Tipp für Linux-Administratoren: NetApp Filer in LDAP integrieren

Per LDAP-Anbindung können Linux-Anwender auf die Dateifreigaben eines NetApp Filers zugreifen. Admins müssen allerdings die Konfiguration anpassen.

In den meisten Rechenzentren stellen Administratoren erweiterte Dateifreigaben auf Netzwerk-Dateisystemen zur Verfügung. Dieser Prozess benötigt allerdings Informationen über ein Anwender-Konto. Benutzen er Linux, lässt es sich bei einem NetApp Filer mit einigen LDAP-Anpassungen realisieren.

Die meisten Storage Filer, spezielle Dateiserver für Archivierung und hohes Datenaufkommen, funktionieren bezüglich Authentifizierung gut im Zusammenspiel mit Microsoft Active Directory. Eine Integration mit LDAP (Lightweight Directory Access Protocol) unter Linux ist allerdings nicht ganz trivial.

Die Authentifizierungen benötigen Sie für das sichere Freigeben von Dateien. Dazu gehören auch solche mit hohem Datenaufkommen und Projekte für Archivierung. Benötigen Linux-Anwender Zugriff auf diese Dateifreigaben, muss der Filer die Linux-Konten auch erkennen. Das funktioniert sogar ohne Active Directory und über LDAP, auch wenn die Konfiguration nicht ganz einfach ist. Den NetApp Inc. Filer an einem LDAP-Server zu authentifizieren ist eine Möglichkeit. Danach können Sie bestimmte Dateien mit gewissen Zugriffsrechten ausstatten. Das funktioniert ähnlich wie bei lokalen Linux-Dateisystemen.

Um NetApp Filer mit LDAP zu verknüpfen, brauchen Sie Zugriff auf die Konsole. Melden Sie sich beim NetApp Filer via SSH an. Tippen Sie den Befehl priv set advanced ein. Damit können Sie alle notwendigen Security-Parameter festlegen. Danach folgt options ldap, um an eine Übersicht der momentanen Einstellungen zu gelangen. Diese können Sie über die Browser-basierte Schnittstelle festlegen:

ams5-fas2240-A*> options ldap
ldap.ADdomain
ldap.base dc=example,dc=com
ldap.base.group
ldap.base.netgroup
ldap.base.passwd
ldap.enable on
ldap.minimum_bind_level anonymous
ldap.name
ldap.nssmap.attribute.gecos gecos
ldap.nssmap.attribute.gidNumber gidNumber
ldap.nssmap.attribute.groupname cn
ldap.nssmap.attribute.homeDirectory homeDirectory
ldap.nssmap.attribute.loginShell loginShell
ldap.nssmap.attribute.memberNisNetgroup memberNisNetgroup
ldap.nssmap.attribute.memberUid memberUid
ldap.nssmap.attribute.netgroupname cn
ldap.nssmap.attribute.nisNetgroupTriple nisNetgroupTriple
ldap.nssmap.attribute.uid uid
ldap.nssmap.attribute.uidNumber uidNumber
ldap.nssmap.attribute.userPassword userPassword
ldap.nssmap.objectClass.nisNetgroup nisNetgroup
ldap.nssmap.objectClass.posixAccount posixAccount
ldap.nssmap.objectClass.posixGroup posixGroup
ldap.passwd ******
ldap.port 389
ldap.servers ut01.example.local
ldap.servers.preferred ut01.example.local
ldap.ssl.enable off
ldap.timeout 20
ldap.usermap.attribute.unixaccount unixaccount
ldap.usermap.attribute.windowsaccount windowsaccount
ldap.usermap.base
ldap.usermap.enable off

Sollten einige dieser Parameter nicht korrekt sein, verwenden Sie den Befehl ldap.base um die richtige Search Base zu setzen.

ams5-fas2240-A*> options ldap.base dc=commerce-hub,dc=local

Nun haben Sie die Möglichkeit, Informationen vom LDAP-Verzeichnisdienst anzufordern. Der Befehl get XxbyYY zeigt die Einstellungen für das Anwender-Konto arnaud auf.

ams5-fas2240-A*> getXXbyYY getpwbyname_r arnaud
pw_name = arnaud
pw_passwd = {{******}}
pw_uid = 1002, pw_gid = 100
pw_gecos =
pw_dir = /home/arnaud
pw_shell = /bin/bash
ams5-fas2240-A*> getXXbyYY getpwbyname_r linda
pw_name = linda
pw_passwd = {{******}}
pw_uid = 1001, pw_gid = 100
pw_gecos =
pw_dir = /home/linda
pw_shell = /bin/bash

Ihr Dateiserver hat den Zugriff zu den Konto-Informationen vom LDAP-Server verifiziert. Sie müssen sicherstellen, dass dies auch auf allen Ebenen funktioniert. Ändern Sie den Inhalt der Datei nsswitch.conf. Darin sollten sich ähnliche Zeilen wie die Folgenden befinden:

ams5-fas2240-B> wrfile /etc/nsswitch.conf
hosts: files dns nis
passwd: ldap files nis
netgroup: ldap files nis
group: ldap files nis
shadow: files nis

Ab diesem Zeitpunkt können Sie Anwender-Informationen vom LDAP-Server abfragen. Somit kann dieser auch die Berechtigungen für die NFS-Freigaben (Network File System) auf dem NetApp Filer für die Anwender des LDAP-Servers verwalten. Wechseln Sie mithilfe von options nfs.v4.acl.enable auf die Unterstützung für NFSv4 ACL (Access Control List). Anschließend können Sie Linux-ACLs auf dem NetApp Filer verwenden. Diese verhalten sich wie bei jedem Linux-Verzeichnis hinsichtlich der Berechtigungen:

ams5-fas2240-B> options nfs.v4.acl.enable on

Die Option nfs.v4.acl.enable wirkt sich auf beide Mitglieder der Hochverfügbarkeits-Konfiguration aus. Stellen Sie sicher, dass der Wert auf beiden gleich ist.

Ihr NetApp Filer ist vollständig in die Linux-Umgebung integriert. Administrieren Sie ihn, als würde es sich um ein lokales Linux-Dateisystem handeln.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Serverbetriebssysteme

ComputerWeekly.de

Close