Note di rilascio
Configurare i servizi di directory esterni per l'accesso a ONTAP S3
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Configurare, aggiornare e ripristinare ONTAP
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Protezione dei dati mediante backup su nastro
-
-
Raccolta di documenti PDF separati
Creating your file...
A partire da ONTAP 9.14.1, i servizi per le directory esterne sono stati integrati con lo storage a oggetti ONTAP S3. Questa integrazione semplifica la gestione degli utenti e degli accessi tramite servizi di directory esterni.
È possibile fornire ai gruppi utente appartenenti a un servizio di directory esterno l'accesso all'ambiente di storage a oggetti ONTAP. LDAP (Lightweight Directory Access Protocol) è un'interfaccia per la comunicazione con i servizi di directory, come Active Directory, che forniscono un database e servizi per la gestione delle identità e degli accessi (IAM). Per fornire l'accesso, è necessario configurare i gruppi LDAP nell'ambiente ONTAP S3. Dopo aver configurato l'accesso, i membri del gruppo dispongono delle autorizzazioni per i bucket di ONTAP S3. Per informazioni su LDAP, vedere "Panoramica sull'utilizzo di LDAP".
È inoltre possibile configurare i gruppi di utenti di Active Directory per la modalità di associazione rapida, in modo che le credenziali utente possano essere convalidate e le applicazioni S3 di terze parti e open-source possano essere autenticate tramite connessioni LDAP.
Prima di configurare i gruppi LDAP e attivare la modalità di associazione rapida per l'accesso ai gruppi, verificare quanto segue:
-
È stata creata una macchina virtuale di storage abilitata per S3 contenente un server S3. Vedere "Creare una SVM per S3".
-
È stato creato un bucket in quella VM per lo storage. Vedere "Creare un bucket".
-
Il DNS è configurato sulla macchina virtuale di storage. Vedere "Configurare i servizi DNS".
-
Sulla VM di storage viene installato un certificato CA (root Certification Authority) autofirmato del server LDAP. Vedere "Installare il certificato della CA principale autofirmato su SVM".
-
Un client LDAP è configurato con TLS attivato nella SVM. Vedere "Creare una configurazione del client LDAP" e. "Associare la configurazione del client LDAP alle SVM per ottenere informazioni".
Configurare l'accesso S3 per LDAP
-
Specificare LDAP come name service database della SVM per il gruppo e la password per LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Ulteriori informazioni sul comando
vserver services name-service ns-switch modifynel riferimento comandi ONTAP. -
Creare un'istruzione del criterio del bucket dell'archivio oggetti con il
principalImpostare sul gruppo LDAP a cui si desidera concedere l'accesso:object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*
Esempio: Nell'esempio seguente viene creata un'istruzione criterio bucket per
buck1. Il criterio consente l'accesso al gruppo LDAPgroup1alla risorsa (bucket e relativi oggetti)buck1.vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*
-
Verificare che un utente del gruppo LDAP
group1È in grado di eseguire operazioni S3 dal client S3.
Utilizzare la modalità di associazione rapida LDAP per l'autenticazione
-
Specificare LDAP come name service database della SVM per il gruppo e la password per LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Ulteriori informazioni sul comando
vserver services name-service ns-switch modifynel riferimento comandi ONTAP. -
Assicurarsi che un utente LDAP che accede al bucket S3 disponga delle autorizzazioni definite nei criteri bucket. Per ulteriori informazioni, vedere "Modificare una policy bucket".
-
Verificare che un utente del gruppo LDAP possa eseguire le seguenti operazioni:
-
Configurare la chiave di accesso sul client S3 in questo formato:
"NTAPFASTBIND" + base64-encode(user-name:password)Esempio:"NTAPFASTBIND"+ base64-encode(ldapuser:password), che risulta in
NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=
Il client S3 potrebbe richiedere una chiave segreta. In assenza di una chiave segreta, è possibile immettere qualsiasi password di almeno 16 caratteri. -
Eseguire operazioni S3 di base dal client S3 per cui l'utente dispone delle autorizzazioni.
-
Il metodo di autenticazione è nsswitch e LDAP è attivato ad esempio
$curl -siku <user>:<user_password> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user>,"<key_time_to_live>":"PT6H3M"}'
|
|
Indirizza l'API alla LIF di gestione cluster, non alla LIF dati della SVM. Se si desidera consentire agli utenti di generare le proprie chiavi, è necessario aggiungere autorizzazioni HTTP al ruolo per utilizzare curl. Questa autorizzazione si aggiunge alle autorizzazioni API S3. |
Configurare l'accesso S3 per Active Directory o server CIFS
Se il gruppo di ricerca specificato nell'istruzione dei criteri bucket o gli utenti che fanno parte del gruppo di origine non hanno impostato UID e GID, le ricerche non vengono eseguite quando questi attributi non vengono trovati. Active Directory utilizza il SID, non l'UID. Se le voci SID non possono essere mappate su UID, i dati necessari devono essere portati su ONTAP.
A tale scopo, utilizza questa "creazione della directory attiva del vserver"soluzione in modo che la SVM possa autenticarsi con Active Directory e ottenere le informazioni necessarie su utenti e gruppi.
In alternativa, utilizzare "creazione cifs vserver" per creare un server SMB in un dominio Active Directory.
Per evitare errori di ricerca, NetApp consiglia di utilizzare domini attendibili per l'autorizzazione delle risorse in formato UPN: nasgroup/group@trusted_domain.com
Genera chiavi quando il metodo di autenticazione è dominio e i domini attendibili sono configurati in Active Directory
Utilizzare l' s3/services/<svm_uuid>/users endpoint con gli utenti specificati in formato UPN. Esempio:
$curl -siku FQDN\\user:<user_password> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user@fqdn>,"<key_time_to_live>":"PT6H3M"}'
|
|
Indirizza l'API alla LIF di gestione cluster, non alla LIF dati della SVM. Se si desidera consentire agli utenti di generare le proprie chiavi, è necessario aggiungere autorizzazioni HTTP al ruolo per utilizzare curl. Questa autorizzazione si aggiunge alle autorizzazioni API S3. |
Generare le chiavi quando il metodo di autenticazione è dominio e non sono presenti domini attendibili
Questa azione è possibile quando LDAP è disattivato o quando gli utenti non POSIX non hanno configurato UID e GID. Esempio:
$curl -siku FQDN\\user:<user_password> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user[@fqdn]>,"<key_time_to_live>":"PT6H3M"}'
|
|
Indirizza l'API alla LIF di gestione cluster, non alla LIF dati della SVM. Se si desidera consentire agli utenti di generare le proprie chiavi, è necessario aggiungere autorizzazioni HTTP al ruolo per utilizzare curl. Questa autorizzazione si aggiunge alle autorizzazioni API S3. È necessario aggiungere il valore di dominio facoltativo (@fqdn) a un nome utente solo se non sono presenti domini attendibili. |
