Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

外部ディレクトリサービス用のS3アクセスの設定

共同作成者
PDF

ONTAP 9.14.1以降では、外部ディレクトリのサービスがONTAP S3オブジェクトストレージに統合されました。この統合により、外部ディレクトリサービスによるユーザとアクセスの管理が簡素化されます。

外部ディレクトリサービスに属するユーザグループに、ONTAPオブジェクトストレージ環境へのアクセスを提供できます。Lightweight Directory Access Protocol(LDAP)は、Active Directoryなどのディレクトリサービスと通信するためのインターフェイスで、IDおよびアクセス管理(IAM)のデータベースとサービスを提供します。アクセスを提供するには、ONTAP S3環境でLDAPグループを設定する必要があります。アクセスの設定が完了すると、グループメンバーにONTAP S3バケットへの権限が付与されます。LDAPの詳細については、を参照してください。 "LDAP の使用方法の概要"

また、Active Directoryユーザグループを高速バインドモードに設定して、ユーザクレデンシャルを検証し、サードパーティおよびオープンソースのS3アプリケーションをLDAP接続を介して認証できるようにすることもできます。

作業を開始する前に

LDAPグループを設定し、グループアクセスの高速バインドモードを有効にする前に、次のことを確認してください。

  1. S3サーバを含むS3対応Storage VMが作成されている。を参照してください "S3 用の SVM を作成します"

  2. そのStorage VMにバケットが作成されている。を参照してください "バケットを作成する"

  3. Storage VMにDNSが設定されています。を参照してください "DNS サービスを設定する"

  4. LDAPサーバの自己署名ルート認証局(CA)証明書がStorage VMにインストールされている。を参照してください "自己署名ルート CA 証明書を SVM にインストールします"

  5. SVMでTLSを有効にしてLDAPクライアントが設定されている。を参照してください "LDAP クライアント設定を作成します" および "情報を取得するためのLDAPクライアント設定とSVMの関連付け"

外部ディレクトリサービス用のS3アクセスの設定

  1. グループのSVMの_name service database_ofとしてldapを指定し、ldapのパスワードを指定します。

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    このコマンドの詳細については、を参照してください "vserver services name-service ns-switch modify" コマンドを実行します

  2. オブジェクトストアバケットポリシーのステートメントを principal アクセスを許可するLDAPグループにを設定します。

    object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*

    例:次の例では、 buck1。このポリシーは、LDAPグループへのアクセスを許可します。 group1 リソース(バケットとそのオブジェクト)に buck1

    vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action
GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*

  3. LDAPグループのユーザが group1 S3クライアントからS3処理を実行できます。

認証にLDAP高速バインドモードを使用する

  1. グループのSVMの_name service database_ofとしてldapを指定し、ldapのパスワードを指定します。

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    このコマンドの詳細については、を参照してください "vserver services name-service ns-switch modify" コマンドを実行します

  2. S3バケットにアクセスするLDAPユーザの権限がバケットポリシーで定義されていることを確認します。詳細については、を参照してください "バケットポリシーを変更する"

  3. LDAPグループのユーザが次の処理を実行できることを確認します。

    1. S3クライアントでアクセスキーを次の形式で設定します。
      "NTAPFASTBIND" + base64-encode(user-name:password)
      "NTAPFASTBIND" +base64 -エンコード(ldapuser:password)。結果は次のようになります。
      NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=

      メモ S3クライアントからシークレットキーの入力を求められることがあります。シークレットキーがない場合は、16文字以上のパスワードを入力できます。

    2. ユーザに権限が割り当てられているS3クライアントから基本的なS3処理を実行します。