ONTAP ユーザーの Active Directory 認証の設定
ONTAP CLI を使用して、ONTAP ファイルシステムおよび SVM ユーザーの Active Directory 認証の使用を設定します。
この手順でコマンドを使用するには、fsxadmin
ロールを持つファイルシステム管理者である必要があります。
ONTAP ユーザーの Active Directory 認証を設定するには (ONTAP CLI)
この手順のコマンドは、fsxadmin
ロールを持つファイルシステムユーザーが使用できます。
NetApp ONTAP CLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムの管理ポートで SSH セッションを確立します。
をファイルシステムの管理ポートの IP アドレスに置き換えます。management_endpoint_ip
[~]$
ssh fsxadmin@
management_endpoint_ip
詳細については、「ONTAP CLI を使用したファイルシステムの管理」を参照してください。
-
図のように
security login domain-tunnel create
コマンドを使用して、Windows Active Directory ユーザーを認証するためのドメイントンネルを確立します。 svm_name
をドメイントンネルに使用する SVM の名前に置き換えます。FsxId0123456::>
security login domain-tunnel create -vserver
svm_name
-
security login create
コマンドを使用して、ファイルシステムへアクセスする Active Directory のドメインユーザーアカウントを作成します。 コマンドに以下の必須パラメータを指定します。
-
-vserver
– CIFS で設定され、Active Directory に結合されている SVM の名前。これは、Active Directory ドメインユーザーをファイルシステムに対して認証するためのトンネルとして使用されます。新しいロールまたはユーザーが作成されます。 -
-user-or-group-name
— ログインに使用するユーザー名または Active Directory グループ名。Active Directory グループ名は、domain
認証、ontapi
、ssh
アプリケーションでのみ指定できます。 -
-application
— ログインに使用するアプリケーション。指定できる値には、http、ontapi、ssh などがあります。 -
-authentication-method
— ログインに使用された認証方法。以下に示しているのは、可能な値です。-
ドメイン - Active Directory 認証用
-
パスワード – パスワード認証用
-
パブリックキー — パブリックキー認証用
-
-
-role
— ログインに使用するアクセスコントロールのロール名。ファイルシステムレベルで指定できるロールは、-role fsxadmin
のみです。
次の例では、
filesystem1
ファイルシステムの Active Directory ドメインユーザーアカウントCORP\Admin
を 作成します。FSxId012345::>
security login create -vserver filesystem1 -username CORP\Admin -application ssh -authmethod domain -role fsxadmin次の例では、パブリックキー認証を使用して
CORP\Admin
ユーザーアカウントを作成します。FsxId0123456ab::>
security login create -user-or-group-name "CORP\Admin" -application ssh -authentication-method publickey -role fsxadmin
Warning: To use public-key authentication, you must create a public key for user "CORP\Admin".
次のコマンドを使用して、
CORP\Admin
ユーザーのパブリックキーを作成します。FsxId0123456ab::>
security login publickey create -username "CORP\Admin" -publickey "ecdsa-sha2-nistp256SECRET_STRING_HERE_IS_REDACTED
= cwaltham@b0be837a91bf.ant.amazon.com" -
Active Directory 認証情報を使用して SSH を使用してファイルシステムにログインするには
-
次の例は、
-application
タイプでssh
を選択した場合、Active Directory の認証情報を使用してファイルシステムに SSH 接続する方法を示しています。username
の形式は"domain-name\user-name"
であり、アカウントの作成時に指定したドメイン名とユーザー名をバックスラッシュで区切って引用符で囲んだものです。Fsx0123456::>
ssh "CORP\user"@management.fs-abcdef01234567892.fsx.us-east-2.aws.com
パスワードの入力を求められたら、Active Directory ユーザーのパスワードを使用してください。