Activez l'accès au compte Active Directory
Suggérer des modifications
PDF
Vous pouvez utiliser le security login create Commande pour permettre aux utilisateurs ou groupes Active Directory (AD) d'accéder à un SVM d'administration ou de données. Tout utilisateur du groupe AD peut accéder à la SVM avec le rôle attribué au groupe.
-
Vous devez configurer l'accès du contrôleur AD domain au cluster ou au SVM avant que le compte ne puisse accéder au SVM.
Vous pouvez effectuer cette tâche avant ou après avoir activé l'accès au compte.
-
À partir de ONTAP 9.13.1, vous pouvez utiliser une clé publique SSH comme méthode d'authentification principale ou secondaire avec un mot de passe utilisateur AD.
Si vous choisissez d'utiliser une clé publique SSH comme authentification principale, aucune authentification AD n'a lieu.
-
Vous pouvez utiliser ONTAP 9.11.1 depuis "LDAP Fast bind pour l'authentification nsswitch" S'il est pris en charge par le serveur LDAP AD.
-
Si vous n'êtes pas certain du rôle de contrôle d'accès que vous souhaitez attribuer au compte de connexion, vous pouvez utiliser le
security login modifycommande permettant d'ajouter le rôle ultérieurement.
|
L'accès au compte du groupe D'ANNONCES est pris en charge uniquement avec le SSH, ontapi, et rest en termes de latence. Les groupes AD ne sont pas pris en charge avec l'authentification de clé publique SSH, qui est couramment utilisée pour l'authentification multifacteur.
|
-
L'heure du cluster doit être synchronisée sur dans les cinq minutes qui suivent l'heure sur le contrôleur de domaine AD.
-
Vous devez être un administrateur de cluster pour effectuer cette tâche.
-
Activer les comptes d'utilisateur ou d'administrateur de groupe AD pour accéder à un SVM :
Pour les utilisateurs AD :
Version ONTAP Authentification principale Authentification secondaire Commande 9.13.1 et versions ultérieures
Clé publique
Aucune
security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method publickey -role <role>
9.13.1 et versions ultérieures
Domaine
Clé publique
Pour un nouvel utilisateur
security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method domain -second-authentication-method publickey -role <role>
Pour un utilisateur existant
security login modify -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method domain -second-authentication-method publickey -role <role>
9.0 et versions ultérieures
Domaine
Aucune
security login create -vserver <svm_name> -user-or-group-name <user_name> -application <application> -authentication-method domain -role <role> -comment <comment> [-is-ldap-fastbind true]
Pour les groupes AD :
Version ONTAP Authentification principale Authentification secondaire Commande 9.0 et versions ultérieures
Domaine
Aucune
security login create -vserver <svm_name> -user-or-group-name <user_name> -application <application> -authentication-method domain -role <role> -comment <comment> [-is-ldap-fastbind true]
Pour connaître la syntaxe complète des commandes, voir "Feuilles de travail pour l'authentification administrateur et la configuration RBAC"
Si vous n'avez pas configuré l'accès au contrôleur AD domain au cluster ou au SVM, vous devez le faire avant que le compte puisse accéder au SVM.