外部ディレクトリサービス用のS3アクセスの設定
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP 9.14.1以降では、外部ディレクトリのサービスがONTAP S3オブジェクトストレージに統合されました。この統合により、外部ディレクトリサービスによるユーザとアクセスの管理が簡素化されます。
外部ディレクトリサービスに属するユーザグループに、ONTAPオブジェクトストレージ環境へのアクセスを提供できます。Lightweight Directory Access Protocol(LDAP)は、Active Directoryなどのディレクトリサービスと通信するためのインターフェイスで、IDおよびアクセス管理(IAM)のデータベースとサービスを提供します。アクセスを提供するには、ONTAP S3環境でLDAPグループを設定する必要があります。アクセスの設定が完了すると、グループメンバーにONTAP S3バケットへの権限が付与されます。LDAPの詳細については、を参照してください。 "LDAP の使用方法の概要"。
また、Active Directoryユーザグループを高速バインドモードに設定して、ユーザクレデンシャルを検証し、サードパーティおよびオープンソースのS3アプリケーションをLDAP接続を介して認証できるようにすることもできます。
LDAPグループを設定し、グループアクセスの高速バインドモードを有効にする前に、次のことを確認してください。
-
S3サーバを含むS3対応Storage VMが作成されている。を参照してください "S3 用の SVM を作成します"。
-
そのStorage VMにバケットが作成されている。を参照してください "バケットを作成する"。
-
Storage VMにDNSが設定されています。を参照してください "DNS サービスを設定する"。
-
LDAPサーバの自己署名ルート認証局(CA)証明書がStorage VMにインストールされている。を参照してください "自己署名ルート CA 証明書を SVM にインストールします"。
-
SVMでTLSを有効にしてLDAPクライアントが設定されている。を参照してください "LDAP クライアント設定を作成します" および "情報を取得するためのLDAPクライアント設定とSVMの関連付け"。
外部ディレクトリサービス用のS3アクセスの設定
-
グループのSVMの_name service database_ofとしてldapを指定し、ldapのパスワードを指定します。
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
このコマンドの詳細については、を参照してください "vserver services name-service ns-switch modify" コマンドを実行します
-
オブジェクトストアバケットポリシーのステートメントを
principal
アクセスを許可するLDAPグループにを設定します。object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*
例:次の例では、
buck1
。このポリシーは、LDAPグループへのアクセスを許可します。group1
リソース(バケットとそのオブジェクト)にbuck1
。vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*
-
LDAPグループのユーザが
group1
S3クライアントからS3処理を実行できます。
認証にLDAP高速バインドモードを使用する
-
グループのSVMの_name service database_ofとしてldapを指定し、ldapのパスワードを指定します。
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
このコマンドの詳細については、を参照してください "vserver services name-service ns-switch modify" コマンドを実行します
-
S3バケットにアクセスするLDAPユーザの権限がバケットポリシーで定義されていることを確認します。詳細については、を参照してください "バケットポリシーを変更する"。
-
LDAPグループのユーザが次の処理を実行できることを確認します。
-
S3クライアントでアクセスキーを次の形式で設定します。
"NTAPFASTBIND" + base64-encode(user-name:password)
例"NTAPFASTBIND"
+base64 -エンコード(ldapuser:password)。結果は次のようになります。
NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=
S3クライアントからシークレットキーの入力を求められることがあります。シークレットキーがない場合は、16文字以上のパスワードを入力できます。 -
ユーザに権限が割り当てられているS3クライアントから基本的なS3処理を実行します。
-