如何在CIFS未获得许可的情况下为集群配置AD身份验证
执行
执行
适用场景
- 9.16.1 9.161及更高版本
- Active Directory (AD)
描述
- 从ONTAP 9.161开始、 是指允许AD 域用户和组在CIFS未获得许可时访问集群和SVM的操作步骤。
- 如果AD身份验证配置不正确、则在用户尝试登录到集群时、messages.log中会记录以下错误。
messages.log:
00000027.046d4c91 3db22b6e Fri Oct 12 2018 12:11:25 +11:00 [auth_sshd:info:83202] Invalid user Domain\\AD_user from 10.21.xx.yy
00000027.046d4c94 3db22bd2 Fri Oct 12 2018 12:11:35 +11:00 [auth_sshd:error:83212] in do_pam_domain_auth(): ERROR: do_pam_domain_auth: AUTH of user: Domain\AD_user Failed
00000027.046d4c95 3db22bd2 Fri Oct 12 2018 12:11:35 +11:00 [auth_sshd:error:83202] error: PAM: authentication error for Domain\\AD_user from 10.21.xx.yy
操作步骤
- 创建数据协议设置为none的数据LIF:
::> network interface create -vserver svm01 -lif adlif -role data -data-protocol none -home-node Node01 -home-port e0a -address a.b.c.d -netmask 255.255.255.0 -status-admin up
注意:参数
-role
在 ONTAP 9.6 及更高版本中已弃用- 启用DNS以进行主机名解析
- 使用集群中的任何数据SVM并使用 以下命令将其加入域:
::> vserver active-directory create -vserver svm01 -account-name <NetBIOS_name> -domain <domain_name>
注:
- 将数据SVM加入域不会创建CIFS服务器、也不需要CIFS许可证。但是、它可以在SVM或集群级别对AD用户和组进行身份验证
- 需要具有足够Privileges的用户帐户凭据、以便将计算机添加到组织单位(OU)
- 使用security login create命令并将-authtMethod参数设置为domain、以授予AD用户或组对集群的访问权限:
::> security login create -vserver <cluster_name> -user-or-group-name DOMAIN1\AD_user -application ssh -authmethod domain
注意: 如果要通过集群LIF授予访问权限、请在步骤1:集群SVM中使用与LIF相关的SVM如果要为数据SVM授予访问权限、请使用此SVM。
- 此外、我们还需要创建域通道、以便集群可以对AD登录会话进行身份验证:
::> security login domain-tunnel create -vserver svm01
::> security login domain-tunnel show
Tunnel Vserver: svm01
注意:
- 这是必需步骤、如果缺少此步骤、则AD身份验证将失败。即使CIFS未获得许可、也可以创建域通道。
- 如果在此操作步骤的步骤3中使用了管理SVM、则无需创建域通道、可以省略此步骤。