为ONTAP用户配置活动目录身份验证 - FSx for ONTAP
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为ONTAP用户配置活动目录身份验证

使用 ONTAP CLI 为ONTAP文件系统和 SVM 用户配置 Active Directory 身份验证的使用。

您必须是具有相应fsxadmin角色的文件系统管理员才能使用此过程中的命令。

为ONTAP用户设置 Active Directory 身份验证 (ONTAPCLI)

此过程中的命令可供具有该fsxadmin角色的文件系统用户使用。

  1. 要访问 NetApp ONTAP CLI,请运行以下命令在 NetApp 适用于 ONTAP 的 Amazon FSx 文件系统的管理端口上建立 SSH 会话。将 management_endpoint_ip 替换为文件系统管理端口的 IP 地址。

    [~]$ ssh fsxadmin@management_endpoint_ip

    有关更多信息,请参阅 使用 ONTAP CLI 管理文件系统

  2. 使用如图所示的security login domain-tunnel create命令建立用于对 Windows Active Directory 用户进行身份验证的域隧道。将 svm_name 替换为用于域隧道的 SVM 的名称。

    FsxId0123456::> security login domain-tunnel create -vserver svm_name
  3. 使用security login create命令创建将访问文件系统的 Active Directory 域用户帐户。

    在命令中指定以下必需的参数:

    • -vserver— 配置了 CIFS 并已加入您的活动目录的 SVM 的名称。它将用作向文件系统验证 Active Directory 域用户身份的隧道。将创建新角色或用户。

    • -user-or-group-name – 登录方法的用户名或 Active Directory 组名。只能使用 domain 身份验证方法以及 ontapissh 应用程序指定 Active Directory 组名。

    • -application – 登录方法的应用。可能的值包括 http、ontapi 和 ssh。

    • -authentication-method— 用于登录的身份验证方法。可能的值包括:

      • 域-用于活动目录身份验证

      • 密码-用于密码认证

      • publickey — 用于公钥身份验证

    • -role – 登录方法的访问控制角色名称。在文件系统级别,唯一可以指定的角色是 -role fsxadmin

    以下示例为filesystem1文件系统创建一个 Active Directory 域用户帐户CORP\Admin

    FSxId012345::> security login create -vserver filesystem1 -username CORP\Admin -application ssh -authmethod domain -role fsxadmin

    以下示例使用公钥身份验证创建CORP\Admin用户账户。

    FsxId0123456ab::> security login create -user-or-group-name "CORP\Admin" -application ssh -authentication-method publickey -role fsxadmin Warning: To use public-key authentication, you must create a public key for user "CORP\Admin".

    使用以下命令为CORP\Admin用户创建公钥:

    FsxId0123456ab::> security login publickey create -username "CORP\Admin" -publickey "ecdsa-sha2-nistp256 SECRET_STRING_HERE_IS_REDACTED= cwaltham@b0be837a91bf.ant.amazon.com"
使用 SSH 使用 Active Directory 凭据登录文件系统
  • 以下示例展示了如果选择为 -application 类型选择 ssh,该如何使用 Active Directory 凭证通过 SSH 进入您的文件系统。username 的格式为 "domain-name\user-name",即您在创建账户时提供的域名和用户名,用反斜杠分隔并用引号引起来。

    Fsx0123456::> ssh "CORP\user"@management.fs-abcdef01234567892.fsx.us-east-2.aws.com

    当系统提示输入密码时,使用 Active Directory 用户的密码。