許多數(shù)據(jù)中心都在網(wǎng)絡(luò)文件系統(tǒng)上創(chuàng)建更先進(jìn)的文件共享,該過程需要用戶賬號(hào)信息驗(yàn)證。如果正在使用Linux系統(tǒng),那么可以將NetApp存儲(chǔ)和LDAP集成,增強(qiáng)安全性。
大部分存儲(chǔ)的權(quán)限控制都能與微軟的活動(dòng)目錄授權(quán)集成,但為L(zhǎng)inux系統(tǒng)配置Lightweight Directory Access Protocol(LDAP)集成卻并非易事。
安全的文件共享需要用戶授權(quán)驗(yàn)證,就如那些高級(jí)別數(shù)據(jù)共享和歸檔項(xiàng)目所要求的一樣。如果Linux用戶需要訪問這些共享,存儲(chǔ)設(shè)備首先必須要識(shí)別這些Linux用戶賬號(hào)。除了活動(dòng)目錄,也可以使用LDAP集成,但LDAP的配置比較復(fù)雜。好消息是NetAPP公司的存儲(chǔ)支持LDAP服務(wù)器驗(yàn)證集成。接著,你可以在存儲(chǔ)上設(shè)置文件訪問權(quán)限,就如你在本地Linux文件服務(wù)器那樣。
開始配置NetAPP存儲(chǔ)與LDAP集成。通過SSH登錄NetAPP存儲(chǔ)的命令行模式。輸入priv set advanced命令,此命令可以讓你設(shè)置所有必須的安全參數(shù)。接著,輸入options ldap,可以查看當(dāng)前設(shè)置情況(你也可以通過瀏覽器網(wǎng)頁的方式完成這些操作):
ams5-fas2240-A*> options ldap
ldap.ADdomain
ldap.base dc=example,dc=com
ldap.base.group
ldap.base.netgroup
ldap.base.passwd
ldap.enable on
ldap.minimum_bind_level anonymous
ldap.name
ldap.nssmap.attribute.gecos gecos
ldap.nssmap.attribute.gidNumber gidNumber
ldap.nssmap.attribute.groupname cn
ldap.nssmap.attribute.homeDirectory homeDirectory
ldap.nssmap.attribute.loginShell loginShell
ldap.nssmap.attribute.memberNisNetgroup memberNisNetgroup
ldap.nssmap.attribute.memberUid memberUid
ldap.nssmap.attribute.netgroupname cn
ldap.nssmap.attribute.nisNetgroupTriple nisNetgroupTriple
ldap.nssmap.attribute.uid uid
ldap.nssmap.attribute.uidNumber uidNumber
ldap.nssmap.attribute.userPassword userPassword
ldap.nssmap.objectClass.nisNetgroup nisNetgroup
ldap.nssmap.objectClass.posixAccount posixAccount
ldap.nssmap.objectClass.posixGroup posixGroup
ldap.passwd ******
ldap.port 389
ldap.servers ut01.example.local
ldap.servers.preferred ut01.example.local
ldap.ssl.enable off
ldap.timeout 20
ldap.usermap.attribute.unixaccount unixaccount
ldap.usermap.attribute.windowsaccount windowsaccount
ldap.usermap.base
ldap.usermap.enable off
如果有任何參數(shù)設(shè)置錯(cuò)誤,可以使用options ldap.base命令來設(shè)置正確的搜索域:
ams5-fas2240-A*> options ldap.base dc=commerce-hub,dc=local
通過命令設(shè)置好搜索域之后,需要從LDAP目錄服務(wù)中獲取信息。getXXbyYY命令可以顯示系統(tǒng)是如何針對(duì)arnaud賬號(hào)進(jìn)行驗(yàn)證的:
ams5-fas2240-A*> getXXbyYY getpwbyname_r arnaud
pw_name = arnaud
pw_passwd = {{******}}
pw_uid = 1002, pw_gid = 100
pw_gecos =
pw_dir = /home/arnaud
pw_shell = /bin/bash
ams5-fas2240-A*> getXXbyYY getpwbyname_r linda
pw_name = linda
pw_passwd = {{******}}
pw_uid = 1001, pw_gid = 100
pw_gecos =
pw_dir = /home/linda
pw_shell = /bin/bash
存儲(chǔ)在對(duì)LDAP服務(wù)器傳來的用戶賬號(hào)信息驗(yàn)證通過后;接著會(huì)確保其在所有層面都工作正常。修改nsswitch.conf文件的配置信息,需要具備讀寫權(quán)限,使用文件編輯器打開/etc/nsswitch.conf文件。文件中應(yīng)該包含如下幾行內(nèi)容:
ams5-fas2240-B> wrfile /etc/nsswitch.conf
hosts: files dns nis
passwd: ldap files nis
netgroup: ldap files nis
group: ldap files nis
shadow: files nis
現(xiàn)在,存儲(chǔ)設(shè)備已經(jīng)可以通過LDAP服務(wù)器獲得用戶信息了。如此這般,NetApp存儲(chǔ)與LDAP服務(wù)器用戶驗(yàn)證集成后,可以正常控制網(wǎng)絡(luò)文件系統(tǒng)(NFS)共享的權(quán)限設(shè)定。可以使用options nfs.v4.acl.enable命令切換NFSv4訪問控制列表。你還可以將Linux系統(tǒng)的ACL應(yīng)用在NetApp存儲(chǔ)上,這樣可以讓存儲(chǔ)更像Linux文件目錄那樣,具備對(duì)應(yīng)的權(quán)限:
ams5-fas2240-B> options nfs.v4.acl.enable on
nfs.v4.acl.enable選項(xiàng)的變更會(huì)影響在占用模式下高可用性配置中的所有成員。需要確保改參數(shù)和高可用配對(duì)中的成員權(quán)限一致。
NetApp存儲(chǔ)現(xiàn)在已經(jīng)完全與Linux環(huán)境集成,管理員們可以將其當(dāng)作本地Linux文件系統(tǒng)使用了