Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar serviços de diretório externo para acesso ao ONTAP S3

Colaboradores

A partir do ONTAP 9.14,1, os serviços para diretórios externos foram integrados ao armazenamento de objetos ONTAP S3. Essa integração simplifica o gerenciamento de usuários e acessos por meio de serviços de diretório externos.

Você pode fornecer grupos de usuários pertencentes a um serviço de diretório externo com acesso ao ambiente de storage de objetos do ONTAP. O LDAP (Lightweight Directory Access Protocol) é uma interface para comunicação com serviços de diretório, como o ative Directory, que fornece um banco de dados e serviços para gerenciamento de identidade e acesso (IAM). Para fornecer acesso, é necessário configurar grupos LDAP no ambiente do ONTAP S3. Depois de configurar o acesso, os membros do grupo têm permissões para buckets do ONTAP S3. Para obter informações sobre LDAP, "Visão geral do uso do LDAP"consulte .

Você também pode configurar grupos de usuários do ative Directory para o modo de vinculação rápida, para que as credenciais de usuário possam ser validadas e aplicativos S3 de terceiros e de código aberto possam ser autenticados por conexões LDAP.

Antes de começar

Antes de configurar grupos LDAP e ativar o modo de ligação rápida para acesso a grupos, certifique-se de que o seguinte é:

  1. Uma VM de armazenamento habilitada para S3 contendo um servidor S3 foi criada. "Criar um SVM para S3"Consulte .

  2. Um bucket foi criado nessa VM de storage. "Crie um bucket"Consulte .

  3. O DNS está configurado na VM de armazenamento. "Configurar serviços DNS"Consulte .

  4. Um certificado de autoridade de certificação raiz (CA) autoassinado do servidor LDAP é instalado na VM de armazenamento. "Instale o certificado de CA raiz autoassinado no SVM"Consulte .

  5. Um cliente LDAP é configurado com TLS habilitado no SVM. "Crie uma configuração de cliente LDAP"Consulte e "Associe a configuração do cliente LDAP a SVMs para obter informações".

Configurar o acesso S3 para serviços de diretório externo

  1. Especifique LDAP como o banco de dados name Service do SVM para o grupo e a senha para LDAP:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
    ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli/vserver-services-name-service-ns-switch-modify.html[vserver services name-service ns-switch modify em referência de comando ONTAP.

  2. Crie uma declaração de política de bucket do armazenamento de objetos com o principal conjunto para o grupo LDAP ao qual você deseja conceder acesso:

    object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*

    Exemplo: O exemplo a seguir cria uma declaração de política de bucket para buck1. A política permite o acesso do grupo LDAP group1 ao recurso (bucket e seus objetos buck1) .

    vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action
    GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*
  3. Verifique se um usuário do grupo LDAP group1 é capaz de executar operações S3 do cliente S3.

Use o modo LDAP fast bind para autenticação

  1. Especifique LDAP como o banco de dados name Service do SVM para o grupo e a senha para LDAP:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
    ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli/vserver-services-name-service-ns-switch-modify.html[vserver services name-service ns-switch modify em referência de comando ONTAP.

  2. Certifique-se de que um usuário LDAP acessando o bucket do S3 tenha permissões definidas nas políticas de bucket. Para obter mais informações, "Modificar uma política de bucket"consulte .

  3. Verifique se um usuário do grupo LDAP pode executar as seguintes operações:

    1. Configure a chave de acesso no cliente S3 neste formato:
      "NTAPFASTBIND" + base64-encode(user-name:password) Exemplo "NTAPFASTBIND": base64-encode(ldapuser:password), o que resulta em
      NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=

      Observação O cliente S3 pode pedir uma chave secreta. Na ausência de uma chave secreta, qualquer senha de pelo menos 16 carateres pode ser inserida.
    2. Execute operações S3 básicas do cliente S3 para o qual o usuário tem permissões.

Autenticação de recursos para o ative Directory para usuários sem UID e GID

Se o nasgroup especificado na declaração bucket-policy ou os usuários que fazem parte do nasgroup não tiverem UID e GID definidos, as pesquisas falharão quando esses atributos não forem encontrados.

Para evitar falhas de pesquisa, o NetApp recomenda o uso de domínios confiáveis para autorização de recursos no formato UPN: Nasgroup/group@trusted_domain.com

Para gerar as chaves de acesso do usuário para usuários de domínio confiáveis quando o LDAP fast bind não é usado

Use o s3/services/<svm_uuid>/users endpoint com usuários especificados no formato UPN. Exemplo:

$curl -siku FQDN\\user:<user_name> -X POST https://<LIF_IP_Address>/api/protocols/s3/services/<SVM_UUID>/users -d {"comment":"<S3_user_name>", "name":<user[@fqdn](https://github.com/fqdn)>,"<key_time_to_live>":"PT6H3M"}'