织梦CMS - 轻松建站从此开始!

六六互联

六六互联
当前位置: 主页 > 仿牌空间 >

Linux系统管理:LDAP与NetApp存储安全集成方法

时间:2015-01-11 12:15来源:未知 作者:admin 点击:
许多数据中心都在网络文件系统上创建更先进的文件共享,该过程需要用户账号信息验证。如果正在使用Linux系统,那么可以将NetApp存储和LDAP集成,增强安全性。 大部分存储的权限控制
许多数据中心都在网络文件系统上创建更先进的文件共享,该过程需要用户账号信息验证。如果正在使用Linux系统,那么可以将NetApp存储和LDAP集成,增强安全性。
 
 
大部分存储的权限控制都能与微软的活动目录授权集成,但为Linux系统配置Lightweight Directory Access Protocol(LDAP)集成却并非易事。
 
 
安全的文件共享需要用户授权验证,就如那些高级别数据共享和归档项目所要求的一样。如果Linux用户需要访问这些共享,存储设备首先必须要识别这些Linux用户账号。除了活动目录,也可以使用LDAP集成,但LDAP的配置比较复杂。好消息是NetAPP公司的存储支持LDAP服务器验证集成。接着,你可以在存储上设置文件访问权限,就如你在本地Linux文件服务器那样。
 
 
开始配置NetAPP存储与LDAP集成。通过SSH登录NetAPP存储的命令行模式。输入priv set advanced命令,此命令可以让你设置所有必须的安全参数。接着,输入options ldap,可以查看当前设置情况(你也可以通过浏览器网页的方式完成这些操作):
 
1.ams5-fas2240-A*> options ldap
 
2.ldap.ADdomain
 
3.ldap.base dc=example,dc=com
 
4.ldap.base.group
 
5.ldap.base.netgroup
 
6.ldap.base.passwd
 
7.ldap.enable on
 
8.ldap.minimum_bind_level anonymous
 
9.ldap.name
 
10.ldap.nssmap.attribute.gecos gecos
 
11.ldap.nssmap.attribute.gidNumber gidNumber
 
12.ldap.nssmap.attribute.groupname cn
 
13.ldap.nssmap.attribute.homeDirectory homeDirectory
 
14.ldap.nssmap.attribute.loginShell loginShell
 
15.ldap.nssmap.attribute.memberNisNetgroup memberNisNetgroup
 
16.ldap.nssmap.attribute.memberUid memberUid
 
17.ldap.nssmap.attribute.netgroupname cn
 
18.ldap.nssmap.attribute.nisNetgroupTriple nisNetgroupTriple
 
19.ldap.nssmap.attribute.uid uid
 
20.ldap.nssmap.attribute.uidNumber uidNumber
 
21.ldap.nssmap.attribute.userPassword userPassword
 
22.ldap.nssmap.objectClass.nisNetgroup nisNetgroup
 
23.ldap.nssmap.objectClass.posixAccount posixAccount
 
24.ldap.nssmap.objectClass.posixGroup posixGroup
 
25.ldap.passwd ******
 
26.ldap.port 389
 
27.ldap.servers ut01.example.local
 
28.ldap.servers.preferred ut01.example.local
 
29.ldap.ssl.enable off
 
30.ldap.timeout 20
 
31.ldap.usermap.attribute.unixaccount unixaccount
 
32.ldap.usermap.attribute.windowsaccount windowsaccount
 
33.ldap.usermap.base
 
34.ldap.usermap.enable off
 
 
如果有任何参数设置错误,可以使用options ldap.base命令来设置正确的搜索域:
 
ams5-fas2240-A*> options ldap.base dc=commerce-hub,dc=local
 
 
通过命令设置好搜索域之后,需要从LDAP目录服务中获取信息。getXXbyYY命令可以显示系统是如何针对arnaud账号进行验证的:
 
1.ams5-fas2240-A*> getXXbyYY getpwbyname_r arnaud
 
2.pw_name = arnaud
 
3.pw_passwd = {{******}}
 
4.pw_uid = 1002, pw_gid = 100
 
5.pw_gecos =
 
6.pw_dir = /home/arnaud
 
7.pw_shell = /bin/bash
 
8.ams5-fas2240-A*> getXXbyYY getpwbyname_r linda
 
9.pw_name = linda
 
10.pw_passwd = {{******}}
 
11.pw_uid = 1001, pw_gid = 100
 
12.pw_gecos =
 
13.pw_dir = /home/linda
 
14.pw_shell = /bin/bash
 
 
存储在对LDAP服务器传来的用户账号信息验证通过后;接着会确保其在所有层面都工作正常。修改nsswitch.conf文件的配置信息,需要具备读写权限,使用文件编辑器打开/etc/nsswitch.conf文件。文件中应该包含如下几行内容:
 
1.ams5-fas2240-B> wrfile /etc/nsswitch.conf
 
2.hosts: files dns nis
 
3.passwd: ldap files nis
 
4.netgroup: ldap files nis
 
5.Group: ldap files nis
 
6.shadow: files nis
 
 
现在,存储设备已经可以通过LDAP服务器获得用户信息了。如此这般,NetApp存储与LDAP服务器用户验证集成后,可以正常控制网络文件系统(NFS)共享的权限设定。可以使用options nfs.v4.acl.enable命令切换NFSv4访问控制列表。你还可以将Linux系统的ACL应用在NetApp存储上,这样可以让存储更像Linux文件目录那样,具备对应的权限:
 
ams5-fas2240-B> options nfs.v4.acl.enable on
 
 
nfs.v4.acl.enable选项的变更会影响在占用模式下高可用性配置中的所有成员。需要确保改参数和高可用配对中的成员权限一致。
 
 
NetApp存储现在已经完全与Linux环境集成,管理员们可以将其当作本地Linux文件系统使用了。
(责任编辑:admin)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
六六互联