Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurez les services d'annuaire externes pour l'accès ONTAP S3

Contributeurs netapp-dbagwell johnlantz netapp-barbe netapp-aaron-holt netapp-lenida netapp-aherbin netapp-ahibbard
PDF

Depuis ONTAP 9.14.1, les services pour les répertoires externes ont été intégrés au stockage objet ONTAP S3. Cette intégration simplifie la gestion des utilisateurs et des accès via des services d'annuaire externes.

Vous pouvez fournir des groupes d'utilisateurs appartenant à un service d'annuaire externe ayant accès à votre environnement de stockage objet ONTAP. Le protocole LDAP (Lightweight Directory Access Protocol) est une interface permettant de communiquer avec des services d'annuaire, tels qu'Active Directory, qui fournit une base de données et des services de gestion des identités et des accès (IAM). Pour y accéder, vous devez configurer les groupes LDAP dans votre environnement ONTAP S3. Une fois l'accès configuré, les membres du groupe disposent des autorisations nécessaires pour les compartiments ONTAP S3. Pour plus d'informations sur LDAP, reportez-vous à "En savoir plus sur l'utilisation des services de noms LDAP sur les SVM ONTAP NFS"la section .

Vous pouvez également configurer des groupes d'utilisateurs Active Directory en mode de liaison rapide, de sorte que les informations d'identification des utilisateurs puissent être validées et que les applications S3 tierces et open source puissent être authentifiées via des connexions LDAP.

Avant de commencer

Avant de configurer les groupes LDAP et d'activer le mode de liaison rapide pour l'accès aux groupes, vérifiez les points suivants :

  1. Une VM de stockage compatible S3 contenant un serveur S3 a été créée. Voir "Création d'un SVM pour S3".

  2. Un compartiment a été créé dans cette VM de stockage. Voir "Créer un compartiment".

  3. DNS est configuré sur la machine virtuelle de stockage. Voir "Configurez les services DNS".

  4. Un certificat d'autorité de certification racine (CA) auto-signé du serveur LDAP est installé sur la machine virtuelle de stockage. Voir "Installer des certificats d'autorité de certification racine auto-signés sur la SVM".

  5. Un client LDAP est configuré avec TLS activé sur le SVM. Voir "Créer des configurations de client LDAP pour l'accès NFS ONTAP" et "Associez les configurations client LDAP aux SVM NFS ONTAP pour plus d'informations".

Configurez l'accès S3 pour LDAP

  1. Préciser LDAP comme NAME service database du SVM pour le groupe et password pour LDAP:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Pour en savoir plus sur la commande vserver services name-service ns-switch modify, consultez la référence de commande ONTAP.

  2. Créez une instruction de stratégie de compartiment de magasin d'objets avec principal Sélectionnez le groupe LDAP auquel vous souhaitez accorder l'accès :

    object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*

    Exemple : l'exemple suivant crée une instruction de politique de compartiment pour buck1. La stratégie autorise l'accès au groupe LDAP group1 à la ressource (compartiment et ses objets) buck1.

    vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action
GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*

  3. Vérifiez qu'un utilisateur du groupe LDAP group1 Est capable d'effectuer des opérations S3 à partir du client S3.

Utilisez le mode de liaison rapide LDAP pour l'authentification

  1. Préciser LDAP comme NAME service database du SVM pour le groupe et password pour LDAP:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Pour en savoir plus sur la commande vserver services name-service ns-switch modify, consultez la référence de commande ONTAP.

  2. Assurez-vous qu'un utilisateur LDAP accédant au compartiment S3 dispose des autorisations définies dans les règles de compartiment. Pour plus d'informations, voir "Modifier une règle de compartiment".

  3. Vérifiez qu'un utilisateur du groupe LDAP peut effectuer les opérations suivantes :

    1. Configurez la clé d'accès sur le client S3 au format suivant : exemple "NTAPFASTBIND" :
      "NTAPFASTBIND" + base64-encode(user-name:password) + base64-encode(ldapuser:password), ce qui en résulte
      NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=

      Remarque Le client S3 peut vous inviter à saisir une clé secrète. En l'absence d'une clé secrète, vous pouvez saisir un mot de passe d'au moins 16 caractères.

    2. Effectuez des opérations S3 de base à partir du client S3 pour lequel l'utilisateur dispose des autorisations nécessaires.

