Konfigurieren Sie den S3-Zugriff für externe Verzeichnisdienste
-
PDF dieser Dokumentationssite
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
Ab ONTAP 9.14.1 sind Services für externe Verzeichnisse in ONTAP S3 Objekt-Storage integriert. Diese Integration vereinfacht die Benutzer- und Zugriffsverwaltung durch externe Verzeichnisdienste.
Sie können Benutzergruppen, die zu einem externen Verzeichnisdienst gehören, mit Zugriff auf Ihre ONTAP Objekt-Storage-Umgebung versehen. Lightweight Directory Access Protocol (LDAP) ist eine Schnittstelle zur Kommunikation mit Verzeichnisdiensten wie Active Directory, die eine Datenbank und Dienste für Identitäts- und Zugriffsmanagement (IAM) bereitstellen. Für den Zugriff müssen Sie LDAP-Gruppen in Ihrer ONTAP S3-Umgebung konfigurieren. Nachdem Sie den Zugriff konfiguriert haben, haben die Gruppenmitglieder Berechtigungen für ONTAP S3 Buckets. Informationen zu LDAP finden Sie unter "Überblick über die Verwendung von LDAP".
Sie können auch Active Directory-Benutzergruppen für den schnellen Bindungsmodus konfigurieren, sodass die Anmeldeinformationen von Benutzern validiert und S3-Anwendungen von Drittanbietern und Open-Source-Anwendungen über LDAP-Verbindungen authentifiziert werden können.
Stellen Sie vor der Konfiguration von LDAP-Gruppen und der Aktivierung des fast-Bind-Modus für den Gruppenzugriff Folgendes sicher:
-
Es wurde eine S3-fähige Storage-VM erstellt, die einen S3-Server enthält. Siehe "Erstellung einer SVM für S3".
-
In dieser Storage-VM wurde ein Bucket erstellt. Siehe "Erstellen eines Buckets".
-
DNS ist auf der Storage-VM konfiguriert. Siehe "Konfigurieren Sie DNS-Dienste".
-
Auf der Storage-VM wird ein selbstsigniertes CA-Zertifikat (Root Certification Authority) des LDAP-Servers installiert. Siehe "Installieren Sie das selbstsignierte Root-CA-Zertifikat auf der SVM".
-
Ein LDAP-Client wird mit TLS auf der SVM konfiguriert. Siehe "Erstellen Sie eine LDAP-Client-Konfiguration" Und "Verknüpfen Sie die LDAP-Client-Konfiguration mit SVMs, um Informationen zu erhalten".
Konfigurieren Sie den S3-Zugriff für externe Verzeichnisdienste
-
Geben Sie LDAP als Name Service-Datenbank der SVM für die Gruppe und Passwort für LDAP an:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Weitere Informationen zu diesem Befehl finden Sie im "vserver Services Name-Service ns-Switch modify" Befehl.
-
Erstellen einer Bucket-Richtlinienanweisung für Objektspeicher mit dem
principal
Legen Sie die LDAP-Gruppe fest, der Sie Zugriff gewähren möchten:object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*
Beispiel: Im folgenden Beispiel wird eine Bucket-Policy-Anweisung für erstellt
buck1
. Die Richtlinie ermöglicht den Zugriff auf die LDAP-Gruppegroup1
Für die Ressource (Bucket und deren Objekte)buck1
.vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*
-
Überprüfen Sie, ob ein Benutzer aus der LDAP-Gruppe stammt
group1
Kann S3-Vorgänge vom S3-Client ausführen.
Verwenden Sie für die Authentifizierung den LDAP-F.A.S.T. Bind-Modus
-
Geben Sie LDAP als Name Service-Datenbank der SVM für die Gruppe und Passwort für LDAP an:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Weitere Informationen zu diesem Befehl finden Sie im "vserver Services Name-Service ns-Switch modify" Befehl.
-
Stellen Sie sicher, dass für einen LDAP-Benutzer, der auf den S3-Bucket zugreift, in den Bucket-Richtlinien definierte Berechtigungen gelten. Weitere Informationen finden Sie unter "Ändern einer Bucket-Richtlinie".
-
Überprüfen Sie, ob ein Benutzer aus der LDAP-Gruppe die folgenden Vorgänge ausführen kann:
-
Konfigurieren Sie den Zugriffsschlüssel auf dem S3-Client in folgendem Format:
"NTAPFASTBIND" + base64-encode(user-name:password)
Beispiel:"NTAPFASTBIND"
+ base64-encode(ldapuser:password), was dazu führt
NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=
Der S3-Client fordert möglicherweise einen geheimen Schlüssel an. In Ermangelung eines geheimen Schlüssels kann ein Passwort mit mindestens 16 Zeichen eingegeben werden. -
Führen Sie grundlegende S3-Vorgänge über den S3-Client durch, für den der Benutzer Berechtigungen besitzt.
-