Configure el acceso ONTAP S3 para los servicios de directorio externo
A partir de ONTAP 9.14.1, los servicios para directorios externos se han integrado con el almacenamiento de objetos S3 de ONTAP. Esta integración simplifica la administración de usuarios y accesos a través de servicios de directorio externos.
Puede proporcionar grupos de usuarios que pertenecen a un servicio de directorio externo con acceso al entorno de almacenamiento de objetos de ONTAP. El protocolo ligero de acceso a directorios (LDAP) es una interfaz para la comunicación con servicios de directorio, como Active Directory, que proporcionan una base de datos y servicios para la gestión de identidades y accesos (IAM). Para proporcionar acceso, debe configurar los grupos LDAP en el entorno de ONTAP S3. Después de configurar el acceso, los miembros del grupo tienen permisos para los buckets de ONTAP S3. Para obtener más información sobre LDAP, consulte "Información general sobre cómo usar LDAP".
También puede configurar grupos de usuarios de Active Directory para el modo de enlace rápido, de modo que las credenciales de usuario se puedan validar y las aplicaciones S3 de terceros y de código abierto se puedan autenticar a través de conexiones LDAP.
Asegúrese de lo siguiente antes de configurar los grupos LDAP y habilitar el modo de enlace rápido para el acceso de grupos:
-
Se creó una máquina virtual de almacenamiento habilitada para S3 que contiene un servidor S3. Consulte "Cree una SVM para S3".
-
Se ha creado un bloque en esa máquina virtual de almacenamiento. Consulte "Crear un bucket".
-
DNS está configurado en la máquina virtual de almacenamiento. Consulte "Configure los servicios DNS".
-
Hay un certificado de entidad de certificación raíz (CA) autofirmado del servidor LDAP instalado en la máquina virtual de almacenamiento. Consulte "Instale el certificado de CA raíz autofirmado en la SVM".
-
Se configura un cliente LDAP con TLS habilitado en la SVM. Consulte "Cree una configuración de cliente LDAP" y.. "Asocie la configuración del cliente LDAP con las SVM para obtener información".
Configure el acceso S3 para los servicios de directorio externos
-
Especifique LDAP como la base de datos del servicio name de la SVM para el grupo y la contraseña a LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Obtenga más información acerca del comando
vserver services name-service ns-switch modify
en la referencia de comandos de ONTAP. -
Cree una sentencia de política de cubo de almacén de objetos con
principal
Defina el grupo LDAP al que desea otorgar acceso:object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*
Ejemplo: En el siguiente ejemplo se crea una sentencia de política de bloque para
buck1
. La política permite el acceso al grupo LDAPgroup1
al recurso (bloque y sus objetos)buck1
.vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*
-
Verifique que un usuario del grupo LDAP
group1
Es capaz de realizar operaciones S3 desde el cliente S3.
Use el modo de enlace rápido LDAP para la autenticación
-
Especifique LDAP como la base de datos del servicio name de la SVM para el grupo y la contraseña a LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Obtenga más información acerca del comando
vserver services name-service ns-switch modify
en la referencia de comandos de ONTAP. -
Asegúrese de que un usuario LDAP que acceda al bloque de S3 tenga permisos definidos en las políticas de bloque. Para obtener más información, consulte "Modificar una política de bloques".
-
Verifique que un usuario del grupo LDAP pueda realizar las siguientes operaciones:
-
Configure la clave de acceso en el cliente S3 en este formato:
"NTAPFASTBIND" + base64-encode(user-name:password)
Ejemplo:"NTAPFASTBIND"
+ base64-encode(ldapuser:password), lo que resulta en
NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=
Es posible que el cliente S3 solicite una clave secreta. En ausencia de una clave secreta, se puede introducir cualquier contraseña de al menos 16 caracteres. -
Realice operaciones S3 básicas desde el cliente S3 para el que el usuario tenga permisos.
-
Autenticación de recursos para Active Directory para usuarios sin UID ni GID
Si el grupo nasgroup especificado en la sentencia bucket-policy o los usuarios que forman parte del grupo nasgroup no tienen UID ni GID definidos, las consultas fallarán cuando no se encuentren estos atributos.
Para evitar errores de búsqueda, NetApp recomienda utilizar dominios de confianza para la autorización de recursos en formato UPN: Nasgroup/group@trusted_domain.com
Para generar las claves de acceso de usuario para usuarios de dominio de confianza cuando no se utiliza el enlace rápido LDAP
Utilice el s3/services/<svm_uuid>/users
punto final con los usuarios especificados en formato UPN. Ejemplo:
$curl -siku FQDN\\user:<user_name> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user[@fqdn](https://github.com/fqdn)>,"<key_time_to_live>":"PT6H3M"}'