ONTAP S3アクセス用の外部ディレクトリサービスの設定
ONTAP 9 .14.1以降では、外部ディレクトリのサービスがONTAP S3オブジェクトストレージに統合されました。この統合により、外部ディレクトリサービスによるユーザとアクセスの管理が簡素化されます。
外部ディレクトリサービスに属するユーザグループに、ONTAPオブジェクトストレージ環境へのアクセスを提供できます。Lightweight Directory Access Protocol(LDAP)は、Active Directoryなどのディレクトリサービスと通信するためのインターフェイスで、IDおよびアクセス管理(IAM)のデータベースとサービスを提供します。アクセスを提供するには、ONTAP S3環境でLDAPグループを設定する必要があります。アクセスの設定が完了すると、グループ メンバーにONTAP S3バケットに対する権限が付与されます。LDAPの詳細については、を参照してください"LDAPノシヨウホウホウノカイヨウ"。
また、Active Directoryユーザグループを高速バインドモードに設定して、ユーザクレデンシャルを検証し、サードパーティおよびオープンソースのS3アプリケーションをLDAP接続を介して認証できるようにすることもできます。
LDAPグループを設定し、グループアクセスの高速バインドモードを有効にする前に、次のことを確認してください。
-
S3サーバを含むS3対応Storage VMが作成されている。を参照して "S3用のSVMの作成"
-
そのStorage VMにバケットが作成されている。を参照して "バケットを作成する"
-
Storage VMにDNSが設定されています。を参照して "DNSサービスの設定"
-
LDAPサーバの自己署名ルート認証局(CA)証明書がStorage VMにインストールされている。を参照して "自己署名ルートCA証明書をSVMにインストールする"
-
SVMでTLSを有効にしてLDAPクライアントが設定されている。およびを参照してください"LDAPクライアント設定を作成する""情報を取得するためのLDAPクライアント設定とSVMの関連付け"。
外部ディレクトリサービス用のS3アクセスの設定
-
グループのSVMの_name service database_ofとしてldapを指定し、ldapのパスワードを指定します。
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -CLI/ vserver-services-name-service-ns-switch-modify.html[
vserver services name-service ns-switch modify
^]コマンドを参照してください。 -
オブジェクトストアバケットポリシーのステートメントを作成し、アクセスを許可するLDAPグループを設定し `principal`ます。
object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*
例:次の例は、用のバケットポリシーステートメントを作成します
buck1
。このポリシーは、LDAPグループにリソース(バケットとそのオブジェクト)への `buck1`アクセスを許可し `group1`ます。vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*
-
LDAPグループのユーザがS3クライアントからS3処理を実行できることを確認します
group1
。
認証にLDAP高速バインドモードを使用する
-
グループのSVMの_name service database_ofとしてldapを指定し、ldapのパスワードを指定します。
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -CLI/ vserver-services-name-service-ns-switch-modify.html[
vserver services name-service ns-switch modify
^]コマンドを参照してください。 -
S3バケットにアクセスするLDAPユーザの権限がバケットポリシーで定義されていることを確認します。詳細については、を参照してください "バケットポリシーを変更する"。
-
LDAPグループのユーザが次の処理を実行できることを確認します。
-
S3クライアントでアクセスキーを次の形式で設定します。
"NTAPFASTBIND" + base64-encode(user-name:password)`例 `"NTAPFASTBIND"
:+base64-encode(ldapuser:password)。
NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=
S3クライアントからシークレットキーの入力を求められることがあります。シークレットキーがない場合は、16文字以上のパスワードを入力できます。 -
ユーザに権限が割り当てられているS3クライアントから基本的なS3処理を実行します。
-
UIDとGIDを使用しないユーザに対するActive Directoryのリソース認証
bucket-policyステートメントで指定されたnasgroupまたはnasgroupの一部であるユーザにUIDとGIDが設定されていない場合、これらの属性が見つからないと検索が失敗します。
検索の失敗を避けるため、NetAppでは、信頼できるドメインをUPN形式で使用することを推奨しています。nasgroup / group@trusted_domain.com
LDAP高速バインドを使用しない場合に信頼できるドメインユーザのユーザアクセスキーを生成するには
UPN形式で指定されたユーザを持つエンドポイントを使用します s3/services/<svm_uuid>/users
。例:
$curl -siku FQDN\\user:<user_name> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user[@fqdn](https://github.com/fqdn)>,"<key_time_to_live>":"PT6H3M"}'