Configure el acceso al servidor LDAP o NIS en ONTAP
Sugerir cambios
PDF
Debe configurar el acceso del servidor LDAP o NIS a una SVM para que las cuentas LDAP o NIS puedan acceder a la SVM. La función de conmutador le permite utilizar LDAP o NIS como fuentes alternativas de servicio de nombres.
Configurar el acceso al servidor LDAP
Debe configurar el acceso del servidor LDAP a una SVM antes de que las cuentas LDAP puedan acceder a la SVM. Puede usar el vserver services name-service ldap client create comando para crear una configuración de cliente LDAP en la SVM. Luego puede usar el vserver services name-service ldap create comando para asociar la configuración del cliente LDAP con la SVM.
La mayoría de los servidores LDAP pueden utilizar los esquemas predeterminados proporcionados por ONTAP:
-
MS-AD-BIS (el esquema preferido para la mayoría de los servidores AD de Windows 2012 y posteriores)
-
AD-IDMU (Windows 2008, Windows 2016 y servidores AD posteriores)
-
AD-SFU (servidores Windows 2003 y anteriores de AD)
-
RFC-2307 (SERVIDORES UNIX LDAP)
Es mejor utilizar los esquemas predeterminados a menos que haya un requisito para hacer lo contrario. Si es así, puede crear su propio esquema copiando un esquema predeterminado y modificando la copia. Para obtener más información, consulte:
-
Debe haber instalado a "Certificado digital de servidor firmado por CA" en la SVM.
-
Debe ser un administrador de clúster o de SVM para ejecutar esta tarea.
-
Cree una configuración de cliente LDAP en una SVM:
vserver services name-service ldap client create -vserver <SVM_name> -client-config <client_configuration> -servers <LDAP_server_IPs> -schema <schema> -use-start-tls <true|false>
Start TLS es compatible únicamente para acceder a las SVM de datos. No admite el acceso a las SVM de administración. Obtenga más información sobre
vserver services name-service ldap client createen el "Referencia de comandos del ONTAP".El siguiente comando crea una configuración de cliente LDAP llamada
corpen la SVMengData. El cliente hace enlaces anónimos a los servidores LDAP con las direcciones IP 172.160.0.100 y 172.16.0.101. El cliente utiliza el esquema RFC-2307 para realizar consultas LDAP. La comunicación entre el cliente y el servidor se cifra mediante Start TLS.cluster1::> vserver services name-service ldap client create -vserver engData -client-config corp -servers 172.16.0.100,172.16.0.101 -schema RFC-2307 -use-start-tls true
El -ldap-serversEl campo reemplaza el-serverscampo. Puedes utilizar el-ldap-serverscampo para especificar un nombre de host o una dirección IP para el servidor LDAP. -
Asocie la configuración del cliente LDAP con la SVM:
vserver services name-service ldap create -vserver <SVM_name> -client-config <client_configuration> -client-enabled <true|false>Obtenga más información sobre
vserver services name-service ldap createen el "Referencia de comandos del ONTAP".El siguiente comando asocia la configuración del cliente LDAP
corpcon la SVM `engData`y habilita el cliente LDAP en la SVM.cluster1::>vserver services name-service ldap create -vserver engData -client-config corp -client-enabled true
El vserver services name-service ldap createEl comando realiza una validación de configuración automática e informa un mensaje de error si ONTAP no puede comunicarse con el servidor de nombres. -
Validar el estado de los servidores de nombres mediante el comando vserver Services NAME-service ldap check.
El siguiente comando valida los servidores LDAP en la SVM vs0.
cluster1::> vserver services name-service ldap check -vserver vs0 | Vserver: vs0 | | Client Configuration Name: c1 | | LDAP Status: up | | LDAP Status Details: Successfully connected to LDAP server "10.11.12.13". |
Puedes utilizar el
name service check`Comando para validar el estado de los servidores de nombres.
Configurar el acceso al servidor NIS
Debe configurar el acceso del servidor NIS a una SVM antes de que las cuentas NIS puedan acceder a la SVM. Puede usar el vserver services name-service nis-domain create comando para crear una configuración de dominio NIS en una SVM.
-
Todos los servidores configurados deben estar disponibles y accesibles antes de configurar el dominio NIS en la SVM.
-
Debe ser un administrador de clúster o de SVM para ejecutar esta tarea.
-
Cree una configuración de dominio NIS en una SVM:
vserver services name-service nis-domain create -vserver <SVM_name> -domain <client_configuration> -nis-servers <NIS_server_IPs>Obtenga más información sobre
vserver services name-service nis-domain createen el "Referencia de comandos del ONTAP".
El -nis-serversEl campo reemplaza el-serverscampo. Puedes utilizar el-nis-serverscampo para especificar un nombre de host o una dirección IP para el servidor NIS.El siguiente comando crea una configuración de dominio NIS en la SVM
engData. El dominio NISnisdomainse comunica con un servidor NIS con la dirección IP192.0.2.180.cluster1::>vserver services name-service nis-domain create -vserver engData -domain nisdomain -nis-servers 192.0.2.180
Crear un conmutador de servicio de nombres
La función de conmutador de servicio de nombres le permite utilizar LDAP o NIS como fuentes alternativas de servicio de nombres. Puede utilizar vserver services name-service ns-switch modify el comando para especificar el orden de búsqueda de los orígenes del servicio de nombres.
-
Debe haber configurado el acceso a los servidores LDAP y NIS.
-
Debe ser un administrador de clúster o un administrador de SVM para ejecutar esta tarea.
-
Especifique el orden de búsqueda para los orígenes de servicios de nombres:
vserver services name-service ns-switch modify -vserver <SVM_name> -database <name_service_switch_database> -sources <name_service_source_order>Obtenga más información sobre
vserver services name-service ns-switch modifyen el "Referencia de comandos del ONTAP".El siguiente comando especifica el orden de consulta de los orígenes de servicio de nombres LDAP y NIS para la
passwdbase de datos en SVMengData.cluster1::>vserver services name-service ns-switch modify -vserver engData -database passwd -source files ldap,nis