Configurez les services d'annuaire externes pour l'accès ONTAP S3
Depuis ONTAP 9.14.1, les services pour les répertoires externes ont été intégrés au stockage objet ONTAP S3. Cette intégration simplifie la gestion des utilisateurs et des accès via des services d'annuaire externes.
Vous pouvez fournir des groupes d'utilisateurs appartenant à un service d'annuaire externe ayant accès à votre environnement de stockage objet ONTAP. Le protocole LDAP (Lightweight Directory Access Protocol) est une interface permettant de communiquer avec des services d'annuaire, tels qu'Active Directory, qui fournit une base de données et des services de gestion des identités et des accès (IAM). Pour y accéder, vous devez configurer les groupes LDAP dans votre environnement ONTAP S3. Une fois l'accès configuré, les membres du groupe disposent des autorisations nécessaires pour les compartiments ONTAP S3. Pour plus d'informations sur LDAP, reportez-vous à la section "Présentation de l'utilisation de LDAP".
Vous pouvez également configurer des groupes d'utilisateurs Active Directory en mode de liaison rapide, de sorte que les informations d'identification des utilisateurs puissent être validées et que les applications S3 tierces et open source puissent être authentifiées via des connexions LDAP.
Avant de configurer les groupes LDAP et d'activer le mode de liaison rapide pour l'accès aux groupes, vérifiez les points suivants :
-
Une VM de stockage compatible S3 contenant un serveur S3 a été créée. Voir "Création d'un SVM pour S3".
-
Un compartiment a été créé dans cette VM de stockage. Voir "Créer un compartiment".
-
DNS est configuré sur la machine virtuelle de stockage. Voir "Configurez les services DNS".
-
Un certificat d'autorité de certification racine (CA) auto-signé du serveur LDAP est installé sur la machine virtuelle de stockage. Voir "Installer le certificat d'autorité de certification racine auto-signé sur le SVM".
-
Un client LDAP est configuré avec TLS activé sur le SVM. Voir "Créez une configuration client LDAP" et "Associez la configuration client LDAP aux SVM pour plus d'informations".
Configurez l'accès S3 pour les services d'annuaire externes
-
Préciser LDAP comme NAME service database du SVM pour le groupe et password pour LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Pour en savoir plus sur la commande
vserver services name-service ns-switch modify
, consultez la référence de commande ONTAP. -
Créez une instruction de stratégie de compartiment de magasin d'objets avec
principal
Sélectionnez le groupe LDAP auquel vous souhaitez accorder l'accès :object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*
Exemple : l'exemple suivant crée une instruction de politique de compartiment pour
buck1
. La stratégie autorise l'accès au groupe LDAPgroup1
à la ressource (compartiment et ses objets)buck1
.vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*
-
Vérifiez qu'un utilisateur du groupe LDAP
group1
Est capable d'effectuer des opérations S3 à partir du client S3.
Utilisez le mode de liaison rapide LDAP pour l'authentification
-
Préciser LDAP comme NAME service database du SVM pour le groupe et password pour LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Pour en savoir plus sur la commande
vserver services name-service ns-switch modify
, consultez la référence de commande ONTAP. -
Assurez-vous qu'un utilisateur LDAP accédant au compartiment S3 dispose des autorisations définies dans les règles de compartiment. Pour plus d'informations, voir "Modifier une règle de compartiment".
-
Vérifiez qu'un utilisateur du groupe LDAP peut effectuer les opérations suivantes :
-
Configurez la clé d'accès sur le client S3 au format suivant : exemple
"NTAPFASTBIND"
:
"NTAPFASTBIND" + base64-encode(user-name:password)
+ base64-encode(ldapuser:password), ce qui en résulte
NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=
Le client S3 peut vous inviter à saisir une clé secrète. En l'absence d'une clé secrète, vous pouvez saisir un mot de passe d'au moins 16 caractères. -
Effectuez des opérations S3 de base à partir du client S3 pour lequel l'utilisateur dispose des autorisations nécessaires.
-
Authentification des ressources pour Active Directory pour les utilisateurs sans UID ni GID
Si le groupe nasgroup spécifié dans l'instruction bucket-policy ou si les utilisateurs qui font partie du groupe nasgroup n'ont pas d'UID et de GID définis, les recherches échoueront lorsque ces attributs ne sont pas trouvés.
Pour éviter les échecs de recherche, NetApp recommande d'utiliser des domaines approuvés pour l'autorisation des ressources au format UPN : nasgroup/group@trusted_domain.com
Pour générer les clés d'accès utilisateur pour les utilisateurs de domaine de confiance lorsque la liaison rapide LDAP n'est pas utilisée
Utilisez le s3/services/<svm_uuid>/users
noeud final avec les utilisateurs spécifiés au format UPN. Exemple :
$curl -siku FQDN\\user:<user_name> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user[@fqdn](https://github.com/fqdn)>,"<key_time_to_live>":"PT6H3M"}'