Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

外部ディレクトリサービス用のS3アクセスの設定

共同作成者
PDF

ONTAP 9 .14.1以降では、外部ディレクトリのサービスがONTAP S3オブジェクトストレージに統合されました。この統合により、外部ディレクトリサービスによるユーザとアクセスの管理が簡素化されます。

外部ディレクトリサービスに属するユーザグループに、ONTAPオブジェクトストレージ環境へのアクセスを提供できます。Lightweight Directory Access Protocol(LDAP)は、Active Directoryなどのディレクトリサービスと通信するためのインターフェイスで、IDおよびアクセス管理(IAM)のデータベースとサービスを提供します。アクセスを提供するには、ONTAP S3環境でLDAPグループを設定する必要があります。アクセスの設定が完了すると、グループ メンバーにONTAP S3バケットに対する権限が付与されます。LDAPの詳細については、を参照してください"LDAPノシヨウホウホウノカイヨウ"

また、Active Directoryユーザグループを高速バインドモードに設定して、ユーザクレデンシャルを検証し、サードパーティおよびオープンソースのS3アプリケーションをLDAP接続を介して認証できるようにすることもできます。

開始する前に

LDAPグループを設定し、グループアクセスの高速バインドモードを有効にする前に、次のことを確認してください。

  1. S3サーバを含むS3対応Storage VMが作成されている。を参照して "S3用のSVMの作成"

  2. そのStorage VMにバケットが作成されている。を参照して "バケットを作成する"

  3. Storage VMにDNSが設定されています。を参照して "DNSサービスの設定"

  4. LDAPサーバの自己署名ルート認証局(CA)証明書がStorage VMにインストールされている。を参照して "自己署名ルートCA証明書をSVMにインストールする"

  5. SVMでTLSを有効にしてLDAPクライアントが設定されている。およびを参照してください"LDAPクライアント設定を作成する""情報を取得するためのLDAPクライアント設定とSVMの関連付け"

外部ディレクトリサービス用のS3アクセスの設定

  1. グループのSVMの_name service database_ofとしてldapを指定し、ldapのパスワードを指定します。

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    このコマンドの詳細については、コマンドを参照して"vserver services name-service ns-switch modify"ください。

  2. オブジェクトストアバケットポリシーのステートメントを作成し、アクセスを許可するLDAPグループを設定し `principal`ます。

    object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*

    例:次の例は、用のバケットポリシーステートメントを作成します buck1。このポリシーは、LDAPグループにリソース(バケットとそのオブジェクト)への `buck1`アクセスを許可し `group1`ます。

    vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action
GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*

  3. LDAPグループのユーザがS3クライアントからS3処理を実行できることを確認します group1

認証にLDAP高速バインドモードを使用する

  1. グループのSVMの_name service database_ofとしてldapを指定し、ldapのパスワードを指定します。

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    このコマンドの詳細については、コマンドを参照して"vserver services name-service ns-switch modify"ください。

  2. S3バケットにアクセスするLDAPユーザの権限がバケットポリシーで定義されていることを確認します。詳細については、を参照してください "バケットポリシーを変更する"

  3. LDAPグループのユーザが次の処理を実行できることを確認します。

    1. S3クライアントでアクセスキーを次の形式で設定します。
      "NTAPFASTBIND" + base64-encode(user-name:password)`例 `"NTAPFASTBIND":+base64-encode(ldapuser:password)。 NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=

      メモ S3クライアントからシークレットキーの入力を求められることがあります。シークレットキーがない場合は、16文字以上のパスワードを入力できます。

    2. ユーザに権限が割り当てられているS3クライアントから基本的なS3処理を実行します。

UIDとGIDを使用しないユーザに対するActive Directoryのリソース認証

bucket-policyステートメントで指定されたnasgroupまたはnasgroupの一部であるユーザにUIDとGIDが設定されていない場合、これらの属性が見つからないと検索が失敗します。

検索の失敗を避けるため、NetAppでは、信頼できるドメインをUPN形式で使用することを推奨しています。nasgroup / group@trusted_domain.com

LDAP高速バインドを使用しない場合に信頼できるドメインユーザのユーザアクセスキーを生成するには

UPN形式で指定されたユーザを持つエンドポイントを使用します s3/services/<svm_uuid>/users 。例:

$curl -siku FQDN\\user:<user_name> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user[@fqdn](https://github.com/fqdn)>,"<key_time_to_live>":"PT6H3M"}'