简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
启用Active Directory ONTAP帐户访问
贡献者
建议更改
PDF
您可以使用 `security login create`命令使Active Directory (AD)用户或组帐户能够访问管理员或数据SVM。AD 组中的任何用户都可以使用分配给该组的角色访问 SVM 。
关于此任务
-
您必须先配置对集群或 SVM 的 AD 域控制器访问,然后帐户才能访问 SVM 。
您可以在启用帐户访问之前或之后执行此任务。
-
从ONTAP 9.13.1开始、您可以使用SSH公共密钥作为具有AD用户密码的主身份验证方法或二级身份验证方法。
如果选择使用SSH公共密钥作为主身份验证、则不会进行AD身份验证。
-
从ONTAP 9.11.1开始、如果AD LDAP服务器支持、则可以使用"使用 LDAP 快速绑定对 ONTAP NFS SVM 进行 nsswitch 身份验证"。
-
如果您不确定要分配给登录帐户的访问控制角色、可以稍后使用命令添加此角色。
security login modify有关的详细信息
security login modify,请参见"ONTAP 命令参考"。
|
只有支持AD组帐户访问 SSH, ontapi,和 rest 应用程序。SSH公共密钥身份验证不支持AD组、而SSH公共密钥身份验证通常用于多因素身份验证。
|
开始之前
-
在 AD 域控制器上,集群时间必须在 5 分钟内同步到。
-
您必须是集群管理员才能执行此任务。
步骤
-
启用 AD 用户或组管理员帐户以访问 SVM :
对于AD用户:
ONTAP 版本 主身份验证 二级身份验证 命令 9.13.1及更高版本
公共密钥
无
security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method publickey -role <role>
9.13.1及更高版本
domain
公共密钥
新用户
security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method domain -second-authentication-method publickey -role <role>
对于现有用户
security login modify -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method domain -second-authentication-method publickey -role <role>
9.0及更高版本
domain
无
security login create -vserver <svm_name> -user-or-group-name <user_name> -application <application> -authentication-method domain -role <role> -comment <comment> [-is-ldap-fastbind true]
对于广告组:
ONTAP 版本 主身份验证 二级身份验证 命令 9.0及更高版本
domain
无
security login create -vserver <svm_name> -user-or-group-name <user_name> -application <application> -authentication-method domain -role <role> -comment <comment> [-is-ldap-fastbind true]
完成后
如果您尚未配置对集群或 SVM 的 AD 域控制器访问,则必须先配置此访问权限,然后帐户才能访问此 SVM 。
相关信息