允许 AD 用户及组访问集群和 SVM

您可以允许 Active Directory (AD) 域用户及组访问集群和 SVM。通过为 AD 组授予访问权限,该组中的所有 AD 用户便可访问集群或指定的 SVM

开始之前

步骤

  1. 要设置 AD 用户或组对集群的访问,请完成以下步骤之一:
    • 如果集群已有创建了 CIFS 服务器的数据 SVM,您可以通过使用 security login domain-tunnel create 命令并将 -vserver 参数设置为该数据 SVM,使用该数据 SVM 作为身份验证通道。

      security login domain-tunnel show 命令可以显示指定的身份验证通道。

    • 如果集群没有创建了 CIFS 服务器的数据 SVM,您可以通过使用 vserver active-directory create 命令并将 -vserver 参数设置为某个数据 SVM,使用集群中的任何数据 SVM 并将其加入域。

      将数据 SVM 加入域不会创建 CIFS 服务器或需要 CIFS 许可证。但是,会在 SVM 或集群级别启用 AD 用户和组的身份验证。

  2. 使用 security login create 命令并将 -authmethod 参数设置为 domain,以便为 AD 用户或组授予对集群或 SVM 的访问权限。

    -user-or-group-name 参数的值必须按 domainname\username 格式指定,其中,domainname 是 CIFS 域服务器的名称,username 是要授予访问权限的 AD 用户或组。

    AD 用户身份验证和 AD 组身份验证仅支持将 sshontapi 用于 -application 参数。

    如果删除身份验证通道,集群将无法对 AD 登录会话进行身份验证,因此 AD 用户和组将无法访问集群。如果打开的会话早已在身份验证通道删除之前经过身份验证,这些会话并不会受到影响。

允许 AD 用户或组访问集群或 SVM 的示例

以下示例指定 “vs1” 数据 SVM 作为集群将用于对 AD 用户或组进行身份验证的通道,然后显示该身份验证通道:

cluster1::> security login domain-tunnel create -vserver vs1

cluster1::> security login domain-tunnel show
	Tunnel Vserver: vs1

以下命令允许“DOMAIN1”域的“Administrator”AD 用户通过 SSH 访问集群:

cluster1::> security login create -vserver cluster1  
-user-or-group-name DOMAIN1\Administrator -application ssh 
-authmethod domain

以下命令允许“DOMAIN1”域中“group1”AD 组的所有用户通过 SSH 访问集群:

cluster1::> security login create -vserver cluster1 
-user-or-group-name DOMAIN1\group1 -application ssh 
-authmethod domain

以下命令允许“DOMAIN1”域的“Administrator”AD 用户通过 SSH 访问“vs1”SVM

cluster1::> security login create -vserver vs1 
-user-or-group-name DOMAIN1\Administrator -application ssh 
-authmethod domain

以下命令允许“DOMAIN1”域中“group1”AD 组的所有用户通过 SSH 访问“vs2”SVM

cluster1::> security login create -vserver vs2 
-user-or-group-name DOMAIN1\group1 -application ssh 
-authmethod domain