Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configure los servicios de directorio externo para el acceso a ONTAP S3

Colaboradores
PDF

A partir de ONTAP 9.14.1, los servicios para directorios externos se han integrado con el almacenamiento de objetos S3 de ONTAP. Esta integración simplifica la administración de usuarios y accesos a través de servicios de directorio externos.

Puede proporcionar grupos de usuarios que pertenecen a un servicio de directorio externo con acceso al entorno de almacenamiento de objetos de ONTAP. El protocolo ligero de acceso a directorios (LDAP) es una interfaz para la comunicación con servicios de directorio, como Active Directory, que proporcionan una base de datos y servicios para la gestión de identidades y accesos (IAM). Para proporcionar acceso, debe configurar los grupos LDAP en el entorno de ONTAP S3. Después de configurar el acceso, los miembros del grupo tienen permisos para los buckets de ONTAP S3. Para obtener más información sobre LDAP, consulte "Obtenga información sobre el uso de servicios de nombres LDAP en SVM NFS de ONTAP".

También puede configurar grupos de usuarios de Active Directory para el modo de enlace rápido, de modo que las credenciales de usuario se puedan validar y las aplicaciones S3 de terceros y de código abierto se puedan autenticar a través de conexiones LDAP.

Antes de empezar

Asegúrese de lo siguiente antes de configurar los grupos LDAP y habilitar el modo de enlace rápido para el acceso de grupos:

  1. Se creó una máquina virtual de almacenamiento habilitada para S3 que contiene un servidor S3. Consulte "Cree una SVM para S3".

  2. Se ha creado un bloque en esa máquina virtual de almacenamiento. Consulte "Crear un bucket".

  3. DNS está configurado en la máquina virtual de almacenamiento. Consulte "Configure los servicios DNS".

  4. Hay un certificado de entidad de certificación raíz (CA) autofirmado del servidor LDAP instalado en la máquina virtual de almacenamiento. Consulte "Instalar certificados CA raíz autofirmados en la SVM".

  5. Se configura un cliente LDAP con TLS habilitado en la SVM. Consulte "Crear configuraciones de cliente LDAP para el acceso NFS de ONTAP" y "Asociar configuraciones de cliente LDAP con SVM NFS de ONTAP para obtener información".

Configure el acceso S3 para LDAP

  1. Especifique LDAP como la base de datos del servicio name de la SVM para el grupo y la contraseña a LDAP:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Obtenga más información acerca del comando vserver services name-service ns-switch modify en la referencia de comandos de ONTAP.

  2. Cree una sentencia de política de cubo de almacén de objetos con el principal juego en el grupo LDAP al que desea otorgar acceso:

    object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*

    Ejemplo: El siguiente ejemplo crea una sentencia de política de bloque para buck1. La política permite el acceso del grupo LDAP group1 al recurso (bloque y sus objetos) buck1.

    vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action
GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*

  3. Verifique que un usuario del grupo LDAP group1 pueda realizar operaciones S3 desde el cliente S3.

Use el modo de enlace rápido LDAP para la autenticación

  1. Especifique LDAP como la base de datos del servicio name de la SVM para el grupo y la contraseña a LDAP:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Obtenga más información acerca del comando vserver services name-service ns-switch modify en la referencia de comandos de ONTAP.

  2. Asegúrese de que un usuario LDAP que acceda al bloque de S3 tenga permisos definidos en las políticas de bloque. Para obtener más información, consulte "Modificar una política de bloques".

  3. Verifique que un usuario del grupo LDAP pueda realizar las siguientes operaciones:

    1. Configure la clave de acceso en el cliente S3 en este formato
      "NTAPFASTBIND" + base64-encode(user-name:password): Ejemplo "NTAPFASTBIND": + base64-encode(ldapuser:password), lo que resulta en
      NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=

      Nota Es posible que el cliente S3 solicite una clave secreta. En ausencia de una clave secreta, se puede introducir cualquier contraseña de al menos 16 caracteres.