Identifiants Base64

La configuration par défaut de ONTAP S3 exclut HTTP et utilise exclusivement HTTPS et une connexion TLS (transport Layer Security). ONTAP peut générer des certificats auto-signés, mais il est recommandé d'utiliser les certificats d'une autorité de certification tierce. Lorsque vous utilisez des certificats d'autorité de certification, vous créez une relation de confiance entre les applications clientes et le serveur de magasin d'objets ONTAP.

Sachez que les informations d'identification codées à l'aide de Base64 sont facilement décodées. L'utilisation du protocole HTTPS empêche les informations d'identification codées d'être capturées par les renifleurs de paquets MAN-in-the-middle.

N'utilisez pas le mode de liaison rapide LDAP pour l'authentification lors de la création d'URL pré-signées. L'authentification est basée exclusivement sur la clé d'accès Base64 incluse dans l'URL présignée. Le nom d'utilisateur et le mot de passe seront divulgués à toute personne qui décochera la clé d'accès Base64.

La méthode d'authentification est nsswitch et LDAP est activé exemple

$curl -siku <user>:<user_password> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user>,"key_time_to_live":"PT6H3M"}
Remarque Orienter l'API vers la LIF de cluster management, et non vers la LIF de données du SVM. Si vous souhaitez autoriser les utilisateurs à générer leurs propres clés, vous devez ajouter des autorisations HTTP à leur rôle pour utiliser curl. Cette autorisation vient en complément des autorisations de l'API S3.

Configurer l'accès S3 pour les serveurs Active Directory ou SMB

Si le groupe nasgroup spécifié dans l'instruction de stratégie de compartiment ou si les utilisateurs qui font partie du groupe nasgroup n'ont pas d'UID et de GID définis, les recherches échouent lorsque ces attributs ne sont pas trouvés. Active Directory utilise SID et non UID. Si les entrées SID ne peuvent pas être mappées à l'UID, les données nécessaires doivent être transférées à ONTAP.

Pour ce faire, utiliser "vserver active-directory create" afin que le SVM puisse s'authentifier auprès d'Active Directory et obtenir les informations nécessaires sur les utilisateurs et les groupes.

Vous pouvez également utiliser "création d'un vserver cifs" pour créer un serveur SMB dans un domaine Active Directory.

Si vous utilisez des noms de domaine différents pour les serveurs de noms et les magasins d'objets, des échecs de recherche peuvent survenir. Pour éviter ces échecs, NetApp recommande d'utiliser des domaines de confiance pour l'autorisation des ressources au format UPN : nasgroup/group@trusted_domain.com Les domaines de confiance sont ceux ajoutés à la liste des domaines de confiance du serveur SMB. Découvrez comment "ajouter, supprimer et modifier les domaines de confiance préférés" dans la liste des serveurs SMB.

Générez des clés lorsque la méthode d'authentification est domaine et que les domaines de confiance sont configurés dans Active Directory

Utilisez le s3/services/<svm_uuid>/users noeud final avec les utilisateurs spécifiés au format UPN. Exemple :

$curl -siku FQDN\\user:<user_password> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user@fqdn>,"key_time_to_live":"PT6H3M"}
Remarque Orienter l'API vers la LIF de cluster management, et non vers la LIF de données du SVM. Si vous souhaitez autoriser les utilisateurs à générer leurs propres clés, vous devez ajouter des autorisations HTTP à leur rôle pour utiliser curl. Cette autorisation vient en complément des autorisations de l'API S3.

Générez des clés lorsque la méthode d'authentification est domaine et qu'il n'y a pas de domaines de confiance

Cette action est possible lorsque LDAP est désactivé ou lorsque des utilisateurs non POSIX n'ont pas configuré UID et GID. Exemple :

$curl -siku FQDN\\user:<user_password> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user[@fqdn]>,"key_time_to_live":"PT6H3M"}
Remarque Orienter l'API vers la LIF de cluster management, et non vers la LIF de données du SVM. Si vous souhaitez autoriser les utilisateurs à générer leurs propres clés, vous devez ajouter des autorisations HTTP à leur rôle pour utiliser curl. Cette autorisation vient en complément des autorisations de l'API S3. Il vous suffit d'ajouter la valeur de domaine facultative (@fqdn) à un nom d'utilisateur s'il n'y a pas de domaines de confiance.