Configurare l'accesso S3 per i servizi di directory esterni
-
PDF del sito di questa documentazione
-
Configurare, aggiornare e ripristinare ONTAP
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
![](https://docs.netapp.com/common/images/pdf-zip.png)
Raccolta di documenti PDF separati
Creating your file...
A partire da ONTAP 9.14.1, i servizi per le directory esterne sono stati integrati con lo storage a oggetti ONTAP S3. Questa integrazione semplifica la gestione degli utenti e degli accessi tramite servizi di directory esterni.
È possibile fornire ai gruppi utente appartenenti a un servizio di directory esterno l'accesso all'ambiente di storage a oggetti ONTAP. LDAP (Lightweight Directory Access Protocol) è un'interfaccia per la comunicazione con i servizi di directory, come Active Directory, che forniscono un database e servizi per la gestione delle identità e degli accessi (IAM). Per fornire l'accesso, è necessario configurare i gruppi LDAP nell'ambiente ONTAP S3. Dopo aver configurato l'accesso, i membri del gruppo dispongono delle autorizzazioni per i bucket di ONTAP S3. Per informazioni su LDAP, vedere "Panoramica sull'utilizzo di LDAP".
È inoltre possibile configurare i gruppi di utenti di Active Directory per la modalità di associazione rapida, in modo che le credenziali utente possano essere convalidate e le applicazioni S3 di terze parti e open-source possano essere autenticate tramite connessioni LDAP.
Prima di configurare i gruppi LDAP e attivare la modalità di associazione rapida per l'accesso ai gruppi, verificare quanto segue:
-
È stata creata una macchina virtuale di storage abilitata per S3 contenente un server S3. Vedere "Creare una SVM per S3".
-
È stato creato un bucket in quella VM per lo storage. Vedere "Creare un bucket".
-
Il DNS è configurato sulla macchina virtuale di storage. Vedere "Configurare i servizi DNS".
-
Sulla VM di storage viene installato un certificato CA (root Certification Authority) autofirmato del server LDAP. Vedere "Installare il certificato della CA principale autofirmato su SVM".
-
Un client LDAP è configurato con TLS attivato nella SVM. Vedere "Creare una configurazione del client LDAP" e. "Associare la configurazione del client LDAP alle SVM per ottenere informazioni".
Configurare l'accesso S3 per i servizi di directory esterni
-
Specificare LDAP come name service database della SVM per il gruppo e la password per LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Per ulteriori informazioni su questo comando, vedere "modifica del ns-switch del name service dei servizi vserver" comando.
-
Creare un'istruzione del criterio del bucket dell'archivio oggetti con il
principal
Impostare sul gruppo LDAP a cui si desidera concedere l'accesso:object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*
Esempio: Nell'esempio seguente viene creata un'istruzione criterio bucket per
buck1
. Il criterio consente l'accesso al gruppo LDAPgroup1
alla risorsa (bucket e relativi oggetti)buck1
.vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*
-
Verificare che un utente del gruppo LDAP
group1
È in grado di eseguire operazioni S3 dal client S3.
Utilizzare la modalità di associazione rapida LDAP per l'autenticazione
-
Specificare LDAP come name service database della SVM per il gruppo e la password per LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Per ulteriori informazioni su questo comando, vedere "modifica del ns-switch del name service dei servizi vserver" comando.
-
Assicurarsi che un utente LDAP che accede al bucket S3 disponga delle autorizzazioni definite nei criteri bucket. Per ulteriori informazioni, vedere "Modificare una policy bucket".
-
Verificare che un utente del gruppo LDAP possa eseguire le seguenti operazioni:
-
Configurare la chiave di accesso sul client S3 in questo formato:
"NTAPFASTBIND" + base64-encode(user-name:password)
Esempio:"NTAPFASTBIND"
+ base64-encode(ldapuser:password), che risulta in
NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=
Il client S3 potrebbe richiedere una chiave segreta. In assenza di una chiave segreta, è possibile immettere qualsiasi password di almeno 16 caratteri. -
Eseguire operazioni S3 di base dal client S3 per cui l'utente dispone delle autorizzazioni.
-
Autenticazione delle risorse per Active Directory per utenti senza UID e GID
Se il nascgroup specificato nell'istruzione bucket-policy o gli utenti che fanno parte del nascgroup non hanno UID e GID impostati, le ricerche non avranno esito positivo quando questi attributi non vengono trovati.
Per evitare errori di ricerca, NetApp consiglia di utilizzare domini attendibili per l'autorizzazione delle risorse in formato UPN: Nasgroup/group@trusted_domain.com
Per generare le chiavi di accesso utente per gli utenti di dominio attendibili quando non viene utilizzato il bind veloce LDAP
Utilizzare l' s3/services/<svm_uuid>/users
endpoint con gli utenti specificati in formato UPN. Esempio:
$curl -siku FQDN\\user:<user_name> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user[@fqdn](https://github.com/fqdn)>,"<key_time_to_live>":"PT6H3M"}'