設定LDAP或NIS伺服器存取總覽
建議變更
PDF
您必須先設定LDAP或NIS伺服器存取SVM、LDAP或NIS帳戶才能存取SVM。交換器功能可讓您使用LDAP或NIS做為替代名稱服務來源。
設定LDAP伺服器存取
您必須先設定LDAP伺服器存取SVM、LDAP帳戶才能存取SVM。您可以使用 vserver services name-service ldap client create 在 SVM 上建立 LDAP 用戶端組態的命令。然後您就可以使用 vserver services name-service ldap create 用於將 LDAP 用戶端組態與 SVM 建立關聯的命令。
大多數LDAP伺服器都可以使用ONTAP 由下列功能提供的預設架構:
-
ms-AD-BIS(大多數Windows 2012及更新版本AD伺服器的偏好架構)
-
AD-IDMU ( Windows 2008 、 Windows 2016 及更新版本的 AD 伺服器)
-
AD-SFU(Windows 2003和舊版AD伺服器)
-
RFC-2307(UNIX LDAP伺服器)
除非有其他需求、否則最好使用預設架構。如果是、您可以複製預設架構並修改複本、以建立自己的架構。如需詳細資訊、請參閱:
-
您必須安裝 "CA簽署的伺服器數位憑證" 在SVM上。
-
您必須是叢集或SVM管理員、才能執行此工作。
-
在 SVM 上建立 LDAP 用戶端組態:
vserver services name-service ldap client create -vserver <SVM_name> -client-config <client_configuration> -servers <LDAP_server_IPs> -schema <schema> -use-start-tls <true|false>
只有資料SVM存取才支援Start TLS。不支援存取管理SVM。 如需完整的命令語法、請參閱 "工作表"。
以下命令用於創建名爲 SVM
engData的 LDAP 客戶端配置corp。用戶端會匿名連結至 IP 位址為 172.0.0.100 和 172.16.0.101 的 LDAP 伺服器。用戶端使用 RFC-2307 架構進行 LDAP 查詢。用戶端與伺服器之間的通訊會使用Start TLS加密。cluster1::> vserver services name-service ldap client create -vserver engData -client-config corp -servers 172.16.0.100,172.16.0.101 -schema RFC-2307 -use-start-tls true
從 ONTAP 9.2 開始 -ldap-servers取代欄位-servers。此新欄位可以使用LDAP伺服器的主機名稱或IP位址。 -
將 LDAP 用戶端組態與 SVM 建立關聯:
vserver services name-service ldap create -vserver <SVM_name> -client-config <client_configuration> -client-enabled <true|false>如需完整的命令語法、請參閱 "工作表"。
下列命令會關聯 LDAP 用戶端組態
corp使用 SVMengData,並在 SVM 上啟用 LDAP 用戶端。cluster1::>vserver services name-service ldap create -vserver engData -client-config corp -client-enabled true
從 ONTAP 9.2 開始 vserver services name-service ldap create如果 ONTAP 無法連絡名稱伺服器、命令會執行自動組態驗證、並回報錯誤訊息。 -
使用vserver services name-service LDAP檢查命令來驗證名稱伺服器的狀態。
下列命令會驗證SVM vs0上的LDAP伺服器。
cluster1::> vserver services name-service ldap check -vserver vs0 | Vserver: vs0 | | Client Configuration Name: c1 | | LDAP Status: up | | LDAP Status Details: Successfully connected to LDAP server "10.11.12.13". |
名稱服務檢查命令可從ONTAP 版本號不含資訊的9.2開始使用。
設定 NIS 伺服器存取
您必須先設定NIS伺服器對SVM的存取權、NIS帳戶才能存取SVM。您可以使用 vserver services name-service nis-domain create 在 SVM 上建立 NIS 網域組態的命令。
-
在SVM上設定NIS網域之前、所有已設定的伺服器都必須可供使用和存取。
-
您必須是叢集或SVM管理員、才能執行此工作。
-
在 SVM 上建立 NIS 網域組態:
vserver services name-service nis-domain create -vserver <SVM_name> -domain <client_configuration> -nis-servers <NIS_server_IPs>如需完整的命令語法、請參閱 "工作表"。
從 ONTAP 9.2 開始 -nis-servers取代欄位-servers。此新欄位可取得 NIS 伺服器的主機名稱或 IP 位址。以下命令在 SVM 上創建 NIS 域配置
engData。NIS 網域nisdomain`會與 IP 位址為的 NIS 伺服器進行通訊 `192.0.2.180。cluster1::>vserver services name-service nis-domain create -vserver engData -domain nisdomain -nis-servers 192.0.2.180
建立名稱服務交換器
名稱服務交換器功能可讓您使用LDAP或NIS做為替代名稱服務來源。您可以使用 vserver services name-service ns-switch modify 命令以指定名稱服務來源的查詢順序。
-
您必須已設定LDAP和NIS伺服器存取。
-
您必須是叢集管理員或SVM管理員、才能執行此工作。
-
指定名稱服務來源的查詢順序:
vserver services name-service ns-switch modify -vserver <SVM_name> -database <name_service_switch_database> -sources <name_service_source_order>如需完整的命令語法、請參閱 "工作表"。
以下命令指定 SVM 上資料庫
engData`的 LDAP 和 NIS 名稱服務來源的查詢順序 `passwd。cluster1::>vserver services name-service ns-switch modify -vserver engData -database passwd -source files ldap,nis