Configurez l'accès au serveur LDAP ou NIS dans ONTAP
Suggérer des modifications
PDF
Vous devez configurer l'accès des serveurs LDAP ou NIS à un SVM pour que les comptes LDAP ou NIS puissent accéder au SVM. La fonction de commutation vous permet d'utiliser LDAP ou NIS comme sources de service de noms alternatifs.
Configurez l'accès au serveur LDAP
Vous devez configurer l'accès des serveurs LDAP à une SVM avant que les comptes LDAP ne puissent accéder à la SVM. Vous pouvez utiliser le vserver services name-service ldap client create Commande permettant de créer une configuration client LDAP sur le SVM. Vous pouvez ensuite utiliser le vserver services name-service ldap create Commande permettant d'associer la configuration client LDAP à la SVM.
La plupart des serveurs LDAP peuvent utiliser les schémas par défaut fournis par ONTAP :
-
MS-AD-BIS (schéma préféré pour la plupart des serveurs AD Windows 2012 et versions ultérieures)
-
AD-IDMU (serveurs AD Windows 2008, Windows 2016 et versions ultérieures)
-
AD-SFU (serveurs AD Windows 2003 et versions antérieures)
-
RFC-2307 (SERVEURS LDAP UNIX)
Il est préférable d'utiliser les schémas par défaut à moins qu'il n'y ait une obligation de faire autrement. Si c'est le cas, vous pouvez créer votre propre schéma en copiant un schéma par défaut et en modifiant la copie. Pour plus d'informations, voir :
-
Vous devez avoir installé un "Certificat numérique de serveur signé CA" sur la SVM.
-
Pour effectuer cette tâche, vous devez être un administrateur de cluster ou de SVM.
-
Créer une configuration client LDAP sur un SVM :
vserver services name-service ldap client create -vserver <SVM_name> -client-config <client_configuration> -servers <LDAP_server_IPs> -schema <schema> -use-start-tls <true|false>
Le démarrage de TLS est pris en charge uniquement pour l'accès aux SVM de données. Il n'est pas pris en charge pour l'accès aux SVM d'administration. Pour en savoir plus,
vserver services name-service ldap client createconsultez le "Référence de commande ONTAP".La commande suivante crée une configuration client LDAP nommée
corpsur le SVMengData. Le client établit des liaisons anonymes vers les serveurs LDAP avec les adresses IP 172.160.0.100 et 172.16.0.101. Le client utilise le schéma RFC-2307 pour effectuer des requêtes LDAP. La communication entre le client et le serveur est cryptée à l'aide de Start TLS.cluster1::> vserver services name-service ldap client create -vserver engData -client-config corp -servers 172.16.0.100,172.16.0.101 -schema RFC-2307 -use-start-tls true
Le -ldap-serversle champ remplace le-serverschamp. Vous pouvez utiliser le-ldap-serverschamp pour spécifier soit un nom d'hôte soit une adresse IP pour le serveur LDAP. -
Associer la configuration client LDAP au SVM :
vserver services name-service ldap create -vserver <SVM_name> -client-config <client_configuration> -client-enabled <true|false>Pour en savoir plus,
vserver services name-service ldap createconsultez le "Référence de commande ONTAP".La commande suivante associe la configuration du client LDAP
corpAvec la SVMengData, Et active le client LDAP sur la SVM.cluster1::>vserver services name-service ldap create -vserver engData -client-config corp -client-enabled true
Le vserver services name-service ldap createLa commande effectue une validation automatique de la configuration et signale un message d'erreur si ONTAP ne parvient pas à contacter le serveur de noms. -
Valider le statut des serveurs name en utilisant la commande vserver services name-service ldap check.
La commande suivante valide les serveurs LDAP sur le SVM vs 0.
cluster1::> vserver services name-service ldap check -vserver vs0 | Vserver: vs0 | | Client Configuration Name: c1 | | LDAP Status: up | | LDAP Status Details: Successfully connected to LDAP server "10.11.12.13". |
Vous pouvez utiliser le
name service check`commande pour valider l'état des serveurs de noms.
Configurer l'accès au serveur NIS
Vous devez configurer l'accès du serveur NIS à un SVM pour que les comptes NIS puissent accéder au SVM. Vous pouvez utiliser le vserver services name-service nis-domain create Commande permettant de créer une configuration de domaine NIS sur un SVM
-
Tous les serveurs configurés doivent être disponibles et accessibles avant de configurer le domaine NIS sur le SVM.
-
Pour effectuer cette tâche, vous devez être un administrateur de cluster ou de SVM.
-
Créer une configuration de domaine NIS sur un SVM :
vserver services name-service nis-domain create -vserver <SVM_name> -domain <client_configuration> -nis-servers <NIS_server_IPs>Pour en savoir plus,
vserver services name-service nis-domain createconsultez le "Référence de commande ONTAP".
Le -nis-serversle champ remplace le-serverschamp. Vous pouvez utiliser le-nis-serverschamp pour spécifier soit un nom d'hôte soit une adresse IP pour le serveur NIS.La commande suivante crée une configuration de domaine NIS sur SVM
engData. Le domaine NISnisdomaincommunique avec un serveur NIS avec l'adresse IP192.0.2.180.cluster1::>vserver services name-service nis-domain create -vserver engData -domain nisdomain -nis-servers 192.0.2.180
Créer un commutateur de service de nom
La fonction de changement de service de noms vous permet d'utiliser LDAP ou NIS comme sources de service de noms alternatifs. Vous pouvez utiliser le vserver services name-service ns-switch modify commande permettant de spécifier l'ordre de recherche des sources de service de noms.
-
Vous devez avoir configuré l'accès aux serveurs LDAP et NIS.
-
Pour effectuer cette tâche, vous devez être un administrateur de cluster ou un administrateur SVM.
-
Spécifiez l'ordre de recherche des sources de service de noms :
vserver services name-service ns-switch modify -vserver <SVM_name> -database <name_service_switch_database> -sources <name_service_source_order>Pour en savoir plus,
vserver services name-service ns-switch modifyconsultez le "Référence de commande ONTAP".La commande suivante spécifie l'ordre de recherche des sources de service de noms LDAP et NIS pour la
passwdbase de données sur SVMengData.cluster1::>vserver services name-service ns-switch modify -vserver engData -database passwd -source files ldap,nis