Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie den S3-Zugriff für externe Verzeichnisdienste

Beitragende

Ab ONTAP 9.14.1 sind Services für externe Verzeichnisse in ONTAP S3 Objekt-Storage integriert. Diese Integration vereinfacht die Benutzer- und Zugriffsverwaltung durch externe Verzeichnisdienste.

Sie können Benutzergruppen, die zu einem externen Verzeichnisdienst gehören, mit Zugriff auf Ihre ONTAP Objekt-Storage-Umgebung versehen. Lightweight Directory Access Protocol (LDAP) ist eine Schnittstelle zur Kommunikation mit Verzeichnisdiensten wie Active Directory, die eine Datenbank und Dienste für Identitäts- und Zugriffsmanagement (IAM) bereitstellen. Für den Zugriff müssen Sie LDAP-Gruppen in Ihrer ONTAP S3-Umgebung konfigurieren. Nachdem Sie den Zugriff konfiguriert haben, haben die Gruppenmitglieder Berechtigungen für ONTAP S3 Buckets. Informationen zu LDAP finden Sie unter "Überblick über die Verwendung von LDAP".

Sie können auch Active Directory-Benutzergruppen für den schnellen Bindungsmodus konfigurieren, sodass die Anmeldeinformationen von Benutzern validiert und S3-Anwendungen von Drittanbietern und Open-Source-Anwendungen über LDAP-Verbindungen authentifiziert werden können.

Bevor Sie beginnen

Stellen Sie vor der Konfiguration von LDAP-Gruppen und der Aktivierung des fast-Bind-Modus für den Gruppenzugriff Folgendes sicher:

  1. Es wurde eine S3-fähige Storage-VM erstellt, die einen S3-Server enthält. Siehe "Erstellung einer SVM für S3".

  2. In dieser Storage-VM wurde ein Bucket erstellt. Siehe "Erstellen eines Buckets".

  3. DNS ist auf der Storage-VM konfiguriert. Siehe "Konfigurieren Sie DNS-Dienste".

  4. Auf der Storage-VM wird ein selbstsigniertes CA-Zertifikat (Root Certification Authority) des LDAP-Servers installiert. Siehe "Installieren Sie das selbstsignierte Root-CA-Zertifikat auf der SVM".

  5. Ein LDAP-Client wird mit TLS auf der SVM konfiguriert. Siehe "Erstellen Sie eine LDAP-Client-Konfiguration" und "Verknüpfen Sie die LDAP-Client-Konfiguration mit SVMs, um Informationen zu erhalten".

Konfigurieren Sie den S3-Zugriff für externe Verzeichnisdienste

  1. Geben Sie LDAP als Name Service-Datenbank der SVM für die Gruppe und Passwort für LDAP an:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
    ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Weitere Informationen zu diesem Befehl finden Sie im "vserver Services Name-Service ns-Switch modify" Befehl.

  2. Erstellen Sie eine Objektspeicher-Bucket-Policy-Anweisung mit der principal Einstellung auf die LDAP-Gruppe, der Sie Zugriff gewähren möchten:

    object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*

    Beispiel: Im folgenden Beispiel wird eine Bucket Policy-Anweisung für erstellt buck1. Die Richtlinie ermöglicht den Zugriff der LDAP-Gruppe group1 auf die Ressource (Bucket und deren Objekte) buck1.

    vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action
    GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*
  3. Vergewissern Sie sich, dass ein Benutzer der LDAP-Gruppe group1 S3-Vorgänge vom S3-Client ausführen kann.

Verwenden Sie für die Authentifizierung den LDAP-F.A.S.T. Bind-Modus

  1. Geben Sie LDAP als Name Service-Datenbank der SVM für die Gruppe und Passwort für LDAP an:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
    ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Weitere Informationen zu diesem Befehl finden Sie im "vserver Services Name-Service ns-Switch modify" Befehl.

  2. Stellen Sie sicher, dass für einen LDAP-Benutzer, der auf den S3-Bucket zugreift, in den Bucket-Richtlinien definierte Berechtigungen gelten. Weitere Informationen finden Sie unter "Ändern einer Bucket-Richtlinie".

  3. Überprüfen Sie, ob ein Benutzer aus der LDAP-Gruppe die folgenden Vorgänge ausführen kann:

    1. Konfigurieren Sie den Zugriffsschlüssel auf dem S3-Client in diesem Format:
      "NTAPFASTBIND" + base64-encode(user-name:password) Beispiel: "NTAPFASTBIND" + base64-encode(ldapuser:password), was dazu führt NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=

      Hinweis Der S3-Client fordert möglicherweise einen geheimen Schlüssel an. In Ermangelung eines geheimen Schlüssels kann ein Passwort mit mindestens 16 Zeichen eingegeben werden.
    2. Führen Sie grundlegende S3-Vorgänge über den S3-Client durch, für den der Benutzer Berechtigungen besitzt.

Ressourcenauthentifizierung für Active Directory für Benutzer ohne UID und GID

Wenn die in der Bucket-Policy-Anweisung angegebene nasgroup oder die Benutzer, die Teil der nasgroup sind, keine UID und keine GID festgelegt haben, schlägt die Suche fehl, wenn diese Attribute nicht gefunden werden.

Um Suchfehler zu vermeiden, empfiehlt NetApp die Verwendung vertrauenswürdiger Domänen für die Ressourcenautorisierung im UPN-Format nasgroup/group@trusted_domain.com

Um die Benutzerzugriffsschlüssel für vertrauenswürdige Domänenbenutzer zu generieren, wenn LDAP fast BIND nicht verwendet wird

Verwenden Sie den s3/services/<svm_uuid>/users Endpunkt mit Benutzern, die im UPN-Format angegeben sind. Beispiel:

$curl -siku FQDN\\user:<user_name> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user[@fqdn](https://github.com/fqdn)>,"<key_time_to_live>":"PT6H3M"}'