Versionshinweise
Ermöglichen Sie LDAP- oder Domänenbenutzern, ihre eigenen ONTAP S3-Zugriffsschlüssel zu generieren
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
ONTAP einrichten, aktualisieren und zurücksetzen
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
NFS lässt sich mit der CLI managen
-
SMB lässt sich mit der CLI managen
-
Managen von SMB-Servern
-
Managen Sie den Dateizugriff über SMB
-
-
-
Authentifizierung und Zugriffssteuerung
-
Managen Sie die Administratorauthentifizierung und RBAC
-
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
Datensicherung mithilfe von Tape Backup
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Ab ONTAP 9.14.1 können Sie als ONTAP-Administrator benutzerdefinierte Rollen erstellen und sie lokalen oder Domänengruppen oder LDAP-Gruppen (Lightweight Directory Access Protocol) zuweisen, sodass die Benutzer dieser Gruppen ihren eigenen Zugriff und geheime Schlüssel für den S3-Clientzugriff generieren können.
Sie müssen für die Storage-VM einige Konfigurationsschritte durchführen, um die benutzerdefinierte Rolle zu erstellen und dem Benutzer zuzuweisen, der die API zur Schlüsselgenerierung nach dem Zugriff aktiviert.
|
Wenn LDAP deaktiviert ist, können Sie so konfigurieren, dass Benutzer Zugriffsschlüssel generieren können"Active Directory und SMB mit domänenbasierter Authentifizierung". |
Stellen Sie Folgendes sicher:
-
Es wurde eine S3-fähige Storage-VM erstellt, die einen S3-Server enthält. Siehe "Erstellung einer SVM für S3".
-
In dieser Storage-VM wurde ein Bucket erstellt. Siehe "Erstellen eines Buckets".
-
DNS ist auf der Storage-VM konfiguriert. Siehe "Konfigurieren Sie DNS-Dienste".
-
Auf der Storage-VM wird ein selbstsigniertes CA-Zertifikat (Root Certification Authority) des LDAP-Servers installiert. Siehe "Installieren Sie das selbstsignierte Root-CA-Zertifikat auf der SVM".
-
Ein LDAP-Client wird auf der Storage-VM mit aktiviertem TLS konfiguriert. Siehe "Erstellen Sie eine LDAP-Client-Konfiguration".
-
Verknüpfen Sie die Client-Konfiguration mit dem Vserver. Siehe "Zuordnen der LDAP-Client-Konfiguration zu SVMs". Erfahren Sie mehr über
vserver services name-service ldap createin der "ONTAP-Befehlsreferenz". -
Wenn Sie eine Storage-VM verwenden, erstellen Sie eine Management-Netzwerkschnittstelle (LIF) und auf der VM, und außerdem eine Service-Richtlinie für die LIF. Weitere Informationen zu den Befehlen ^] und[
network interface service-policy create^] finden[network interface createSie in der ONTAP-Befehlsreferenz.
Konfigurieren Sie Benutzer für die Generierung des Zugriffsschlüssels
-
Geben Sie LDAP als Name Service Database der Speicher-VM für die Gruppe und Passwort für LDAP an:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Erfahren Sie mehr über
vserver services name-service ns-switch modifyin der "ONTAP-Befehlsreferenz". -
Benutzerdefinierte Rolle mit Zugriff auf den REST-API-Endpunkt des S3-Benutzers erstellen:
security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>In diesem Beispiels3-rolewird die Rolle für Benutzer auf der Storage-VM generiertsvm-1, denen alle Zugriffsrechte, Lesen, Erstellen und Aktualisieren gewährt werden.security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all
Erfahren Sie mehr über
security login rest-role createin der "ONTAP-Befehlsreferenz". -
Erstellen Sie eine LDAP-Benutzergruppe mit dem Befehl für die Sicherheitsanmeldung, und fügen Sie die neue benutzerdefinierte Rolle für den Zugriff auf den REST-API-Endpunkt des S3-Benutzers hinzu. Erfahren Sie mehr über
security login createin der "ONTAP-Befehlsreferenz".security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes
In diesem Beispiel
ldap-group-1wird die LDAP-Gruppe in erstelltsvm-1, und die benutzerdefinierte Rolles3rolewird ihr für den Zugriff auf den API-Endpunkt hinzugefügt, zusammen mit der Aktivierung des LDAP-Zugriffs im Modus „Fast BIND“.security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes
Weitere Informationen finden Sie unter "Verwenden Sie LDAP fast bind für die nswitch-Authentifizierung".
Durch das Hinzufügen der benutzerdefinierten Rolle zur Domäne oder LDAP-Gruppe erhalten Benutzer in dieser Gruppe eingeschränkten Zugriff auf den ONTAP- `/api/protocols/s3/services/{svm.uuid}/users`Endpunkt. Durch Aufruf der API können die Benutzer der Domäne oder LDAP-Gruppe eigene Zugriffs- und geheime Schlüssel für den Zugriff auf den S3-Client generieren. Sie können die Schlüssel nur für sich selbst und nicht für andere Benutzer generieren.
Generieren Sie als S3- oder LDAP-Benutzer eigene Zugriffsschlüssel
Ab ONTAP 9.14.1 können Sie eigene Zugriffs- und geheime Schlüssel für den Zugriff auf S3-Clients generieren, sofern Ihr Administrator Ihnen die Rolle zum Generieren eigener Schlüssel eingeräumt hat. Sie können Schlüssel nur für sich selbst generieren, indem Sie den folgenden ONTAP REST-API-Endpunkt verwenden.
Dieser REST-API-Aufruf verwendet die folgende Methode und den folgenden Endpunkt. Informationen zu den anderen Methoden dieses Endpunkts finden Sie in der Referenz "API-Dokumentation".
| HTTP-Methode | Pfad |
|---|---|
POST |
/API/Protokolle/s3/Services/{svm.uuid}/Benutzer |
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'{
"records": [
{
"access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq",
"_links": {
"next": {
"href": "/api/resourcelink"
},
"self": {
"href": "/api/resourcelink"
}
},
"name": "user-1",
"secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1"
}
],
"num_records": "1"
}
