跳转到主内容

如何在CIFS未获得许可的情况下为集群配置AD身份验证

Views:
62
Visibility:
Public
Votes:
0
Category:
clustered-data-ontap-8
Specialty:
nas
Last Updated:

执行

执行

适用场景

  • 9.16.1 9.161及更高版本
  • Active Directory (AD)

描述

  • 从ONTAP 9.161开始、 是指允许AD 域用户和组在CIFS未获得许可时访问集群和SVM的操作步骤。
  • 如果AD身份验证配置不正确、则在用户尝试登录到集群时、messages.log中会记录以下错误。

messages.log:

00000027.046d4c91 3db22b6e Fri Oct 12 2018 12:11:25 +11:00 [auth_sshd:info:83202] Invalid user Domain\\AD_user from 10.21.xx.yy
00000027.046d4c94 3db22bd2 Fri Oct 12 2018 12:11:35 +11:00 [auth_sshd:error:83212] in do_pam_domain_auth(): ERROR: do_pam_domain_auth: AUTH of user: Domain\AD_user Failed
00000027.046d4c95 3db22bd2 Fri Oct 12 2018 12:11:35 +11:00 [auth_sshd:error:83202] error: PAM: authentication error for Domain\\AD_user from 10.21.xx.yy

操作步骤

 

  1. 创建数据协议设置为none的数据LIF:
::> network interface create -vserver svm01 -lif adlif -role data -data-protocol none -home-node Node01 -home-port e0a -address a.b.c.d -netmask 255.255.255.0 -status-admin up

注意:参数-role在 ONTAP 9.6 及更高版本中已弃用
  1. 启用DNS以进行主机名解析
  2. 使用集群中的任何数据SVM并使用 以下命令将其加入域:
::> vserver active-directory create -vserver svm01 -account-name <NetBIOS_name> -domain <domain_name>

注:
  • 将数据SVM加入域不会创建CIFS服务器、也不需要CIFS许可证。但是、它可以在SVM或集群级别对AD用户和组进行身份验证
  • 需要具有足够Privileges的用户帐户凭据、以便将计算机添加到组织单位(OU)
  1. 使用security login create命令并将-authtMethod参数设置为domain、以授予AD用户或组对集群的访问权限:
::> security login create -vserver <cluster_name> -user-or-group-name DOMAIN1\AD_user -application ssh -authmethod domain
注意:  如果要通过集群LIF授予访问权限、请在步骤1:集群SVM中使用与LIF相关的SVM如果要为数据SVM授予访问权限、请使用此SVM。
  1. 此外、我们还需要创建域通道、以便集群可以对AD登录会话进行身份验证:
::> security login domain-tunnel create -vserver svm01
::> security login domain-tunnel show
   Tunnel Vserver: svm01

注意
  • 这是必需步骤、如果缺少此步骤、则AD身份验证将失败。即使CIFS未获得许可、也可以创建域通道。
  • 如果在此操作步骤的步骤3中使用了管理SVM、则无需创建域通道、可以省略此步骤。

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.