Configuration de la présentation de l'accès aux serveurs LDAP ou NIS
Suggérer des modifications
PDF
Vous devez configurer l'accès des serveurs LDAP ou NIS à un SVM pour que les comptes LDAP ou NIS puissent accéder au SVM. La fonction de commutation vous permet d'utiliser LDAP ou NIS comme sources de service de noms alternatifs.
Configurez l'accès au serveur LDAP
Vous devez configurer l'accès des serveurs LDAP à une SVM avant que les comptes LDAP ne puissent accéder à la SVM. Vous pouvez utiliser le vserver services name-service ldap client create Commande permettant de créer une configuration client LDAP sur le SVM. Vous pouvez ensuite utiliser le vserver services name-service ldap create Commande permettant d'associer la configuration client LDAP à la SVM.
La plupart des serveurs LDAP peuvent utiliser les schémas par défaut fournis par ONTAP :
-
MS-AD-BIS (schéma préféré pour la plupart des serveurs AD Windows 2012 et versions ultérieures)
-
AD-IDMU (serveurs AD Windows 2008, Windows 2016 et versions ultérieures)
-
AD-SFU (serveurs AD Windows 2003 et versions antérieures)
-
RFC-2307 (SERVEURS LDAP UNIX)
Il est préférable d'utiliser les schémas par défaut à moins qu'il n'y ait une obligation de faire autrement. Si c'est le cas, vous pouvez créer votre propre schéma en copiant un schéma par défaut et en modifiant la copie. Pour plus d'informations, voir :
-
Vous devez avoir installé un "Certificat numérique de serveur signé CA" Sur le SVM.
-
Pour effectuer cette tâche, vous devez être un administrateur de cluster ou de SVM.
-
Créer une configuration client LDAP sur un SVM :
vserver services name-service ldap client create -vserver <SVM_name> -client-config <client_configuration> -servers <LDAP_server_IPs> -schema <schema> -use-start-tls <true|false>
Le démarrage de TLS est pris en charge uniquement pour l'accès aux SVM de données. Il n'est pas pris en charge pour l'accès aux SVM d'administration. Pour connaître la syntaxe complète de la commande, reportez-vous au "feuille de calcul".
La commande suivante crée une configuration client LDAP nommée
corpsur le SVMengData. Le client établit des liaisons anonymes vers les serveurs LDAP avec les adresses IP 172.160.0.100 et 172.16.0.101. Le client utilise le schéma RFC-2307 pour effectuer des requêtes LDAP. La communication entre le client et le serveur est cryptée à l'aide de Start TLS.cluster1::> vserver services name-service ldap client create -vserver engData -client-config corp -servers 172.16.0.100,172.16.0.101 -schema RFC-2307 -use-start-tls true
À partir de ONTAP 9.2, le champ -ldap-serversremplace le champ-servers. Ce nouveau champ peut prendre un nom d'hôte ou une adresse IP pour le serveur LDAP. -
Associer la configuration client LDAP au SVM :
vserver services name-service ldap create -vserver <SVM_name> -client-config <client_configuration> -client-enabled <true|false>Pour connaître la syntaxe complète de la commande, reportez-vous au "feuille de calcul".
La commande suivante associe la configuration du client LDAP
corpAvec la SVMengData, Et active le client LDAP sur la SVM.cluster1::>vserver services name-service ldap create -vserver engData -client-config corp -client-enabled true
À partir de ONTAP 9.2, le vserver services name-service ldap createCommande effectue une validation automatique de la configuration et signale un message d'erreur si ONTAP n'est pas en mesure de contacter le serveur de noms. -
Valider le statut des serveurs name en utilisant la commande vserver services name-service ldap check.
La commande suivante valide les serveurs LDAP sur le SVM vs 0.
cluster1::> vserver services name-service ldap check -vserver vs0 | Vserver: vs0 | | Client Configuration Name: c1 | | LDAP Status: up | | LDAP Status Details: Successfully connected to LDAP server "10.11.12.13". |
La commande name service check est disponible à partir de ONTAP 9.2.
Configurer l'accès au serveur NIS
Vous devez configurer l'accès du serveur NIS à un SVM pour que les comptes NIS puissent accéder au SVM. Vous pouvez utiliser le vserver services name-service nis-domain create Commande permettant de créer une configuration de domaine NIS sur un SVM
-
Tous les serveurs configurés doivent être disponibles et accessibles avant de configurer le domaine NIS sur le SVM.
-
Pour effectuer cette tâche, vous devez être un administrateur de cluster ou de SVM.
-
Créer une configuration de domaine NIS sur un SVM :
vserver services name-service nis-domain create -vserver <SVM_name> -domain <client_configuration> -nis-servers <NIS_server_IPs>Pour connaître la syntaxe complète de la commande, reportez-vous au "feuille de calcul".
À partir de ONTAP 9.2, le champ -nis-serversremplace le champ-servers. Ce nouveau champ peut prendre un nom d'hôte ou une adresse IP pour le serveur NIS.La commande suivante crée une configuration de domaine NIS sur SVM
engData. Le domaine NISnisdomaincommunique avec un serveur NIS avec l'adresse IP192.0.2.180.cluster1::>vserver services name-service nis-domain create -vserver engData -domain nisdomain -nis-servers 192.0.2.180
Créer un commutateur de service de nom
La fonction de changement de service de noms vous permet d'utiliser LDAP ou NIS comme sources de service de noms alternatifs. Vous pouvez utiliser le vserver services name-service ns-switch modify commande permettant de spécifier l'ordre de recherche des sources de service de noms.
-
Vous devez avoir configuré l'accès aux serveurs LDAP et NIS.
-
Pour effectuer cette tâche, vous devez être un administrateur de cluster ou un administrateur SVM.
-
Spécifiez l'ordre de recherche des sources de service de noms :
vserver services name-service ns-switch modify -vserver <SVM_name> -database <name_service_switch_database> -sources <name_service_source_order>Pour connaître la syntaxe complète de la commande, reportez-vous au "feuille de calcul".
La commande suivante spécifie l'ordre de recherche des sources de service de noms LDAP et NIS pour la
passwdbase de données sur SVMengData.cluster1::>vserver services name-service ns-switch modify -vserver engData -database passwd -source files ldap,nis