Configure el acceso S3 para los servicios de directorio externos
-
PDF de este sitio de documentos
- Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
- Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
Gestión de almacenamiento lógico con CLI
-
Gestión del almacenamiento nas
- Configure NFS con la CLI
- Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
- Gestione servidores SMB
- Gestione el acceso a archivos mediante SMB
- Gestión del almacenamiento san
- Autenticación y control de acceso
- Seguridad y cifrado de datos
- Protección de datos y recuperación ante desastres
Recopilación de documentos PDF independientes
Creating your file...
A partir de ONTAP 9.14.1, los servicios para directorios externos se han integrado con el almacenamiento de objetos S3 de ONTAP. Esta integración simplifica la administración de usuarios y accesos a través de servicios de directorio externos.
Puede proporcionar grupos de usuarios que pertenecen a un servicio de directorio externo con acceso al entorno de almacenamiento de objetos de ONTAP. El protocolo ligero de acceso a directorios (LDAP) es una interfaz para la comunicación con servicios de directorio, como Active Directory, que proporcionan una base de datos y servicios para la gestión de identidades y accesos (IAM). Para proporcionar acceso, debe configurar los grupos LDAP en el entorno de ONTAP S3. Después de configurar el acceso, los miembros del grupo tienen permisos para los buckets de ONTAP S3. Para obtener más información sobre LDAP, consulte "Información general sobre cómo usar LDAP".
También puede configurar grupos de usuarios de Active Directory para el modo de enlace rápido, de modo que las credenciales de usuario se puedan validar y las aplicaciones S3 de terceros y de código abierto se puedan autenticar a través de conexiones LDAP.
Asegúrese de lo siguiente antes de configurar los grupos LDAP y habilitar el modo de enlace rápido para el acceso de grupos:
-
Se creó una máquina virtual de almacenamiento habilitada para S3 que contiene un servidor S3. Consulte "Cree una SVM para S3".
-
Se ha creado un bloque en esa máquina virtual de almacenamiento. Consulte "Crear un bucket".
-
DNS está configurado en la máquina virtual de almacenamiento. Consulte "Configure los servicios DNS".
-
Hay un certificado de entidad de certificación raíz (CA) autofirmado del servidor LDAP instalado en la máquina virtual de almacenamiento. Consulte "Instale el certificado de CA raíz autofirmado en la SVM".
-
Se configura un cliente LDAP con TLS habilitado en la SVM. Consulte "Cree una configuración de cliente LDAP" y.. "Asocie la configuración del cliente LDAP con las SVM para obtener información".
Configure el acceso S3 para los servicios de directorio externos
-
Especifique LDAP como la base de datos del servicio name de la SVM para el grupo y la contraseña a LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Para obtener más información acerca de este comando, consulte "servicios de vserver servicio de nombres ns-switch modificar" comando.
-
Cree una sentencia de política de cubo de almacén de objetos con
principal
Defina el grupo LDAP al que desea otorgar acceso:object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*
Ejemplo: En el siguiente ejemplo se crea una sentencia de política de bloque para
buck1
. La política permite el acceso al grupo LDAPgroup1
al recurso (bloque y sus objetos)buck1
.vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*
-
Verifique que un usuario del grupo LDAP
group1
Es capaz de realizar operaciones S3 desde el cliente S3.
Use el modo de enlace rápido LDAP para la autenticación
-
Especifique LDAP como la base de datos del servicio name de la SVM para el grupo y la contraseña a LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Para obtener más información acerca de este comando, consulte "servicios de vserver servicio de nombres ns-switch modificar" comando.
-
Asegúrese de que un usuario LDAP que acceda al bloque de S3 tenga permisos definidos en las políticas de bloque. Para obtener más información, consulte "Modificar una política de bloques".
-
Verifique que un usuario del grupo LDAP pueda realizar las siguientes operaciones:
-
Configure la clave de acceso en el cliente S3 en este formato:
"NTAPFASTBIND" + base64-encode(user-name:password)
Ejemplo:"NTAPFASTBIND"
+ base64-encode(ldapuser:password), lo que resulta en
NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=
Es posible que el cliente S3 solicite una clave secreta. En ausencia de una clave secreta, se puede introducir cualquier contraseña de al menos 16 caracteres. -
Realice operaciones S3 básicas desde el cliente S3 para el que el usuario tenga permisos.
-