Activez l'accès au compte ONTAP Active Directory
Suggérer des modifications
PDF
Vous pouvez utiliser security login create la commande pour permettre aux comptes d'utilisateur ou de groupe Active Directory d'accéder à un SVM d'administrateur ou de données. Tout utilisateur du groupe AD peut accéder à la SVM avec le rôle attribué au groupe.
-
Vous devez configurer l'accès du contrôleur AD domain au cluster ou au SVM avant que le compte ne puisse accéder au SVM.
Vous pouvez effectuer cette tâche avant ou après avoir activé l'accès au compte.
-
À partir de ONTAP 9.13.1, vous pouvez utiliser une clé publique SSH comme méthode d'authentification principale ou secondaire avec un mot de passe utilisateur AD.
Si vous choisissez d'utiliser une clé publique SSH comme authentification principale, aucune authentification AD n'a lieu.
-
A partir de ONTAP 9.11.1, vous pouvez utiliser "Utiliser la liaison rapide LDAP pour l'authentification nsswitch pour les SVM NFS ONTAP" si le serveur LDAP AD le prend en charge.
-
Si vous n'êtes pas sûr du rôle de contrôle d'accès que vous souhaitez attribuer au compte de connexion, vous pouvez utiliser
security login modifyla commande pour ajouter le rôle ultérieurement.Pour en savoir plus,
security login modifyconsultez le "Référence de commande ONTAP".
|
L'accès au compte du groupe D'ANNONCES est pris en charge uniquement avec le SSH, ontapi, et rest en termes de latence. Les groupes AD ne sont pas pris en charge avec l'authentification de clé publique SSH, qui est couramment utilisée pour l'authentification multifacteur.
|
-
L'heure du cluster doit être synchronisée sur dans les cinq minutes qui suivent l'heure sur le contrôleur de domaine AD.
-
Vous devez être un administrateur de cluster pour effectuer cette tâche.
-
Activer les comptes d'utilisateur ou d'administrateur de groupe AD pour accéder à un SVM :
Pour les utilisateurs AD :
Version ONTAP Authentification principale Authentification secondaire Commande 9.13.1 et versions ultérieures
Clé publique
Aucune
security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method publickey -role <role>
9.13.1 et versions ultérieures
Domaine
Clé publique
Pour un nouvel utilisateur
security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method domain -second-authentication-method publickey -role <role>
Pour un utilisateur existant
security login modify -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method domain -second-authentication-method publickey -role <role>
9.0 et versions ultérieures
Domaine
Aucune
security login create -vserver <svm_name> -user-or-group-name <user_name> -application <application> -authentication-method domain -role <role> -comment <comment> [-is-ldap-fastbind true]
Pour les groupes AD :
Version ONTAP Authentification principale Authentification secondaire Commande 9.0 et versions ultérieures
Domaine
Aucune
security login create -vserver <svm_name> -user-or-group-name <user_name> -application <application> -authentication-method domain -role <role> -comment <comment> [-is-ldap-fastbind true]
Si vous n'avez pas configuré l'accès au contrôleur AD domain au cluster ou au SVM, vous devez le faire avant que le compte puisse accéder au SVM.