管理资源吧

当前位置:管理资源吧首页>>>tech>>>c1>>>服务器教程

LDAP与NetApp存储安全集成方法

  许多数据中心都在网络文件系统上创建更先进的文件共享,该过程需要用户账号信息验证。如果正在使用Linux系统,那么可以将NetApp存储和LDAP集成,增强安全性。

  大部分存储的权限控制都能与微软的活动目录授权集成,但为Linux系统配置Lightweight Directory Access Protocol(LDAP)集成却并非易事。

  安全的文件共享需要用户授权验证,就如那些高级别数据共享和归档项目所要求的一样。如果Linux用户需要访问这些共享,存储设备首先必须要识别这些Linux用户账号。除了活动目录,也可以使用LDAP集成,但LDAP的配置比较复杂。好消息是NetAPP公司的存储支持LDAP服务器验证集成。接着,你可以在存储上设置文件访问权限,就如你在本地Linux文件服务器那样。

  开始配置NetAPP存储与LDAP集成。通过SSH登录NetAPP存储的命令行模式。输入priv set advanced命令,此命令可以让你设置所有必须的安全参数。接着,输入options ldap,可以查看当前设置情况(你也可以通过浏览器网页的方式完成这些操作):

  ams5-fas2240-A*> options ldap

  ldap.ADdomain

  ldap.base dc=example,dc=com

  ldap.base.group

  ldap.base.netgroup

  ldap.base.passwd

  ldap.enable on

  ldap.minimum_bind_level anonymous

  ldap.name

  ldap.nssmap.attribute.gecos gecos

  ldap.nssmap.attribute.gidNumber gidNumber

  ldap.nssmap.attribute.groupname cn

  ldap.nssmap.attribute.homeDirectory homeDirectory

  ldap.nssmap.attribute.loginShell loginShell

  ldap.nssmap.attribute.memberNisNetgroup memberNisNetgroup

  ldap.nssmap.attribute.memberUid memberUid

  ldap.nssmap.attribute.netgroupname cn

  ldap.nssmap.attribute.nisNetgroupTriple nisNetgroupTriple

  ldap.nssmap.attribute.uid uid

  ldap.nssmap.attribute.uidNumber uidNumber

  ldap.nssmap.attribute.userPassword userPassword

  ldap.nssmap.objectClass.nisNetgroup nisNetgroup

  ldap.nssmap.objectClass.posixAccount posixAccount

  ldap.nssmap.objectClass.posixGroup posixGroup

  ldap.passwd ******

  ldap.port 389

  ldap.servers ut01.example.local

  ldap.servers.preferred ut01.example.local

  ldap.ssl.enable off

  ldap.timeout 20

[Ok3w_NextPage]

  ldap.usermap.attribute.unixaccount unixaccount

  ldap.usermap.attribute.windowsaccount windowsaccount

  ldap.usermap.base

  ldap.usermap.enable off

  如果有任何参数设置错误,可以使用options ldap.base命令来设置正确的搜索域:

  ams5-fas2240-A*> options ldap.base dc=commerce-hub,dc=local

  通过命令设置好搜索域之后,需要从LDAP目录服务中获取信息。getXXbyYY命令可以显示系统是如何针对arnaud账号进行验证的:

  ams5-fas2240-A*> getXXbyYY getpwbyname_r arnaud

  pw_name = arnaud

  pw_passwd = {{******}}

  pw_uid = 1002, pw_gid = 100

  pw_gecos =

  pw_dir = /home/arnaud

  pw_shell = /bin/bash

  ams5-fas2240-A*> getXXbyYY getpwbyname_r linda

  pw_name = linda

  pw_passwd = {{******}}

  pw_uid = 1001, pw_gid = 100

  pw_gecos =

  pw_dir = /home/linda

  pw_shell = /bin/bash

  存储在对LDAP服务器传来的用户账号信息验证通过后;接着会确保其在所有层面都工作正常。修改nsswitch.conf文件的配置信息,需要具备读写权限,使用文件编辑器打开/etc/nsswitch.conf文件。文件中应该包含如下几行内容:

  ams5-fas2240-B> wrfile /etc/nsswitch.conf

  hosts: files dns nis

  passwd: ldap files nis

  netgroup: ldap files nis

  group: ldap files nis

  shadow: files nis

  现在,存储设备已经可以通过LDAP服务器获得用户信息了。如此这般,NetApp存储与LDAP服务器用户验证集成后,可以正常控制网络文件系统(NFS)共享的权限设定。可以使用options nfs.v4.acl.enable命令切换NFSv4访问控制列表。你还可以将Linux系统的ACL应用在NetApp存储上,这样可以让存储更像Linux文件目录那样,具备对应的权限:

  ams5-fas2240-B> options nfs.v4.acl.enable on

  nfs.v4.acl.enable选项的变更会影响在占用模式下高可用性配置中的所有成员。需要确保改参数和高可用配对中的成员权限一致。

  NetApp存储现在已经完全与Linux环境集成,管理员们可以将其当作本地Linux文件系统使用了

tech首页 更多tech