CIFSのライセンスがない場合のクラスタのAD認証の設定方法
のとう
のとう
環境
- ONTAP 9.16.1以降
- Active Directory(AD)
説明
- ONTAP 9.16.1以降では 、 CIFSのライセンスがない場合に、手順を使用してADドメインのユーザとグループがクラスタとSVMにアクセスできるようになりました。
- AD認証が正しく設定されていないと、ユーザがクラスタにログインしようとすると、messages.logに次のエラーが記録されます。
messages.log:
00000027.046d4c91 3db22b6e Fri Oct 12 2018 12:11:25 +11:00 [auth_sshd:info:83202] Invalid user Domain\\AD_user from 10.21.xx.yy
00000027.046d4c94 3db22bd2 Fri Oct 12 2018 12:11:35 +11:00 [auth_sshd:error:83212] in do_pam_domain_auth(): ERROR: do_pam_domain_auth: AUTH of user: Domain\AD_user Failed
00000027.046d4c95 3db22bd2 Fri Oct 12 2018 12:11:35 +11:00 [auth_sshd:error:83202] error: PAM: authentication error for Domain\\AD_user from 10.21.xx.yy
手順
- data-protocolをnoneに設定してデータLIFを作成します。
::> network interface create -vserver svm01 -lif adlif -role data -data-protocol none -home-node Node01 -home-port e0a -address a.b.c.d -netmask 255.255.255.0 -status-admin up注:パラメータ
-roleONTAP 9.6以降では非推奨です- ホスト名解決に使用するDNSの有効化
- クラスタ内の任意のデータSVMを使用し、 次のコマンドを使用してドメインに追加します。
::> vserver active-directory create -vserver svm01 -account-name <NetBIOS_name> -domain <domain_name>注:
- データSVMをドメインに追加してもCIFSサーバは作成されず、CIFSライセンスは必要ありません。ただし、SVMレベルまたはクラスタレベルでのADユーザとグループの認証が可能です。
- 組織単位(OU)にコンピュータを追加するための十分なPrivilegesを持つユーザアカウントのクレデンシャルが 必要です
- security login createコマンドで-authmethodパラメータをdomainに設定して、ADユーザまたはグループにクラスタへのアクセスを許可します。
::> security login create -vserver <cluster_name> -user-or-group-name DOMAIN1\AD_user -application ssh -authmethod domainメモ: クラスタLIFsまたは-data SVMを介してアクセスを許可する場合は、ステップ1:cluster SVMのLIFに関連するSVMを使用します(データSVMにアクセスを許可する場合)。
- さらに、ADログインセッションがクラスタによって認証されるように、ドメイントンネルを作成する必要があります。
::> security login domain-tunnel create -vserver svm01
::> security login domain-tunnel show
Tunnel Vserver: svm01メモ:
- これは必須の手順であり、この手順がないとAD認証は失敗します。ドメイントンネリングは、CIFSのライセンスがない場合でも作成できます。
- この手順の手順3で管理SVMを使用した場合、ドメイントンネルを作成する必要はありません。この手順は省略できます。
追加情報