LDAP与NetApp存储安全集成方法

 　　许多数据中心都在网络文件系统上创建更先进的文件共享，该过程需要用户账号信息验证。如果正在使用Linux系统，那么可以将NetApp存储和LDAP集成，增强安全性。

　　大部分存储的权限控制都能与微软的活动目录授权集成，但为Linux系统配置Lightweight Directory Access Protocol(LDAP)集成却并非易事。

　　安全的文件共享需要用户授权验证，就如那些高级别数据共享和归档项目所要求的一样。如果Linux用户需要访问这些共享，存储设备首先必须要识别这些Linux用户账号。除了活动目录，也可以使用LDAP集成，但LDAP的配置比较复杂。好消息是NetAPP公司的存储支持LDAP服务器验证集成。接着，你可以在存储上设置文件访问权限，就如你在本地Linux文件服务器那样。

　　开始配置NetAPP存储与LDAP集成。通过SSH登录NetAPP存储的命令行模式。输入priv set advanced命令，此命令可以让你设置所有必须的安全参数。接着，输入options ldap,可以查看当前设置情况(你也可以通过浏览器网页的方式完成这些操作)：

　　ams5-fas2240-A*> options ldap

　　ldap.ADdomain

　　ldap.base dc=example,dc=com

　　ldap.base.group

　　ldap.base.netgroup

　　ldap.base.passwd

　　ldap.enable on

　　ldap.minimum_bind_level anonymous

　　ldap.name

　　ldap.nssmap.attribute.gecos gecos

　　ldap.nssmap.attribute.gidNumber gidNumber

　　ldap.nssmap.attribute.groupname cn

　　ldap.nssmap.attribute.homeDirectory homeDirectory

　　ldap.nssmap.attribute.loginShell loginShell

　　ldap.nssmap.attribute.memberNisNetgroup memberNisNetgroup

　　ldap.nssmap.attribute.memberUid memberUid

　　ldap.nssmap.attribute.netgroupname cn

　　ldap.nssmap.attribute.nisNetgroupTriple nisNetgroupTriple

　　ldap.nssmap.attribute.uid uid

　　ldap.nssmap.attribute.uidNumber uidNumber

　　ldap.nssmap.attribute.userPassword userPassword

　　ldap.nssmap.objectClass.nisNetgroup nisNetgroup

　　ldap.nssmap.objectClass.posixAccount posixAccount

　　ldap.nssmap.objectClass.posixGroup posixGroup

　　ldap.passwd ******

　　ldap.port 389

　　ldap.servers ut01.example.local

　　ldap.servers.preferred ut01.example.local

　　ldap.ssl.enable off

　　ldap.timeout 20

　　ldap.usermap.attribute.unixaccount unixaccount

　　ldap.usermap.attribute.windowsaccount windowsaccount

　　ldap.usermap.base

　　ldap.usermap.enable off

　　如果有任何参数设置错误，可以使用options ldap.base命令来设置正确的搜索域：

　　ams5-fas2240-A*> options ldap.base dc=commerce-hub,dc=local

　　通过命令设置好搜索域之后，需要从LDAP目录服务中获取信息。getXXbyYY命令可以显示系统是如何针对arnaud账号进行验证的：

　　ams5-fas2240-A*> getXXbyYY getpwbyname_r arnaud

　　pw_name = arnaud

　　pw_passwd = {{******}}

　　pw_uid = 1002, pw_gid = 100

　　pw_gecos =

　　pw_dir = /home/arnaud

　　pw_shell = /bin/bash

　　ams5-fas2240-A*> getXXbyYY getpwbyname_r linda

　　pw_name = linda

　　pw_passwd = {{******}}

　　pw_uid = 1001, pw_gid = 100

　　pw_gecos =

　　pw_dir = /home/linda

　　pw_shell = /bin/bash

　　存储在对LDAP服务器传来的用户账号信息验证通过后;接着会确保其在所有层面都工作正常。修改nsswitch.conf文件的配置信息，需要具备读写权限，使用文件编辑器打开/etc/nsswitch.conf文件。文件中应该包含如下几行内容：

　　ams5-fas2240-B> wrfile /etc/nsswitch.conf

　　hosts: files dns nis

　　passwd: ldap files nis

　　netgroup: ldap files nis

　　group: ldap files nis

　　shadow: files nis

　　现在，存储设备已经可以通过LDAP服务器获得用户信息了。如此这般，NetApp存储与LDAP服务器用户验证集成后，可以正常控制网络文件系统(NFS)共享的权限设定。可以使用options nfs.v4.acl.enable命令切换NFSv4访问控制列表。你还可以将Linux系统的ACL应用在NetApp存储上，这样可以让存储更像Linux文件目录那样，具备对应的权限：

　　ams5-fas2240-B> options nfs.v4.acl.enable on

　　nfs.v4.acl.enable选项的变更会影响在占用模式下高可用性配置中的所有成员。需要确保改参数和高可用配对中的成员权限一致。

　　NetApp存储现在已经完全与Linux环境集成，管理员们可以将其当作本地Linux文件系统使用了