简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
启用 Active Directory 帐户访问
贡献者
建议更改
PDF
您可以使用 security login create 命令以使Active Directory (AD)用户或组帐户能够访问管理员或数据SVM。AD 组中的任何用户都可以使用分配给该组的角色访问 SVM 。
关于此任务
-
您必须先配置对集群或 SVM 的 AD 域控制器访问,然后帐户才能访问 SVM 。
您可以在启用帐户访问之前或之后执行此任务。
-
从ONTAP 9.13.1开始、您可以使用SSH公共密钥作为具有AD用户密码的主身份验证方法或二级身份验证方法。
如果选择使用SSH公共密钥作为主身份验证、则不会进行AD身份验证。
-
从ONTAP 9.11.1开始、您可以使用 "用于nsswitch身份验证的LDAP快速绑定" AD LDAP服务器是否支持此功能。
-
如果您不确定要分配给登录帐户的访问控制角色、可以使用
security login modify命令以稍后添加此角色。
|
只有支持AD组帐户访问 SSH, ontapi,和 rest 应用程序。SSH公共密钥身份验证不支持AD组、而SSH公共密钥身份验证通常用于多因素身份验证。
|
开始之前
-
在 AD 域控制器上,集群时间必须在 5 分钟内同步到。
-
您必须是集群管理员才能执行此任务。
步骤
-
启用 AD 用户或组管理员帐户以访问 SVM :
对于AD用户:
ONTAP 版本 主身份验证 二级身份验证 命令 9.13.1及更高版本
公共密钥
无
security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method publickey -role <role>
9.13.1及更高版本
domain
公共密钥
新用户
security login create -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method domain -second-authentication-method publickey -role <role>
对于现有用户
security login modify -vserver <svm_name> -user-or-group-name <user_name> -application ssh -authentication-method domain -second-authentication-method publickey -role <role>
9.0及更高版本
domain
无
security login create -vserver <svm_name> -user-or-group-name <user_name> -application <application> -authentication-method domain -role <role> -comment <comment> [-is-ldap-fastbind true]
对于广告组:
ONTAP 版本 主身份验证 二级身份验证 命令 9.0及更高版本
domain
无
security login create -vserver <svm_name> -user-or-group-name <user_name> -application <application> -authentication-method domain -role <role> -comment <comment> [-is-ldap-fastbind true]
有关完整的命令语法,请参见 "用于管理员身份验证和RBAC配置的工作表"
完成后
如果您尚未配置对集群或 SVM 的 AD 域控制器访问,则必须先配置此访问权限,然后帐户才能访问此 SVM 。