Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare i servizi di directory esterni per l'accesso a ONTAP S3

Collaboratori netapp-dbagwell johnlantz netapp-barbe netapp-aaron-holt netapp-lenida netapp-aherbin netapp-ahibbard
PDF

A partire da ONTAP 9.14.1, i servizi per le directory esterne sono stati integrati con lo storage a oggetti ONTAP S3. Questa integrazione semplifica la gestione degli utenti e degli accessi tramite servizi di directory esterni.

È possibile fornire ai gruppi utente appartenenti a un servizio di directory esterno l'accesso all'ambiente di storage a oggetti ONTAP. LDAP (Lightweight Directory Access Protocol) è un'interfaccia per la comunicazione con i servizi di directory, come Active Directory, che forniscono un database e servizi per la gestione delle identità e degli accessi (IAM). Per fornire l'accesso, è necessario configurare i gruppi LDAP nell'ambiente ONTAP S3. Dopo aver configurato l'accesso, i membri del gruppo dispongono delle autorizzazioni per i bucket di ONTAP S3. Per informazioni su LDAP, vedere "Scopri come utilizzare i servizi di denominazione LDAP su SVM NFS ONTAP".

È inoltre possibile configurare i gruppi di utenti di Active Directory per la modalità di associazione rapida, in modo che le credenziali utente possano essere convalidate e le applicazioni S3 di terze parti e open-source possano essere autenticate tramite connessioni LDAP.

Prima di iniziare

Prima di configurare i gruppi LDAP e attivare la modalità di associazione rapida per l'accesso ai gruppi, verificare quanto segue:

  1. È stata creata una macchina virtuale di storage abilitata per S3 contenente un server S3. Vedere "Creare una SVM per S3".

  2. È stato creato un bucket in quella VM per lo storage. Vedere "Creare un bucket".

  3. Il DNS è configurato sulla macchina virtuale di storage. Vedere "Configurare i servizi DNS".

  4. Sulla VM di storage viene installato un certificato CA (root Certification Authority) autofirmato del server LDAP. Vedere "Installare certificati CA radice autofirmati sull'SVM".

  5. Un client LDAP è configurato con TLS attivato nella SVM. Vedere "Creare configurazioni client LDAP per l'accesso ONTAP NFS" e "Associare le configurazioni client LDAP con ONTAP NFS SVM per informazioni".

Configurare l'accesso S3 per LDAP

  1. Specificare LDAP come name service database della SVM per il gruppo e la password per LDAP:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Ulteriori informazioni sul comando vserver services name-service ns-switch modify nel riferimento comandi ONTAP.

  2. Creare un'istruzione del criterio del bucket dell'archivio oggetti con il principal Impostare sul gruppo LDAP a cui si desidera concedere l'accesso:

    object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*

    Esempio: Nell'esempio seguente viene creata un'istruzione criterio bucket per buck1. Il criterio consente l'accesso al gruppo LDAP group1 alla risorsa (bucket e relativi oggetti) buck1.

    vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action
GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*

  3. Verificare che un utente del gruppo LDAP group1 È in grado di eseguire operazioni S3 dal client S3.

Utilizzare la modalità di associazione rapida LDAP per l'autenticazione

  1. Specificare LDAP come name service database della SVM per il gruppo e la password per LDAP:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Ulteriori informazioni sul comando vserver services name-service ns-switch modify nel riferimento comandi ONTAP.

  2. Assicurarsi che un utente LDAP che accede al bucket S3 disponga delle autorizzazioni definite nei criteri bucket. Per ulteriori informazioni, vedere "Modificare una policy bucket".

  3. Verificare che un utente del gruppo LDAP possa eseguire le seguenti operazioni:

    1. Configurare la chiave di accesso sul client S3 in questo formato:
      "NTAPFASTBIND" + base64-encode(user-name:password) Esempio: "NTAPFASTBIND" + base64-encode(ldapuser:password), che risulta in
      NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=

      Nota Il client S3 potrebbe richiedere una chiave segreta. In assenza di una chiave segreta, è possibile immettere qualsiasi password di almeno 16 caratteri.

