Konfiguration der Active Directory-Authentifizierung für ONTAP Benutzer

Um die Active Directory-Authentifizierung einzurichten für ONTAP Benutzer (ONTAP CLI)

Die Befehle in diesem Verfahren stehen Dateisystembenutzern mit der fsxadmin Rolle zur Verfügung.

1. Um auf die zuzugreifen NetApp ONTAPCLI, richten Sie eine SSH Sitzung auf dem Management-Port des Amazon FSx for NetApp ONTAP Dateisystems ein, indem Sie den folgenden Befehl ausführen. management_endpoint_ipErsetzen Sie es durch die IP-Adresse des Management-Ports des Dateisystems.

   [~]$ ssh fsxadmin@management_endpoint_ip

   Weitere Informationen finden Sie unter Verwaltung von Dateisystemen mit der ONTAP CLI.

2. Verwenden Sie den security login domain-tunnel createBefehl wie in der Abbildung gezeigt, um einen Domänentunnel für die Authentifizierung von Windows Active Directory-Benutzern einzurichten. Ersetzen svm_name mit dem Namen des, den SVM Sie für den Domänentunnel verwenden.

   FsxId0123456::> security login domain-tunnel create -vserver svm_name

3. Verwenden Sie den security login createBefehl, um Active Directory-Domänenbenutzerkonten zu erstellen, die auf das Dateisystem zugreifen.

   Geben Sie im Befehl die folgenden erforderlichen Parameter an:

   • -vserver— Der Name der Datei, die mit Ihrem Active Directory SVM konfiguriert ist CIFS und mit diesem verknüpft ist. Es wird als Tunnel für die Authentifizierung von Active Directory-Domänenbenutzern gegenüber dem Dateisystem verwendet, in dem die neue Rolle oder der neue Benutzer erstellt wird.

   • -user-or-group-name— Der Benutzername oder der Active Directory-Gruppenname der Anmeldemethode. Der Active Directory-Gruppenname kann nur mit der domain Authentifizierungsmethode ontapi und der ssh Anwendung angegeben werden.

   • -application— Die Anwendung der Login-Methode. Mögliche Werte sind http, ontapi und ssh.

   • -authentication-method— Die für die Anmeldung verwendete Authentifizierungsmethode. Die folgenden Werte sind möglich:

     • Domäne — für die Active Directory-Authentifizierung

     • Passwort — für die Passwortauthentifizierung

     • publickey — für die Authentifizierung mit öffentlichen Schlüsseln

   • -role— Der Name der Zugriffskontrollrolle für die Anmeldemethode. Auf Dateisystemebene ist die einzige Rolle, die angegeben werden kann, -role fsxadmin

   Im folgenden Beispiel wird ein Active Directory-Domänenbenutzerkonto CORP\Admin für das filesystem1 Dateisystem erstellt.

   FSxId012345::> security login create -vserver filesystem1 -username CORP\Admin -application ssh -authmethod domain -role fsxadmin

   Im folgenden Beispiel wird das CORP\Admin Benutzerkonto mit Authentifizierung mit öffentlichem Schlüssel erstellt.

   FsxId0123456ab::> security login create -user-or-group-name "CORP\Admin" -application ssh -authentication-method publickey -role fsxadmin
   Warning: To use public-key authentication, you must create a public key for user "CORP\Admin".

   Erstellen Sie mit dem folgenden Befehl einen öffentlichen Schlüssel für den CORP\Admin Benutzer:

   FsxId0123456ab::> security login publickey create -username "CORP\Admin" -publickey "ecdsa-sha2-nistp256 SECRET_STRING_HERE_IS_REDACTED= cwaltham@b0be837a91bf.ant.amazon.com"

Um sich SSH mit Active Directory-Anmeldeinformationen beim Dateisystem anzumelden

• Das folgende Beispiel zeigt, wie Sie sich mit Ihren Active Directory-Anmeldeinformationen SSH in Ihr Dateisystem einloggen, wenn Sie ssh den -application Typ wählen. Der hat username das Format"domain-name\user-name", das aus dem Domänennamen und dem Benutzernamen besteht, die Sie bei der Erstellung des Kontos angegeben haben, getrennt durch einen umgekehrten Schrägstrich und in Anführungszeichen eingeschlossen.

  Fsx0123456::> ssh "CORP\user"@management.fs-abcdef01234567892.fsx.us-east-2.aws.com

  Wenn Sie zur Eingabe eines Kennworts aufgefordert werden, verwenden Sie das Kennwort des Active Directory-Benutzers.