如何在CIFS未获得许可的情况下为集群配置AD身份验证
执行
执行
适用场景
- ONTAP 9
- Active Directory
问题描述
本文介绍在CIFS未获得许可时操作步骤允许Active Directory (AD)域用户和组访问集群和SVM。
如果AD身份验证配置不正确、则在用户尝试登录到集群时、messages.log会记录以下错误:
messages。log:
00000027.046d4c91 3db22b6e Fri Oct 12 2018 12:11:25 +11:00 [auth_sshd:info:83202] Invalid user Domain\\AD_user from 10.21.xx.yy
00000027.046d4c94 3db22bd2 Fri Oct 12 2018 12:11:35 +11:00 [auth_sshd:error:83212] in do_pam_domain_auth(): ERROR: do_pam_domain_auth: AUTH of user: Domain\AD_user Failed
00000027.046d4c95 3db22bd2 Fri Oct 12 2018 12:11:35 +11:00 [auth_sshd:error:83202] error: PAM: authentication error for Domain\\AD_user from 10.21.xx.yy
操作步骤
- 创建数据协议设置为none的数据LIF:
::> network interface create -vserver svm01 -lif adlif -role data -data-protocol none -home-node Node01 -home-port e0a -address a.b.c.d -netmask 255.255.255.0 -status-admin up- 启用DNS以进行主机名解析
- 使用集群中的任何数据SVM并使用 以下命令将其加入域:
::> vserver active-directory create -vserver svm01 -account-name <NetBIOS_name> -domain <domain_name>注:
- 将数据SVM加入域不会创建CIFS服务器、也不需要CIFS许可证。但是、它可以在SVM或集群级别对AD用户和组进行身份验证
- 需要具有足够Privileges的用户帐户凭据、以便将计算机添加到组织单位(OU)
- 使用security login create命令并将-authtMethod参数设置为domain、以授予AD用户或组对集群的访问权限:
::> security login create -vserver <cluster_name> -user-or-group-name DOMAIN1\AD_user -application ssh -authmethod domain注意: 如果要通过集群LIF授予访问权限、请在步骤1:集群SVM中使用与LIF相关的SVM如果要为数据SVM授予访问权限、请使用此SVM。
- 此外、我们还需要创建域通道、以便集群可以对AD登录会话进行身份验证:
::> security login domain-tunnel create -vserver svm01
::> security login domain-tunnel show
Tunnel Vserver: svm01注意:这是必需步骤,如果缺少此步骤,AD身份验证将失败。即使CIFS未获得许可、也可以创建域通道。