1. NetApp ONTAP 用户角色权限
Cluster 级别:admin 角色(通过 ontapi、ssh、console、http 等应用)
Vserver 级别:vsadmin 角色(通过 ontapi、ssh 等应用)
权限要求:
用于连接管理 IP 的用户必须具备以下权限:
a.执行 vserver audit create、vserver audit enable 等审计配置命令
b.访问 ontapi(NetApp API)以配置审计策略
c.读取和管理审计日志文件
创建自定义审计角色(推荐):
为遵循最小权限原则,可创建一个专用角色:
# 创建角色
security login role create -role audit_role -cmddirname "vserver audit" -access all
security login role create -role audit_role -cmddirname "vserver cifs" -access readonly
security login role create -role audit_role -cmddirname "volume" -access readonly
security login role create -role audit_role -cmddirname "system node" -access readonly
# 创建用户并关联角色
security login create -username audit_user -role audit_role -application ontapi -authmethod password
security login create -username audit_user -role audit_role -application ssh -authmethod password
2. ADAudit Plus 审计策略配置
在 ADAudit Plus 中配置 NetApp 审计时,权限设定分为自动和手动两种方式:
自动配置(推荐):
1.在添加 NetApp 服务器时,勾选 "NetApp Audit Options Enabled Automatically"
2.勾选 "Necessary object level auditing will be set on Selected Shares"
3.ADAudit Plus 会自动:
启用 NetApp 审计选项(如 cifs.audit.enable)
配置审计日志目标和格式
在选定共享上设置 SACL(系统访问控制列表)
手动配置:
如果选择手动配置,需执行以下步骤:
启用审计:vserver audit create -vserver vs1 -destination /vol/audit_log -format evtx -rotate-size 100MB -rotate-limit 5
vserver audit enable -vserver vs1
配置 SACL:
在 NetApp 共享上配置 SACL,审计文件访问、权限变更等事件
确保 ADAudit Plus 服务账号对审计日志目录有读取权限
3. 共享权限要求
ADAudit Plus 需要对所有审计的共享具备:
Share 权限:读取(Read)
NTFS 权限:读取(Read)
配置方法:
a. 使用域管理员账号登录 Windows
b. 打开 MMC,添加 "共享文件夹" 管理单元
c. 定位到 NetApp 共享,添加 ADAudit Plus 服务账号
d. 授予 "读取" 权限(Share 和 NTFS)
✅ 总结
用户角色:使用 admin、vsadmin 或自定义审计角色,确保通过 ontapi 和 ssh 访问
审计策略:优先使用 ADAudit Plus 自动配置,或手动执行 vserver audit 命令
共享权限:为 ADAudit Plus 服务账号配置共享和 NTFS 读取权限