用者。
`security login create` 命令會為 管理公用程式建立登入方法。登入方法包含使用者名稱、應用程式 (存取方法) 和身分驗證方法。使用者名稱可以與多個應用程式建立關聯。它可以選擇性地包含存取控制角色名稱。如果使用 Active Directory、LDAP 或 NIS 群組名稱,則登入方法會將存取權授予屬於指定群組的使用者。如果使用者是安全登入資料表中佈建的多個群組的成員,則該使用者將存取針對個別群組授權的命令組合清單。
如需如何建立新ONTAP使用者的資訊,請參閱 [建立 ONTAP 使用者](create-new-ontap-users.md)。
**Topics**
+ [檔案系統管理員角色和使用者](#file-system-admin-roles)
+ [SVM 管理員角色和使用者](#svm-admin-roles)
+ [使用 Active Directory 驗證ONTAP使用者](#ad-tunneling)
+ [為檔案系統和 SVM 管理建立新的ONTAP使用者](#file-system-roles-and-users)
+ [建立 ONTAP 使用者](create-new-ontap-users.md)
+ [建立 SVM 角色](creating-new-svm-roles.md)
+ [為ONTAP使用者設定 Active Directory 身分驗證](set-up-ad-auth.md)
+ [設定公有金鑰身分驗證](public-key-auth.md)
+ [更新檔案系統和 SVM 角色的密碼需求](update-password-requirements.md)
+ [更新`fsxadmin`帳戶密碼失敗](updating-admin-password.md)