如何在未获得 CIFS 许可证时为集群配置 AD 身份验证
适用于
- ONTAP 9.16.1 及更高版本
- Active Directory (AD)
说明
- 从 ONTAP 9.16.1 开始,使用此过程可使 AD 域用户和组在 CIFS 未获得许可时访问集群和 SVM。
- 如果配置了管理 SVM,则不需要域隧道。
- 如果配置了数据 SVM,则需要域隧道。
- 如果 AD 身份验证未正确配置,则当用户尝试登录到集群时,会在 messages.log 中记录以下错误。
MESSAGES.LOG:
00000027.046d4c91 3db22b6e Fri Oct 12 2018 12:11:25 +11:00 [auth_sshd:info:83202] Invalid user Domain\\AD_user from 10.21.xx.yy
00000027.046d4c94 3db22bd2 Fri Oct 12 2018 12:11:35 +11:00 [auth_sshd:error:83212] in do_pam_domain_auth(): ERROR: do_pam_domain_auth: AUTH of user: Domain\AD_user Failed
00000027.046d4c95 3db22bd2 Fri Oct 12 2018 12:11:35 +11:00 [auth_sshd:error:83202] error: PAM: authentication error for Domain\\AD_user from 10.21.xx.yy
操作步骤
- 创建数据协议设置为 none 的数据 LIF:
::> network interface create -vserver svm01 -lif adlif -role data -data-protocol none -home-node Node01 -home-port e0a -address a.b.c.d -netmask 255.255.255.0 -status-admin up注意:参数
-role 在 ONTAP 9.6 及更高版本中已弃用- 启用 DNS 进行主机名解析
- 请配置管理 SVM(ONTAP 9.16.1+)或使用集群中的任何数据 SVM 并将其加入域:
::> vserver active-directory create -vserver svm01 -account-name <NetBIOS_name> -domain <domain_name>注:
- 加入域不会创建 CIFS 服务器,也不需要 CIFS 许可证。
- 但是,它允许在 SVM 或群集级别对 AD 用户和组进行身份验证
- 需要具有将计算机添加到组织单位 (OU) 的足够权限的用户帐户凭据
- 通过使用 security login create 命令将 -authmethod 参数设置为 domain 来授予 AD 用户或组对集群的访问权限:
::> security login create -vserver <cluster_name> -user-or-group-name DOMAIN1\AD_user -application ssh -authmethod domain注意:使用步骤 1 中与 LIF 相关的 SVM:如果要通过集群 LIF 授予访问权限则使用集群 SVM,如果要为数据 SVM 授予访问权限则使用数据 SVM。
- 如果步骤 3 中使用了数据 SVM,请创建域隧道,以便 AD 登录会话可以由集群进行身份验证:
::> security login domain-tunnel create -vserver svm01
::> security login domain-tunnel show
Tunnel Vserver: svm01注意:
- 即使未获得 CIFS 许可证,也可以创建域隧道。
- 如果在步骤 3 中使用了管理员 SVM,则可以省略此步骤。