Configurare la panoramica dell'accesso al server LDAP o NIS
Suggerisci modifiche
PDF
È necessario configurare l'accesso al server LDAP o NIS a una SVM prima che gli account LDAP o NIS possano accedere alla SVM. La funzione di switch consente di utilizzare LDAP o NIS come origini alternative del servizio di nomi.
Configurare l'accesso al server LDAP
È necessario configurare l'accesso del server LDAP a una SVM prima che gli account LDAP possano accedere alla SVM. È possibile utilizzare vserver services name-service ldap client create Per creare una configurazione del client LDAP su SVM. È quindi possibile utilizzare vserver services name-service ldap create Comando per associare la configurazione del client LDAP a SVM.
La maggior parte dei server LDAP può utilizzare gli schemi predefiniti forniti da ONTAP:
-
MS-ad-BIS (lo schema preferito per la maggior parte dei server ad Windows 2012 e successivi)
-
AD-IDMU (server AD Windows 2008, Windows 2016 e versioni successive)
-
AD-SFU (server ad Windows 2003 e precedenti)
-
RFC-2307 (SERVER LDAP UNIX)
Si consiglia di utilizzare gli schemi predefiniti, a meno che non vi sia un requisito diverso. In tal caso, è possibile creare uno schema personalizzato copiando uno schema predefinito e modificando la copia. Per ulteriori informazioni, consulta:
-
È necessario aver installato un "Certificato digitale del server firmato CA" Su SVM.
-
Per eseguire questa attività, è necessario essere un amministratore del cluster o di SVM.
-
Creare una configurazione del client LDAP su una SVM:
vserver services name-service ldap client create -vserver <SVM_name> -client-config <client_configuration> -servers <LDAP_server_IPs> -schema <schema> -use-start-tls <true|false>
Start TLS è supportato solo per l'accesso ai dati SVM. Non è supportato per l'accesso alle SVM amministrative. Per la sintassi completa dei comandi, vedere "foglio di lavoro".
Il seguente comando crea una configurazione del client LDAP denominata
corpsu SVMengData. Il client crea un'associazione anonima ai server LDAP con gli indirizzi IP 172.160.0.100 e 172.16.0.101. Il client utilizza lo schema RFC-2307 per eseguire query LDAP. La comunicazione tra il client e il server viene crittografata mediante Start TLS.cluster1::> vserver services name-service ldap client create -vserver engData -client-config corp -servers 172.16.0.100,172.16.0.101 -schema RFC-2307 -use-start-tls true
A partire da ONTAP 9.2, il campo -ldap-serverssostituisce il campo-servers. Questo nuovo campo può includere un nome host o un indirizzo IP per il server LDAP. -
Associare la configurazione del client LDAP alla SVM:
vserver services name-service ldap create -vserver <SVM_name> -client-config <client_configuration> -client-enabled <true|false>Per la sintassi completa dei comandi, vedere "foglio di lavoro".
Il seguente comando associa la configurazione del client LDAP
corpCon SVM `engData`E attiva il client LDAP su SVM.cluster1::>vserver services name-service ldap create -vserver engData -client-config corp -client-enabled true
A partire da ONTAP 9.2, la vserver services name-service ldap createIl comando esegue una convalida automatica della configurazione e segnala un messaggio di errore se ONTAP non è in grado di contattare il server dei nomi. -
Convalidare lo stato dei server dei nomi utilizzando il comando di controllo ldap name-service dei servizi vserver.
Il seguente comando convalida i server LDAP su SVM vs0.
cluster1::> vserver services name-service ldap check -vserver vs0 | Vserver: vs0 | | Client Configuration Name: c1 | | LDAP Status: up | | LDAP Status Details: Successfully connected to LDAP server "10.11.12.13". |
Il comando name service check è disponibile a partire da ONTAP 9.2.
Configurare l'accesso al server NIS
È necessario configurare l'accesso del server NIS a una SVM prima che gli account NIS possano accedere alla SVM. È possibile utilizzare vserver services name-service nis-domain create Per creare una configurazione di dominio NIS su una SVM.
-
Tutti i server configurati devono essere disponibili e accessibili prima di configurare il dominio NIS sulla SVM.
-
Per eseguire questa attività, è necessario essere un amministratore del cluster o di SVM.
-
Creare una configurazione di dominio NIS su una SVM:
vserver services name-service nis-domain create -vserver <SVM_name> -domain <client_configuration> -nis-servers <NIS_server_IPs>Per la sintassi completa dei comandi, vedere "foglio di lavoro".
A partire da ONTAP 9.2, il campo -nis-serverssostituisce il campo-servers. Questo nuovo campo può includere un nome host o un indirizzo IP per il server NIS.Il seguente comando crea una configurazione di dominio NIS su SVM
engData. Il dominio NISnisdomaincomunica con un server NIS con l'indirizzo IP192.0.2.180.cluster1::>vserver services name-service nis-domain create -vserver engData -domain nisdomain -nis-servers 192.0.2.180
Creare un name service switch
La funzione di switch del name service consente di utilizzare LDAP o NIS come origini alternative del name service. È possibile utilizzare vserver services name-service ns-switch modify per specificare l'ordine di ricerca delle origini del servizio nome.
-
È necessario aver configurato l'accesso al server LDAP e NIS.
-
Per eseguire questa attività, è necessario essere un amministratore del cluster o di SVM.
-
Specificare l'ordine di ricerca per le origini del servizio nome:
vserver services name-service ns-switch modify -vserver <SVM_name> -database <name_service_switch_database> -sources <name_service_source_order>Per la sintassi completa dei comandi, vedere "foglio di lavoro".
Il seguente comando specifica l'ordine di ricerca delle origini del servizio nomi LDAP e NIS per il
passwddatabase su SVMengData.cluster1::>vserver services name-service ns-switch modify -vserver engData -database passwd -source files ldap,nis