LDAP與NetApp存儲安全集成方法

 　　許多數據中心都在網絡文件系統上創建更先進的文件共享，該過程需要用戶賬號信息驗證。如果正在使用Linux系統，那麼可以將NetApp存儲和LDAP集成，增強安全性。

　　大部分存儲的權限控制都能與微軟的活動目錄授權集成，但為Linux系統配置Lightweight Directory Access Protocol(LDAP)集成卻並非易事。

　　安全的文件共享需要用戶授權驗證，就如那些高級別數據共享和歸檔項目所要求的一樣。如果Linux用戶需要訪問這些共享，存儲設備首先必須要識別這些Linux用戶賬號。除了活動目錄，也可以使用LDAP集成，但LDAP的配置比較復雜。好消息是NetAPP公司的存儲支持LDAP服務器驗證集成。接著，你可以在存儲上設置文件訪問權限，就如你在本地Linux文件服務器那樣。

　　開始配置NetAPP存儲與LDAP集成。通過SSH登錄NetAPP存儲的命令行模式。輸入priv set advanced命令，此命令可以讓你設置所有必須的安全參數。接著，輸入options ldap,可以查看當前設置情況(你也可以通過浏覽器網頁的方式完成這些操作)：

　　ams5-fas2240-A*> options ldap

　　ldap.ADdomain

　　ldap.base dc=example,dc=com

　　ldap.base.group

　　ldap.base.netgroup

　　ldap.base.passwd

　　ldap.enable on

　　ldap.minimum_bind_level anonymous

　　ldap.name

　　ldap.nssmap.attribute.gecos gecos

　　ldap.nssmap.attribute.gidNumber gidNumber

　　ldap.nssmap.attribute.groupname cn

　　ldap.nssmap.attribute.homeDirectory homeDirectory

　　ldap.nssmap.attribute.loginShell loginShell

　　ldap.nssmap.attribute.memberNisNetgroup memberNisNetgroup

　　ldap.nssmap.attribute.memberUid memberUid

　　ldap.nssmap.attribute.netgroupname cn

　　ldap.nssmap.attribute.nisNetgroupTriple nisNetgroupTriple

　　ldap.nssmap.attribute.uid uid

　　ldap.nssmap.attribute.uidNumber uidNumber

　　ldap.nssmap.attribute.userPassword userPassword

　　ldap.nssmap.objectClass.nisNetgroup nisNetgroup

　　ldap.nssmap.objectClass.posixAccount posixAccount

　　ldap.nssmap.objectClass.posixGroup posixGroup

　　ldap.passwd ******

　　ldap.port 389

　　ldap.servers ut01.example.local

　　ldap.servers.preferred ut01.example.local

　　ldap.ssl.enable off

　　ldap.timeout 20

　　ldap.usermap.attribute.unixaccount unixaccount

　　ldap.usermap.attribute.windowsaccount windowsaccount

　　ldap.usermap.base

　　ldap.usermap.enable off

　　如果有任何參數設置錯誤，可以使用options ldap.base命令來設置正確的搜索域：

　　ams5-fas2240-A*> options ldap.base dc=commerce-hub,dc=local

　　通過命令設置好搜索域之後，需要從LDAP目錄服務中獲取信息。getXXbyYY命令可以顯示系統是如何針對arnaud賬號進行驗證的：

　　ams5-fas2240-A*> getXXbyYY getpwbyname_r arnaud

　　pw_name = arnaud

　　pw_passwd = {{******}}

　　pw_uid = 1002, pw_gid = 100

　　pw_gecos =

　　pw_dir = /home/arnaud

　　pw_shell = /bin/bash

　　ams5-fas2240-A*> getXXbyYY getpwbyname_r linda

　　pw_name = linda

　　pw_passwd = {{******}}

　　pw_uid = 1001, pw_gid = 100

　　pw_gecos =

　　pw_dir = /home/linda

　　pw_shell = /bin/bash

　　存儲在對LDAP服務器傳來的用戶賬號信息驗證通過後;接著會確保其在所有層面都工作正常。修改nsswitch.conf文件的配置信息，需要具備讀寫權限，使用文件編輯器打開/etc/nsswitch.conf文件。文件中應該包含如下幾行內容：

　　ams5-fas2240-B> wrfile /etc/nsswitch.conf

　　hosts: files dns nis

　　passwd: ldap files nis

　　netgroup: ldap files nis

　　group: ldap files nis

　　shadow: files nis

　　現在，存儲設備已經可以通過LDAP服務器獲得用戶信息了。如此這般，NetApp存儲與LDAP服務器用戶驗證集成後，可以正常控制網絡文件系統(NFS)共享的權限設定。可以使用options nfs.v4.acl.enable命令切換NFSv4訪問控制列表。你還可以將Linux系統的ACL應用在NetApp存儲上，這樣可以讓存儲更像Linux文件目錄那樣，具備對應的權限：

　　ams5-fas2240-B> options nfs.v4.acl.enable on

　　nfs.v4.acl.enable選項的變更會影響在占用模式下高可用性配置中的所有成員。需要確保改參數和高可用配對中的成員權限一致。

　　NetApp存儲現在已經完全與Linux環境集成，管理員們可以將其當作本地Linux文件系統使用了