    2. Eseguire operazioni S3 di base dal client S3 per cui l'utente dispone delle autorizzazioni.

Credenziali Base64

La configurazione predefinita di ONTAP S3 esclude HTTP e utilizza esclusivamente HTTPS e una connessione TLS (Transport Layer Security). ONTAP può generare certificati autofirmati, ma la procedura consigliata è utilizzare certificati di un'autorità di certificazione (CA) di terze parti. Quando si utilizzano i certificati CA, viene creata una relazione attendibile tra le applicazioni client e il server dell'archivio oggetti ONTAP.

Tenere presente che le credenziali codificate utilizzando Base64 sono facilmente decodificate. L'utilizzo di HTTPS impedirà che le credenziali codificate vengano acquisite dagli sniffer di pacchetti man-in-the-middle.

Non utilizzare la modalità di associazione rapida LDAP per l'autenticazione quando si creano URL pre-firmati. L'autenticazione si basa esclusivamente sulla chiave di accesso Base64 inclusa nell'URL pre-firmato. Il nome utente e la password verranno rivelati a chiunque decodifica la chiave di accesso Base64.

Il metodo di autenticazione è nsswitch e LDAP è attivato ad esempio

$curl -siku <user>:<user_password> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user>,"key_time_to_live":"PT6H3M"}
Nota Indirizza l'API alla LIF di gestione cluster, non alla LIF dati della SVM. Se si desidera consentire agli utenti di generare le proprie chiavi, è necessario aggiungere autorizzazioni HTTP al ruolo per utilizzare curl. Questa autorizzazione si aggiunge alle autorizzazioni API S3.

Configurare l'accesso S3 per i server Active Directory o SMB

Se il gruppo di ricerca specificato nell'istruzione dei criteri bucket o gli utenti che fanno parte del gruppo di origine non hanno impostato UID e GID, le ricerche non vengono eseguite quando questi attributi non vengono trovati. Active Directory utilizza il SID, non l'UID. Se le voci SID non possono essere mappate su UID, i dati necessari devono essere portati su ONTAP.

A tale scopo, utilizza questa "creazione della directory attiva del vserver"soluzione in modo che la SVM possa autenticarsi con Active Directory e ottenere le informazioni necessarie su utenti e gruppi.

In alternativa, utilizzare "creazione cifs vserver" per creare un server SMB in un dominio Active Directory.

Se si utilizzano nomi di dominio diversi per i server dei nomi e gli archivi di oggetti, potrebbero verificarsi errori di ricerca. Per evitare errori di ricerca, NetApp consiglia di utilizzare domini attendibili per l'autorizzazione delle risorse in formato UPN: nasgroup/group@trusted_domain.com I domini attendibili sono quelli che sono stati aggiunti all'elenco dei domini attendibili del server SMB. Scopri come "aggiungere, rimuovere e modificare i domini attendibili preferiti" nell'elenco dei server SMB.

Genera chiavi quando il metodo di autenticazione è dominio e i domini attendibili sono configurati in Active Directory

Utilizzare l' s3/services/<svm_uuid>/users endpoint con gli utenti specificati in formato UPN. Esempio:

$curl -siku FQDN\\user:<user_password> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user@fqdn>,"key_time_to_live":"PT6H3M"}
Nota Indirizza l'API alla LIF di gestione cluster, non alla LIF dati della SVM. Se si desidera consentire agli utenti di generare le proprie chiavi, è necessario aggiungere autorizzazioni HTTP al ruolo per utilizzare curl. Questa autorizzazione si aggiunge alle autorizzazioni API S3.

Generare le chiavi quando il metodo di autenticazione è dominio e non sono presenti domini attendibili

Questa azione è possibile quando LDAP è disattivato o quando gli utenti non POSIX non hanno configurato UID e GID. Esempio:

$curl -siku FQDN\\user:<user_password> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user[@fqdn]>,"key_time_to_live":"PT6H3M"}
Nota Indirizza l'API alla LIF di gestione cluster, non alla LIF dati della SVM. Se si desidera consentire agli utenti di generare le proprie chiavi, è necessario aggiungere autorizzazioni HTTP al ruolo per utilizzare curl. Questa autorizzazione si aggiunge alle autorizzazioni API S3. È necessario aggiungere il valore di dominio facoltativo (@fqdn) a un nome utente solo se non sono presenti domini attendibili.