Linux系統管理:LDAP與NetApp存儲安全集成方法
許多數據中心都在網絡文件系統上創建更先進的文件共享,該過程需要用戶賬號信息驗證。如果正在使用Linux系統,那么可以將NetApp存儲和LDAP集成,增強安全性。
大部分存儲的權限控制都能與微軟的活動目錄授權集成,但為Linux系統配置Lightweight Directory Access Protocol(LDAP)集成卻并非易事。
安全的文件共享需要用戶授權驗證,就如那些高級別數據共享和歸檔項目所要求的一樣。如果Linux用戶需要訪問這些共享,存儲設備首先必須要識別這些Linux用戶賬號。除了活動目錄,也可以使用LDAP集成,但LDAP的配置比較復雜。好消息是NetAPP公司的存儲支持LDAP服務器驗證集成。接著,你可以在存儲上設置文件訪問權限,就如你在本地Linux文件服務器那樣。
開始配置NetAPP存儲與LDAP集成。通過SSH登錄NetAPP存儲的命令行模式。輸入priv set advanced命令,此命令可以讓你設置所有必須的安全參數。接著,輸入options ldap,可以查看當前設置情況(你也可以通過瀏覽器網頁的方式完成這些操作):
- ams5-fas2240-A*> options ldap
- ldap.ADdomain
- ldap.base dc=example,dc=com
- ldap.base.group
- ldap.base.netgroup
- ldap.base.passwd
- ldap.enable on
- ldap.minimum_bind_level anonymous
- ldap.name
- ldap.nssmap.attribute.gecos gecos
- ldap.nssmap.attribute.gidNumber gidNumber
- ldap.nssmap.attribute.groupname cn
- ldap.nssmap.attribute.homeDirectory homeDirectory
- ldap.nssmap.attribute.loginShell loginShell
- ldap.nssmap.attribute.memberNisNetgroup memberNisNetgroup
- ldap.nssmap.attribute.memberUid memberUid
- ldap.nssmap.attribute.netgroupname cn
- ldap.nssmap.attribute.nisNetgroupTriple nisNetgroupTriple
- ldap.nssmap.attribute.uid uid
- ldap.nssmap.attribute.uidNumber uidNumber
- ldap.nssmap.attribute.userPassword userPassword
- ldap.nssmap.objectClass.nisNetgroup nisNetgroup
- ldap.nssmap.objectClass.posixAccount posixAccount
- ldap.nssmap.objectClass.posixGroup posixGroup
- ldap.passwd ******
- ldap.port 389
- ldap.servers ut01.example.local
- ldap.servers.preferred ut01.example.local
- ldap.ssl.enable off
- ldap.timeout 20
- ldap.usermap.attribute.unixaccount unixaccount
- ldap.usermap.attribute.windowsaccount windowsaccount
- ldap.usermap.base
- ldap.usermap.enable off
如果有任何參數設置錯誤,可以使用options ldap.base命令來設置正確的搜索域:
- ams5-fas2240-A*> options ldap.base dc=commerce-hub,dc=local
通過命令設置好搜索域之后,需要從LDAP目錄服務中獲取信息。getXXbyYY命令可以顯示系統是如何針對arnaud賬號進行驗證的:
- ams5-fas2240-A*> getXXbyYY getpwbyname_r arnaud
- pw_name = arnaud
- pw_passwd = {{******}}
- pw_uid = 1002, pw_gid = 100
- pw_gecos =
- pw_dir = /home/arnaud
- pw_shell = /bin/bash
- ams5-fas2240-A*> getXXbyYY getpwbyname_r linda
- pw_name = linda
- pw_passwd = {{******}}
- pw_uid = 1001, pw_gid = 100
- pw_gecos =
- pw_dir = /home/linda
- pw_shell = /bin/bash
存儲在對LDAP服務器傳來的用戶賬號信息驗證通過后;接著會確保其在所有層面都工作正常。修改nsswitch.conf文件的配置信息,需要具備讀寫權限,使用文件編輯器打開/etc/nsswitch.conf文件。文件中應該包含如下幾行內容:
- ams5-fas2240-B> wrfile /etc/nsswitch.conf
- hosts: files dns nis
- passwd: ldap files nis
- netgroup: ldap files nis
- group: ldap files nis
- shadow: files nis
現在,存儲設備已經可以通過LDAP服務器獲得用戶信息了。如此這般,NetApp存儲與LDAP服務器用戶驗證集成后,可以正常控制網絡文件系統(NFS)共享的權限設定。可以使用options nfs.v4.acl.enable命令切換NFSv4訪問控制列表。你還可以將Linux系統的ACL應用在NetApp存儲上,這樣可以讓存儲更像Linux文件目錄那樣,具備對應的權限:
- ams5-fas2240-B> options nfs.v4.acl.enable on
nfs.v4.acl.enable選項的變更會影響在占用模式下高可用性配置中的所有成員。需要確保改參數和高可用配對中的成員權限一致。
NetApp存儲現在已經完全與Linux環境集成,管理員們可以將其當作本地Linux文件系統使用了。