    2. Realice operaciones S3 básicas desde el cliente S3 para el que el usuario tenga permisos.

Credenciales de Base64

La configuración predeterminada de ONTAP S3 excluye HTTP y utiliza exclusivamente HTTPS y una conexión de seguridad de la capa de transporte (TLS). ONTAP puede generar certificados autofirmados, pero la práctica recomendada es usar certificados de una entidad de certificación (CA) de terceros. Cuando utiliza certificados de CA, se crea una relación de confianza entre las aplicaciones cliente y el servidor de almacén de objetos de ONTAP.

Tenga en cuenta que las credenciales codificadas con Base64 se descodifican fácilmente. El uso de HTTPS evitará que los rastreadores de paquetes man-in-the-middle capturen las credenciales codificadas.

No utilice el modo de enlace rápido LDAP para la autenticación al crear direcciones URL prefirmadas. La autenticación se basa exclusivamente en la clave de acceso Base64 que se incluye en la URL prefirmada. El nombre de usuario y la contraseña se revelarán a cualquiera que decodifique la clave de acceso Base64.

El método de autenticación es nsswitch y LDAP está habilitado, por ejemplo

$curl -siku <user>:<user_password> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user>,"key_time_to_live":"PT6H3M"}
Nota Dirija la API al LIF de gestión del clúster, no al LIF de datos de la SVM. Si desea permitir que los usuarios generen sus propias claves, debe agregar permisos HTTP a su rol para usar curl. Este permiso se suma a los permisos de la API S3.

Configurar el acceso S3 para servidores Active Directory o SMB

Si el grupo nasgroup especificado en la sentencia de política bucket o los usuarios que forman parte del grupo nasgroup no tienen UID ni GID definidos, las búsquedas fallan cuando no se encuentran estos atributos. Active Directory utiliza SID, no UID. Si las entradas de SID no pueden asignarse a UID, se deben llevar los datos necesarios a ONTAP.

Para ello, utilice "creación de directorio activo de vserver"para que la SVM pueda autenticarse con Active Directory y obtenga la información de usuario y grupo necesaria.

De forma alternativa, utilice "vserver cifs create" para crear un servidor SMB en un dominio de Active Directory.

Si tiene diferentes nombres de dominio para servidores de nombres y almacenes de objetos, podría experimentar errores de búsqueda. Para evitarlos, NetApp recomienda usar dominios de confianza para la autorización de recursos en formato UPN: nasgroup/group@trusted_domain.com Los dominios de confianza son aquellos que se han añadido a la lista de dominios de confianza del servidor SMB. Aprenda a…​ "agregar, eliminar y modificar dominios de confianza preferidos" en la lista de servidores SMB.

Genere claves cuando el método de autenticación sea dominio y los dominios de confianza estén configurados en Active Directory

Utilice el s3/services/<svm_uuid>/users punto final con los usuarios especificados en formato UPN. Ejemplo:

$curl -siku FQDN\\user:<user_password> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user@fqdn>,"key_time_to_live":"PT6H3M"}
Nota Dirija la API al LIF de gestión del clúster, no al LIF de datos de la SVM. Si desea permitir que los usuarios generen sus propias claves, debe agregar permisos HTTP a su rol para usar curl. Este permiso se suma a los permisos de la API S3.

Genere claves cuando el método de autenticación sea dominio y no haya dominios de confianza

Esta acción es posible cuando LDAP está deshabilitado o cuando los usuarios que no son POSIX no han configurado UID y GID. Ejemplo:

$curl -siku FQDN\\user:<user_password> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user[@fqdn]>,"key_time_to_live":"PT6H3M"}
Nota Dirija la API al LIF de gestión del clúster, no al LIF de datos de la SVM. Si desea permitir que los usuarios generen sus propias claves, debe agregar permisos HTTP a su rol para usar curl. Este permiso se suma a los permisos de la API S3. Solo es necesario agregar el valor de dominio opcional (@fqdn) a un nombre de usuario si no hay dominios de confianza.