Konfigurieren Sie die Übersicht über den Zugriff auf LDAP- oder NIS-Server
Änderungen vorschlagen
PDFs
Sie müssen den LDAP- oder NIS-Serverzugriff auf eine SVM konfigurieren, bevor LDAP- oder NIS-Konten auf die SVM zugreifen können. Mit der Switch-Funktion können Sie LDAP oder NIS als alternative Namensdienstquellen verwenden.
Konfigurieren Sie den LDAP-Serverzugriff
Sie müssen den LDAP-Serverzugriff auf eine SVM konfigurieren, bevor LDAP-Konten auf die SVM zugreifen können. Sie können den vserver services name-service ldap client create Befehl verwenden, um eine LDAP-Client-Konfiguration auf der SVM zu erstellen. Mit dem vserver services name-service ldap create Befehl können Sie die LDAP-Client-Konfiguration der SVM zuordnen.
Die meisten LDAP-Server können die von ONTAP bereitgestellten Standardschemata verwenden:
-
MS-AD-bis (das bevorzugte Schema für die meisten Windows 2012- und späteren AD-Server)
-
AD-IDMU (AD-Server Windows 2008, Windows 2016 und höher)
-
AD-SFU (Windows 2003 und frühere AD-Server)
-
RFC-2307 (UNIX LDAP-SERVER)
Es empfiehlt sich, die Standardschemata zu verwenden, es sei denn, es ist eine andere Voraussetzung zu tun. In diesem Fall können Sie ein eigenes Schema erstellen, indem Sie ein Standardschema kopieren und die Kopie ändern. Weitere Informationen finden Sie unter:
-
Sie müssen eine "DIGITALES Zertifikat für DEN CA-signierten Server" auf der SVM installiert haben.
-
Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.
-
LDAP-Client-Konfiguration auf einer SVM erstellen:
vserver services name-service ldap client create -vserver <SVM_name> -client-config <client_configuration> -servers <LDAP_server_IPs> -schema <schema> -use-start-tls <true|false>
Start TLS wird nur für den Zugriff auf Data SVMs unterstützt. Der Zugriff auf Admin-SVMs wird nicht unterstützt. Vollständige Befehlssyntax finden Sie im "Arbeitsblatt".
Mit dem folgenden Befehl wird eine LDAP-Client-Konfiguration mit dem Namen auf SVM
engDataerstelltcorp. Der Client bindet mit den IP-Adressen 172.160.0.100 und 172.16.0.101 anonymisiert an die LDAP-Server. Der Client verwendet das RFC-2307-Schema, um LDAP-Abfragen zu erstellen. Die Kommunikation zwischen Client und Server wird über Start TLS verschlüsselt.cluster1::> vserver services name-service ldap client create -vserver engData -client-config corp -servers 172.16.0.100,172.16.0.101 -schema RFC-2307 -use-start-tls true
Ab ONTAP 9.2 -ldap-serversersetzt das Feld das Feld-servers. Dieses neue Feld kann entweder einen Hostnamen oder eine IP-Adresse für den LDAP-Server enthalten. -
LDAP-Client-Konfiguration der SVM zuordnen:
vserver services name-service ldap create -vserver <SVM_name> -client-config <client_configuration> -client-enabled <true|false>Vollständige Befehlssyntax finden Sie im "Arbeitsblatt".
Der folgende Befehl ordnet die LDAP-Client-Konfiguration
corpder SVM `engData`zu und aktiviert den LDAP-Client auf der SVM.cluster1::>vserver services name-service ldap create -vserver engData -client-config corp -client-enabled true
Ab ONTAP 9.2 vserver services name-service ldap createführt der Befehl eine automatische Konfigurationsprüfung durch und meldet eine Fehlermeldung, wenn ONTAP den Name Server nicht kontaktieren kann. -
Überprüfen Sie den Status der Namensserver mithilfe des LDAP-Prüfbefehls vserver Services Name-Service.
Mit dem folgenden Befehl werden die LDAP-Server auf der SVM vs0 validiert.
cluster1::> vserver services name-service ldap check -vserver vs0 | Vserver: vs0 | | Client Configuration Name: c1 | | LDAP Status: up | | LDAP Status Details: Successfully connected to LDAP server "10.11.12.13". |
Der Befehl Name Service Check ist ab ONTAP 9.2 verfügbar.
Konfigurieren Sie den NIS-Serverzugriff
Sie müssen den NIS-Serverzugriff auf eine SVM konfigurieren, bevor NIS-Konten auf die SVM zugreifen können. Sie können mit dem vserver services name-service nis-domain create Befehl eine NIS-Domänenkonfiguration auf einer SVM erstellen.
-
Alle konfigurierten Server müssen verfügbar und zugänglich sein, bevor Sie die NIS-Domäne auf der SVM konfigurieren.
-
Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.
-
Erstellen einer NIS-Domänenkonfiguration auf einer SVM:
vserver services name-service nis-domain create -vserver <SVM_name> -domain <client_configuration> -nis-servers <NIS_server_IPs>Vollständige Befehlssyntax finden Sie im "Arbeitsblatt".
Ab ONTAP 9.2 -nis-serversersetzt das Feld das Feld-servers. Dieses neue Feld kann entweder einen Hostnamen oder eine IP-Adresse für den NIS-Server enthalten.Mit dem folgenden Befehl wird eine NIS-Domänenkonfiguration auf SVM erstellt
engData. Die NIS-Domainnisdomainkommuniziert mit einem NIS-Server mit der IP-Adresse192.0.2.180.cluster1::>vserver services name-service nis-domain create -vserver engData -domain nisdomain -nis-servers 192.0.2.180
Erstellen Sie einen Namensdienstschalter
Mit der Namensdienst-Switch-Funktion können Sie LDAP oder NIS als alternative Namensdienstquellen verwenden. Sie können den vserver services name-service ns-switch modify Befehl verwenden, um die Reihenfolge für Namensdienstquellen festzulegen.
-
Sie müssen LDAP- und NIS-Serverzugriff konfiguriert haben.
-
Um diese Aufgabe auszuführen, müssen Sie ein Cluster-Administrator oder SVM-Administrator sein.
-
Geben Sie die Suchreihenfolge für Namensdienstquellen an:
vserver services name-service ns-switch modify -vserver <SVM_name> -database <name_service_switch_database> -sources <name_service_source_order>Vollständige Befehlssyntax finden Sie im "Arbeitsblatt".
Der folgende Befehl gibt die Suchreihenfolge der LDAP- und NIS-Namensservice-Quellen für die
passwdDatenbank auf SVM anengData.cluster1::>vserver services name-service ns-switch modify -vserver engData -database passwd -source files ldap,nis