许多数据中心都在网络文件系统上创建更先进的文件共享,该过程需要用户账号信息验证。如果正在使用Linux系统,那么可以将NetApp存储和LDAP集成,增强安全性。
大部分存储的权限控制都能与微软的活动目录授权集成,但为Linux系统配置Lightweight Directory Access Protocol(LDAP)集成却并非易事。
安全的文件共享需要用户授权验证,就如那些高级别数据共享和归档项目所要求的一样。如果Linux用户需要访问这些共享,存储设备首先必须要识别这些Linux用户账号。除了活动目录,也可以使用LDAP集成,但LDAP的配置比较复杂。好消息是NetAPP公司的存储支持LDAP服务器验证集成。接着,你可以在存储上设置文件访问权限,就如你在本地Linux文件服务器那样。
开始配置NetAPP存储与LDAP集成。通过SSH登录NetAPP存储的命令行模式。输入priv set advanced命令,此命令可以让你设置所有必须的安全参数。接着,输入options ldap,可以查看当前设置情况(你也可以通过浏览器网页的方式完成这些操作):
ams5-fas2240-A*> options ldap
ldap.ADdomain
ldap.base dc=example,dc=com
ldap.base.group
ldap.base.netgroup
ldap.base.passwd
ldap.enable on
ldap.minimum_bind_level anonymous
ldap.name
ldap.nssmap.attribute.gecos gecos
ldap.nssmap.attribute.gidNumber gidNumber
ldap.nssmap.attribute.groupname cn
ldap.nssmap.attribute.homeDirectory homeDirectory
ldap.nssmap.attribute.loginShell loginShell
ldap.nssmap.attribute.memberNisNetgroup memberNisNetgroup
ldap.nssmap.attribute.memberUid memberUid
ldap.nssmap.attribute.netgroupname cn
ldap.nssmap.attribute.nisNetgroupTriple nisNetgroupTriple
ldap.nssmap.attribute.uid uid
ldap.nssmap.attribute.uidNumber uidNumber
ldap.nssmap.attribute.userPassword userPassword
ldap.nssmap.objectClass.nisNetgroup nisNetgroup
ldap.nssmap.objectClass.posixAccount posixAccount
ldap.nssmap.objectClass.posixGroup posixGroup
ldap.passwd ******
ldap.port 389
ldap.servers ut01.example.local
ldap.servers.preferred ut01.example.local
ldap.ssl.enable off
ldap.timeout 20
ldap.usermap.attribute.unixaccount unixaccount
ldap.usermap.attribute.windowsaccount windowsaccount
ldap.usermap.base
ldap.usermap.enable off
如果有任何参数设置错误,可以使用options ldap.base命令来设置正确的搜索域:
ams5-fas2240-A*> options ldap.base dc=commerce-hub,dc=local
通过命令设置好搜索域之后,需要从LDAP目录服务中获取信息。getXXbyYY命令可以显示系统是如何针对arnaud账号进行验证的:
ams5-fas2240-A*> getXXbyYY getpwbyname_r arnaud
pw_name = arnaud
pw_passwd = {{******}}
pw_uid = 1002, pw_gid = 100
pw_gecos =
pw_dir = /home/arnaud
pw_shell = /bin/bash
ams5-fas2240-A*> getXXbyYY getpwbyname_r linda
pw_name = linda
pw_passwd = {{******}}
pw_uid = 1001, pw_gid = 100
pw_gecos =
pw_dir = /home/linda
pw_shell = /bin/bash
存储在对LDAP服务器传来的用户账号信息验证通过后;接着会确保其在所有层面都工作正常。修改nsswitch.conf文件的配置信息,需要具备读写权限,使用文件编辑器打开/etc/nsswitch.conf文件。文件中应该包含如下几行内容:
ams5-fas2240-B> wrfile /etc/nsswitch.conf
hosts: files dns nis
passwd: ldap files nis
netgroup: ldap files nis
group: ldap files nis
shadow: files nis
现在,存储设备已经可以通过LDAP服务器获得用户信息了。如此这般,NetApp存储与LDAP服务器用户验证集成后,可以正常控制网络文件系统(NFS)共享的权限设定。可以使用options nfs.v4.acl.enable命令切换NFSv4访问控制列表。你还可以将Linux系统的ACL应用在NetApp存储上,这样可以让存储更像Linux文件目录那样,具备对应的权限:
ams5-fas2240-B> options nfs.v4.acl.enable on
nfs.v4.acl.enable选项的变更会影响在占用模式下高可用性配置中的所有成员。需要确保改参数和高可用配对中的成员权限一致。
NetApp存储现在已经完全与Linux环境集成,管理员们可以将其当作本地Linux文件系统使用了