为 ONTAP 用户配置 Active Directory 身份验证 - FSx 适用于 ONTAP
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 ONTAP 用户配置 Active Directory 身份验证

使用 ONTAP CLI 为 ONTAP 文件系统和 SVM 用户配置使用 Active Directory 身份验证。

您必须是具有 fsxadmin 角色的文件系统管理员才能使用此过程中的命令。

为 ONTAP 用户设置 Active Directory 身份验证 (ONTAP CLI)

此过程中的命令适用于具有 fsxadmin 角色的文件系统用户。

  1. 要访问 ONTAP CLI,请运行以下命令在 Amazon FSx for NetApp ONTAP 文件系统或 SVM 的管理端口上建立 SSH 会话。将 management_endpoint_ip 替换为文件系统管理端口的 IP 地址。

    [~]$ ssh fsxadmin@management_endpoint_ip

    有关更多信息,请参阅 使用管理文件系统 ONTAP CLI

  2. 使用所示的 security login domain-tunnel create 命令建立一个用于对 Windows Active Directory 用户进行身份验证的域隧道。svm_name替换为用于域隧道的 SVM 的名称。

    FsxId0123456::> security login domain-tunnel create -vserver svm_name

  3. 使用 security login create 命令创建将访问文件系统的 Active Directory 域用户账户。

    在命令中指定以下必需的参数:

    • -vserver - 配置了 CIFS 并加入 Active Directory 的 SVM 的名称。它将用作 Active Directory 域用户访问文件系统的身份验证隧道。将创建新的角色或用户。

    • -user-or-group-name – 登录方法的用户名或 Active Directory 组名。只能使用 domain 身份验证方法以及 ontapissh 应用程序指定 Active Directory 组名。

    • -application – 登录方法的应用。可能的值包括 http、ontapi 和 ssh。

    • -authentication-method – 用于登录的身份验证方法。可能的值包括:

      • domain – 用于 Active Directory 身份验证

      • 密码 - 用于密码认证

      • publickey – 用于公钥身份验证

    • -role – 登录方法的访问控制角色名称。在文件系统级别,唯一可以指定的角色是 -role fsxadmin

    以下示例为 filesystem1 文件系统创建了一个 Active Directory 域用户账户 CORP\Admin

    FSxId012345::> security login create -vserver filesystem1 -username CORP\Admin -application ssh -authmethod domain -role fsxadmin

    以下示例创建了使用公钥身份验证的 CORP\Admin 用户账户。

    FsxId0123456ab::> security login create -user-or-group-name "CORP\Admin" -application ssh -authentication-method publickey -role fsxadmin
Warning: To use public-key authentication, you must create a public key for user "CORP\Admin".

    使用以下命令为 CORP\Admin 用户创建公钥:

    FsxId0123456ab::> security login publickey create -username "CORP\Admin" -publickey "ecdsa-sha2-nistp256 SECRET_STRING_HERE_IS_REDACTED= cwaltham@b0be837a91bf.ant.amazon.com"
结合使用 SSH 和 Active Directory 凭证来登录文件系统

  • 以下示例展示了如果选择为 -application 类型选择 ssh,该如何使用 Active Directory 凭证通过 SSH 进入您的文件系统。username 的格式为 "domain-name\user-name",即您在创建账户时提供的域名和用户名,用反斜杠分隔并用引号引起来。

    Fsx0123456::> ssh "CORP\user"@management.fs-abcdef01234567892.fsx.us-east-2.aws.com

    当系统提示输入密码时,使用 Active Directory 用户的密码。