Configure la información general sobre el acceso a servidores LDAP o NIS
Sugerir cambios
PDF
Debe configurar el acceso del servidor LDAP o NIS a una SVM para que las cuentas LDAP o NIS puedan acceder a la SVM. La función de conmutador le permite utilizar LDAP o NIS como fuentes alternativas de servicio de nombres.
Configure el acceso al servidor LDAP
Para que las cuentas LDAP puedan acceder a la SVM, debe configurar el acceso del servidor LDAP a una SVM. Puede utilizar el vserver services name-service ldap client create Comando para crear una configuración de cliente LDAP en la SVM. A continuación, puede utilizar la vserver services name-service ldap create Comando para asociar la configuración del cliente LDAP con la SVM.
La mayoría de los servidores LDAP pueden utilizar los esquemas predeterminados proporcionados por ONTAP:
-
MS-AD-BIS (el esquema preferido para la mayoría de los servidores AD de Windows 2012 y posteriores)
-
AD-IDMU (Windows 2008, Windows 2016 y servidores AD posteriores)
-
AD-SFU (servidores Windows 2003 y anteriores de AD)
-
RFC-2307 (SERVIDORES UNIX LDAP)
Es mejor utilizar los esquemas predeterminados a menos que haya un requisito para hacer lo contrario. Si es así, puede crear su propio esquema copiando un esquema predeterminado y modificando la copia. Para obtener más información, consulte:
-
Debe haber instalado un "Certificado digital de servidor firmado por CA" En la SVM.
-
Debe ser un administrador de clúster o de SVM para ejecutar esta tarea.
-
Cree una configuración de cliente LDAP en una SVM:
vserver services name-service ldap client create -vserver <SVM_name> -client-config <client_configuration> -servers <LDAP_server_IPs> -schema <schema> -use-start-tls <true|false>
Start TLS es compatible únicamente para acceder a las SVM de datos. No admite el acceso a las SVM de administración. Para obtener una sintaxis completa del comando, consulte "hoja de trabajo".
El siguiente comando crea una configuración de cliente LDAP llamada
corpen la SVMengData. El cliente hace enlaces anónimos a los servidores LDAP con las direcciones IP 172.160.0.100 y 172.16.0.101. El cliente utiliza el esquema RFC-2307 para realizar consultas LDAP. La comunicación entre el cliente y el servidor se cifra mediante Start TLS.cluster1::> vserver services name-service ldap client create -vserver engData -client-config corp -servers 172.16.0.100,172.16.0.101 -schema RFC-2307 -use-start-tls true
A partir de ONTAP 9.2, el campo -ldap-serversreemplaza el campo-servers. Este nuevo campo puede tomar un nombre de host o una dirección IP para el servidor LDAP. -
Asocie la configuración del cliente LDAP con la SVM:
vserver services name-service ldap create -vserver <SVM_name> -client-config <client_configuration> -client-enabled <true|false>Para obtener una sintaxis completa del comando, consulte "hoja de trabajo".
El siguiente comando asocia la configuración del cliente LDAP
corpCon la SVMengData, Y habilita el cliente LDAP en la SVM.cluster1::>vserver services name-service ldap create -vserver engData -client-config corp -client-enabled true
A partir de ONTAP 9,2, el vserver services name-service ldap createEl comando realiza una validación automática de la configuración e informa de un mensaje de error si ONTAP no puede comunicarse con el servidor de nombres. -
Validar el estado de los servidores de nombres mediante el comando vserver Services NAME-service ldap check.
El siguiente comando valida los servidores LDAP en la SVM vs0.
cluster1::> vserver services name-service ldap check -vserver vs0 | Vserver: vs0 | | Client Configuration Name: c1 | | LDAP Status: up | | LDAP Status Details: Successfully connected to LDAP server "10.11.12.13". |
El comando name service check está disponible a partir de ONTAP 9.2.
Configurar el acceso al servidor NIS
Debe configurar el acceso del servidor NIS a una SVM antes de que las cuentas NIS puedan acceder a la SVM. Puede utilizar el vserver services name-service nis-domain create Comando para crear una configuración de dominio NIS en una SVM.
-
Todos los servidores configurados deben estar disponibles y accesibles antes de configurar el dominio NIS en la SVM.
-
Debe ser un administrador de clúster o de SVM para ejecutar esta tarea.
-
Cree una configuración de dominio NIS en una SVM:
vserver services name-service nis-domain create -vserver <SVM_name> -domain <client_configuration> -nis-servers <NIS_server_IPs>Para obtener una sintaxis completa del comando, consulte "hoja de trabajo".
A partir de ONTAP 9.2, el campo -nis-serversreemplaza el campo-servers. Este nuevo campo puede tomar un nombre de host o una dirección IP para el servidor NIS.El siguiente comando crea una configuración de dominio NIS en la SVM
engData. El dominio NISnisdomainse comunica con un servidor NIS con la dirección IP192.0.2.180.cluster1::>vserver services name-service nis-domain create -vserver engData -domain nisdomain -nis-servers 192.0.2.180
Crear un conmutador de servicio de nombres
La función de conmutador de servicio de nombres le permite utilizar LDAP o NIS como fuentes alternativas de servicio de nombres. Puede utilizar el vserver services name-service ns-switch modify para especificar el orden de búsqueda de fuentes de servicio de nombres.
-
Debe haber configurado el acceso a los servidores LDAP y NIS.
-
Debe ser un administrador de clúster o un administrador de SVM para ejecutar esta tarea.
-
Especifique el orden de búsqueda para los orígenes de servicios de nombres:
vserver services name-service ns-switch modify -vserver <SVM_name> -database <name_service_switch_database> -sources <name_service_source_order>Para obtener una sintaxis completa del comando, consulte "hoja de trabajo".
El siguiente comando especifica el orden de consulta de los orígenes de servicio de nombres LDAP y NIS para la
passwdbase de datos en SVMengData.cluster1::>vserver services name-service ns-switch modify -vserver engData -database passwd -source files ldap,nis