本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 ONTAP 用户配置 Active Directory 身份验证
使用 ONTAP CLI 为 ONTAP 文件系统和 SVM 用户配置使用 Active Directory 身份验证。
您必须是具有 fsxadmin
角色的文件系统管理员才能使用此过程中的命令。
为 ONTAP 用户设置 Active Directory 身份验证 (ONTAP CLI)
此过程中的命令适用于具有 fsxadmin
角色的文件系统用户。
要访问 ONTAP CLI,请运行以下命令在 Amazon FSx for NetApp ONTAP 文件系统或 SVM 的管理端口上建立 SSH 会话。将
替换为文件系统管理端口的 IP 地址。management_endpoint_ip
[~]$
ssh fsxadmin@
management_endpoint_ip
有关更多信息,请参阅 使用管理文件系统 ONTAP CLI。
-
使用所示的
security login domain-tunnel create
命令建立一个用于对 Windows Active Directory 用户进行身份验证的域隧道。 svm_name
替换为用于域隧道的 SVM 的名称。FsxId0123456::>
security login domain-tunnel create -vserver
svm_name
-
使用
security login create
命令创建将访问文件系统的 Active Directory 域用户账户。 在命令中指定以下必需的参数:
-
-vserver
- 配置了 CIFS 并加入 Active Directory 的 SVM 的名称。它将用作 Active Directory 域用户访问文件系统的身份验证隧道。将创建新的角色或用户。 -
-user-or-group-name
– 登录方法的用户名或 Active Directory 组名。只能使用domain
身份验证方法以及ontapi
和ssh
应用程序指定 Active Directory 组名。 -
-application
– 登录方法的应用。可能的值包括 http、ontapi 和 ssh。 -
-authentication-method
– 用于登录的身份验证方法。可能的值包括:-
domain – 用于 Active Directory 身份验证
-
密码 - 用于密码认证
-
publickey – 用于公钥身份验证
-
-
-role
– 登录方法的访问控制角色名称。在文件系统级别,唯一可以指定的角色是-role fsxadmin
。
以下示例为
filesystem1
文件系统创建了一个 Active Directory 域用户账户CORP\Admin
。FSxId012345::>
security login create -vserver filesystem1 -username CORP\Admin -application ssh -authmethod domain -role fsxadmin以下示例创建了使用公钥身份验证的
CORP\Admin
用户账户。FsxId0123456ab::>
security login create -user-or-group-name "CORP\Admin" -application ssh -authentication-method publickey -role fsxadmin
Warning: To use public-key authentication, you must create a public key for user "CORP\Admin".
使用以下命令为
CORP\Admin
用户创建公钥:FsxId0123456ab::>
security login publickey create -username "CORP\Admin" -publickey "ecdsa-sha2-nistp256SECRET_STRING_HERE_IS_REDACTED
= cwaltham@b0be837a91bf.ant.amazon.com" -
结合使用 SSH 和 Active Directory 凭证来登录文件系统
-
以下示例展示了如果选择为
-application
类型选择ssh
,该如何使用 Active Directory 凭证通过 SSH 进入您的文件系统。username
的格式为"domain-name\user-name"
,即您在创建账户时提供的域名和用户名,用反斜杠分隔并用引号引起来。Fsx0123456::>
ssh "CORP\user"@management.fs-abcdef01234567892.fsx.us-east-2.aws.com
当系统提示输入密码时,使用 Active Directory 用户的密码。