许多数据中心都在网络文件系统上创建更先进的文件共享,该过程需要用户账号信息验证。如果正在使用Linux系统,那么可以将NetApp存储和LDAP集成,增强安全性。
大部分存储的权限控制都能与微软的活动目录授权集成,但为Linux系统配置Lightweight Directory Access Protocol(LDAP)集成却并非易事。
安全的文件共享需要用户授权验证,就如那些高级别数据共享和归档项目所要求的一样。如果Linux用户需要访问这些共享,存储设备首先必须要识别这些Linux用户账号。除了活动目录,也可以使用LDAP集成,但LDAP的配置比较复杂。好消息是NetAPP公司的存储支持LDAP服务器验证集成。接着,你可以在存储上设置文件访问权限,就如你在本地Linux文件服务器那样。
开始配置NetAPP存储与LDAP集成。通过SSH登录NetAPP存储的命令行模式。输入priv set advanced命令,此命令可以让你设置所有必须的安全参数。接着,输入options ldap,可以查看当前设置情况(你也可以通过浏览器网页的方式完成这些操作):
- ams5-fas2240-A*> options ldap
- ldap.ADdomain
- ldap.base dc=example,dc=com
- ldap.base.group
- ldap.base.netgroup
- ldap.base.passwd
- ldap.enable on
- ldap.minimum_bind_level anonymous
- ldap.name
- ldap.nssmap.attribute.gecos gecos
- ldap.nssmap.attribute.gidNumber gidNumber
- ldap.nssmap.attribute.groupname cn
- ldap.nssmap.attribute.homeDirectory homeDirectory
- ldap.nssmap.attribute.loginShell loginShell
- ldap.nssmap.attribute.memberNisNetgroup memberNisNetgroup
- ldap.nssmap.attribute.memberUid memberUid
- ldap.nssmap.attribute.netgroupname cn
- ldap.nssmap.attribute.nisNetgroupTriple nisNetgroupTriple
- ldap.nssmap.attribute.uid uid
- ldap.nssmap.attribute.uidNumber uidNumber
- ldap.nssmap.attribute.userPassword userPassword
- ldap.nssmap.objectClass.nisNetgroup nisNetgroup
- ldap.nssmap.objectClass.posixAccount posixAccount
- ldap.nssmap.objectClass.posixGroup posixGroup
- ldap.passwd ******
- ldap.port 389
- ldap.servers ut01.example.local
- ldap.servers.preferred ut01.example.local
- ldap.ssl.enable off
- ldap.timeout 20
- ldap.usermap.attribute.unixaccount unixaccount
- ldap.usermap.attribute.windowsaccount windowsaccount
- ldap.usermap.base
- ldap.usermap.enable off
如果有任何参数设置错误,可以使用options ldap.base命令来设置正确的搜索域:
- ams5-fas2240-A*> options ldap.base dc=commerce-hub,dc=local
通过命令设置好搜索域之后,需要从LDAP目录服务中获取信息。getXXbyYY命令可以显示系统是如何针对arnaud账号进行验证的:
- ams5-fas2240-A*> getXXbyYY getpwbyname_r arnaud
- pw_name = arnaud
- pw_passwd = {{******}}
- pw_uid = 1002, pw_gid = 100
- pw_gecos =
- pw_dir = /home/arnaud
- pw_shell = /bin/bash
- ams5-fas2240-A*> getXXbyYY getpwbyname_r linda
- pw_name = linda
- pw_passwd = {{******}}
- pw_uid = 1001, pw_gid = 100
- pw_gecos =
- pw_dir = /home/linda
- pw_shell = /bin/bash
存储在对LDAP服务器传来的用户账号信息验证通过后;接着会确保其在所有层面都工作正常。修改nsswitch.conf文件的配置信息,需要具备读写权限,使用文件编辑器打开/etc/nsswitch.conf文件。文件中应该包含如下几行内容:
- ams5-fas2240-B> wrfile /etc/nsswitch.conf
- hosts: files dns nis
- passwd: ldap files nis
- netgroup: ldap files nis
- group: ldap files nis
- shadow: files nis
现在,存储设备已经可以通过LDAP服务器获得用户信息了。如此这般,NetApp存储与LDAP服务器用户验证集成后,可以正常控制网络文件系统(NFS)共享的权限设定。可以使用options nfs.v4.acl.enable命令切换NFSv4访问控制列表。你还可以将Linux系统的ACL应用在NetApp存储上,这样可以让存储更像Linux文件目录那样,具备对应的权限:
- ams5-fas2240-B> options nfs.v4.acl.enable on
nfs.v4.acl.enable选项的变更会影响在占用模式下高可用性配置中的所有成员。需要确保改参数和高可用配对中的成员权限一致。
NetApp存储现在已经完全与Linux环境集成,管理员们可以将其当作本地Linux文件系统使用了。
