CIFSライセンスがない場合にクラスタのAD認証を設定する方法
環境
- ONTAP 9.16.1以降
- Active Directory(AD)
概要
- ONTAP 9.16.1以降、CIFSライセンスがない場合にADドメインユーザおよびグループがクラスタとSVMにアクセスできるようにするには、この手順を使用します。
- 管理SVMが設定されている場合、ドメイントンネルは不要です。
- データSVMが設定されている場合、ドメイントンネルが必要です。
- AD認証が適切に設定されていない場合、ユーザがクラスタにログインしようとすると、次のエラーがmessages.logに記録されます。
MESSAGES.LOG:
00000027.046d4c91 3db22b6e Fri Oct 12 2018 12:11:25 +11:00 [auth_sshd:info:83202] Invalid user Domain\\AD_user from 10.21.xx.yy
00000027.046d4c94 3db22bd2 Fri Oct 12 2018 12:11:35 +11:00 [auth_sshd:error:83212] in do_pam_domain_auth(): ERROR: do_pam_domain_auth: AUTH of user: Domain\AD_user Failed
00000027.046d4c95 3db22bd2 Fri Oct 12 2018 12:11:35 +11:00 [auth_sshd:error:83202] error: PAM: authentication error for Domain\\AD_user from 10.21.xx.yy
手順
- data-protocolをnoneに設定してデータLIFを作成します:
::> network interface create -vserver svm01 -lif adlif -role data -data-protocol none -home-node Node01 -home-port e0a -address a.b.c.d -netmask 255.255.255.0 -status-admin up注:パラメータ
-roleはONTAP 9.6以降で廃止されています- ホスト名解決に使用するDNSの有効化
- 管理SVM(ONTAP 9.16.1+)を設定するか、クラスタ内の任意のデータSVMを使用してドメインに参加させます。
::> vserver active-directory create -vserver svm01 -account-name <NetBIOS_name> -domain <domain_name>注:
- データSVMをドメインに参加させても、CIFSサーバは作成されず、CIFSライセンスも必要ありません。
- ただし、ADユーザーおよびグループの認証がSVMレベルまたはクラスタレベルで有効になります。
- コンピュータを組織単位(OU)に追加するための十分な権限を持つユーザーアカウントのクレデンシャルが必要です。
- security login createコマンドを使用し、-authmethodパラメータをdomainに設定して、ADユーザまたはグループにクラスタへのアクセスを許可します。
::> security login create -vserver <cluster_name> -user-or-group-name DOMAIN1\AD_user -application ssh -authmethod domain注: 手順1のLIFに関連するSVMを使用します。クラスタLIFを介してアクセスを付与する場合はクラスタSVM、データSVMにアクセスを付与する場合はデータSVMを使用します。
- データSVMを手順3 で使用した場合は、ADログインセッションがクラスタによって認証されるようにドメイントンネルを作成します。
::> security login domain-tunnel create -vserver svm01
::> security login domain-tunnel show
Tunnel Vserver: svm01メモ:
- ドメイン トンネリングは、CIFSライセンスがなくても作成できます。
- 手順3でadmin SVMを使用した場合、この手順は省略できます。
追加情報