Configurando a autenticação do Active Directory para ONTAP usuários

Para configurar a autenticação do Active Directory para ONTAP usuários (ONTAP CLI)

Os comandos desse procedimento estão disponíveis para usuários do sistema de arquivos com o perfil fsxadmin.

1. Para acessar o ONTAP CLI, estabeleça uma sessão SSH na porta de gerenciamento do sistema de arquivos Amazon FSx for NetApp ONTAP executando o seguinte comando. Substitua management_endpoint_ip pelo endereço IP da porta de gerenciamento do sistema de arquivos.

   [~]$ ssh fsxadmin@management_endpoint_ip

   Para obter mais informações, consulte Gerenciando sistemas de arquivos com o ONTAP CLI.

2. Use o comando security login domain-tunnel create conforme apresentado para estabelecer um túnel de domínio para autenticar usuários do Active Directory do Windows. svm_nameSubstitua pelo nome do SVM que você está usando para o túnel de domínio.

   FsxId0123456::> security login domain-tunnel create -vserver svm_name

3. Use o comando security login create para criar contas de usuário de domínio do Active Directory que vão acessar o sistema de arquivos.

   Especifique os seguintes parâmetros obrigatórios no comando:

   • -vserver: o nome do SVM configurado com o CIFS e associado ao seu Active Directory. Ele será usado como um túnel para autenticar os usuários do domínio do Active Directory no sistema de arquivos para o qual o novo perfil ou usuário será criado.

   • -user-or-group-name: o nome de usuário ou nome do grupo do Active Directory do método de login. O nome do grupo do Active Directory só pode ser especificado com o método de autenticação domain e as aplicações ontapi e ssh.

   • -application: a aplicação do método de login. Os valores possíveis incluem http, ontapi e ssh.

   • -authentication-method: o método de autenticação usado para login. Os valores possíveis incluem o seguinte:

     • domain: para autenticação do Active Directory.

     • password: para autenticação por senha.

     • publickey: para autenticação de chave pública.

   • -role: o nome do perfil de controle de acesso para o método de login. No nível do sistema de arquivos, o único perfilo que pode ser especificada é -role fsxadmin.

   O exemplo a seguir cria uma conta de usuário CORP\Admin de domínio do Active Directory para o sistema de arquivos filesystem1.

   FSxId012345::> security login create -vserver filesystem1 -username CORP\Admin -application ssh -authmethod domain -role fsxadmin

   O exemplo a seguir cria a conta de usuário CORP\Admin com autenticação de chave pública.

   FsxId0123456ab::> security login create -user-or-group-name "CORP\Admin" -application ssh -authentication-method publickey -role fsxadmin
   Warning: To use public-key authentication, you must create a public key for user "CORP\Admin".

   Crie uma chave pública para o usuário CORP\Admin com o comando a seguir:

   FsxId0123456ab::> security login publickey create -username "CORP\Admin" -publickey "ecdsa-sha2-nistp256 SECRET_STRING_HERE_IS_REDACTED= cwaltham@b0be837a91bf.ant.amazon.com"

Para fazer login no sistema de arquivos usando SSH com credenciais do Active Directory

• O exemplo a seguir demonstra como efetuar SSH no sistema de arquivos com as credenciais do Active Directory, se você escolher ssh para o tipo -application. O username está no formato "domain-name\user-name", que é o nome do domínio e o nome de usuário que você forneceu ao criar a conta, separados por uma barra invertida e entre aspas.

  Fsx0123456::> ssh "CORP\user"@management.fs-abcdef01234567892.fsx.us-east-2.aws.com

  Quando solicitado a digitar uma senha, use a senha do usuário do Active Directory.