許多數(shù)據(jù)中心都在網(wǎng)絡(luò)文件系統(tǒng)上創(chuàng)建更先進的文件共享���,該過程需要用戶賬號信息驗證�。如果正在使用Linux系統(tǒng),那么可以將NetApp存儲和LDAP集成�����,增強安全性�。
大部分存儲的權(quán)限控制都能與微軟的活動目錄授權(quán)集成,但為Linux系統(tǒng)配置Lightweight Directory Access Protocol(LDAP)集成卻并非易事�。
安全的文件共享需要用戶授權(quán)驗證,就如那些高級別數(shù)據(jù)共享和歸檔項目所要求的一樣�����。如果Linux用戶需要訪問這些共享����,存儲設(shè)備首先必須要識別這些Linux用戶賬號。除了活動目錄�,也可以使用LDAP集成,但LDAP的配置比較復(fù)雜���。好消息是NetAPP公司的存儲支持LDAP服務(wù)器驗證集成�。接著���,你可以在存儲上設(shè)置文件訪問權(quán)限��,就如你在本地Linux文件服務(wù)器那樣���。
開始配置NetAPP存儲與LDAP集成���。通過SSH登錄NetAPP存儲的命令行模式。輸入priv set advanced命令�����,此命令可以讓你設(shè)置所有必須的安全參數(shù)���。接著���,輸入options ldap,可以查看當前設(shè)置情況(你也可以通過瀏覽器網(wǎng)頁的方式完成這些操作):
ams5-fas2240-A*> options ldap
ldap.ADdomain
ldap.base dc=example,dc=com
ldap.base.group
ldap.base.netgroup
ldap.base.passwd
ldap.enable on
ldap.minimum_bind_level anonymous
ldap.name
ldap.nssmap.attribute.gecos gecos
ldap.nssmap.attribute.gidNumber gidNumber
ldap.nssmap.attribute.groupname cn
ldap.nssmap.attribute.homeDirectory homeDirectory
ldap.nssmap.attribute.loginShell loginShell
ldap.nssmap.attribute.memberNisNetgroup memberNisNetgroup
ldap.nssmap.attribute.memberUid memberUid
ldap.nssmap.attribute.netgroupname cn
ldap.nssmap.attribute.nisNetgroupTriple nisNetgroupTriple
ldap.nssmap.attribute.uid uid
ldap.nssmap.attribute.uidNumber uidNumber
ldap.nssmap.attribute.userPassword userPassword
ldap.nssmap.objectClass.nisNetgroup nisNetgroup
ldap.nssmap.objectClass.posixAccount posixAccount
ldap.nssmap.objectClass.posixGroup posixGroup
ldap.passwd ******
ldap.port 389
ldap.servers ut01.example.local
ldap.servers.preferred ut01.example.local
ldap.ssl.enable off
ldap.timeout 20
ldap.usermap.attribute.unixaccount unixaccount
ldap.usermap.attribute.windowsaccount windowsaccount
ldap.usermap.base
ldap.usermap.enable off
如果有任何參數(shù)設(shè)置錯誤,可以使用options ldap.base命令來設(shè)置正確的搜索域:
ams5-fas2240-A*> options ldap.base dc=commerce-hub,dc=local
通過命令設(shè)置好搜索域之后�����,需要從LDAP目錄服務(wù)中獲取信息��。getXXbyYY命令可以顯示系統(tǒng)是如何針對arnaud賬號進行驗證的:
ams5-fas2240-A*> getXXbyYY getpwbyname_r arnaud
pw_name = arnaud
pw_passwd = {{******}}
pw_uid = 1002, pw_gid = 100
pw_gecos =
pw_dir = /home/arnaud
pw_shell = /bin/bash
ams5-fas2240-A*> getXXbyYY getpwbyname_r linda
pw_name = linda
pw_passwd = {{******}}
pw_uid = 1001, pw_gid = 100
pw_gecos =
pw_dir = /home/linda
pw_shell = /bin/bash
存儲在對LDAP服務(wù)器傳來的用戶賬號信息驗證通過后;接著會確保其在所有層面都工作正常�。修改nsswitch.conf文件的配置信息�����,需要具備讀寫權(quán)限,使用文件編輯器打開/etc/nsswitch.conf文件����。文件中應(yīng)該包含如下幾行內(nèi)容:
ams5-fas2240-B> wrfile /etc/nsswitch.conf
hosts: files dns nis
passwd: ldap files nis
netgroup: ldap files nis
group: ldap files nis
shadow: files nis
現(xiàn)在,存儲設(shè)備已經(jīng)可以通過LDAP服務(wù)器獲得用戶信息了���。如此這般�,NetApp存儲與LDAP服務(wù)器用戶驗證集成后��,可以正?�?刂凭W(wǎng)絡(luò)文件系統(tǒng)(NFS)共享的權(quán)限設(shè)定����。可以使用options nfs.v4.acl.enable命令切換NFSv4訪問控制列表�。你還可以將Linux系統(tǒng)的ACL應(yīng)用在NetApp存儲上,這樣可以讓存儲更像Linux文件目錄那樣�����,具備對應(yīng)的權(quán)限:
ams5-fas2240-B> options nfs.v4.acl.enable on
nfs.v4.acl.enable選項的變更會影響在占用模式下高可用性配置中的所有成員����。需要確保改參數(shù)和高可用配對中的成員權(quán)限一致����。
NetApp存儲現(xiàn)在已經(jīng)完全與Linux環(huán)境集成���,管理員們可以將其當作本地Linux文件系統(tǒng)使用了
