エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

外部ディレクトリー サービス用のS3アクセスの設定

ONTAP 9.14.1以降では、外部ディレクトリーのサービスがONTAP S3オブジェクト ストレージに統合されています。この統合により、外部ディレクトリー サービスによるユーザーとアクセスの管理が簡単になります。

外部ディレクトリー サービスに属するユーザー グループに、ONTAPオブジェクト ストレージ環境へのアクセスを提供できます。Lightweight Directory Access Protocol(LDAP)は、IDおよびアクセス管理(IAM)のためのデータベースとサービスを提供する、Active Directoryなどのディレクトリー サービスと通信するためのインターフェイスです。アクセスを提供するには、ONTAP S3環境でLDAPグループを設定する必要があります。アクセスの設定が完了すると、グループ メンバーにONTAP S3バケットに対する権限が付与されます。LDAPの詳細については、「LDAPの使用方法の概要」を参照してください。

また、Active Directoryユーザー グループを高速バインド モードに設定することで、ユーザー クレデンシャルを検証し、サードパーティおよびオープンソースのS3アプリケーションをLDAP接続を介して認証するようにもできます。

開始する前に

LDAPグループを設定し、グループ アクセスの高速バインド モードを有効にする場合は、事前に以下を確認してください。

  1. S3サーバーを含むS3対応Storage VMが作成済みである。「S3用SVMの作成」を参照してください。

  2. Storage VM内にバケットが作成済みである。「バケットの作成」を参照してください

  3. Storage VMにDNSが設定されている。「DNSサービスの設定」を参照してください。

  4. LDAPサーバーの自己署名されたルート認証局(CA)証明書がStorage VMにインストールされている。「自己署名されたルートCA証明書のSVMへのインストール」を参照してください。

  5. SVMにTLSが有効なLDAPクライアントが設定されている。「LDAPクライアント設定の作成」「LDAPクライアント設定とSVMの関連付け」を参照してください。

外部ディレクトリー サービス用のS3アクセスの設定

  1. グループ用のSVMの_ネーム サービス データベース_としてLDAPを指定し、LDAPのパスワードを指定します。

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
    ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    このコマンドの詳細については、vserver services name-service ns-switch modifyコマンドに関するページを参照してください。

  2. オブジェクト ストア バケット ポリシーのステートメントを作成します。その際、アクセスを許可するLDAPグループに対してprincipalを設定します。

    object-store-server bucket policy statement create -bucket <bucket-name> -effect allow -principal nasgroup/<ldap-group-name> -resource <bucket-name>, <bucket-name>/*

    例:次の例は、buck1用のバケット ポリシー ステートメントを作成するものです。このポリシーでは、LDAPグループgroup1にリソース(バケットとそのオブジェクト)buck1へのアクセスを許可しています。

    vserver object-store-server bucket policy add-statement -bucket buck1 -effect allow -action
    GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts, ListBucketVersions,GetObjectTagging,PutObjectTagging,DeleteObjectTagging,GetBucketVersioning,PutBucketVersioning -principal nasgroup/group1 -resource buck1, buck1/*
  3. LDAPグループgroup1のユーザーがS3クライアントからS3処理を実行できることを確認します。

認証でのLDAP高速バインド モードの使用

  1. グループ用のSVMの_ネーム サービス データベース_としてLDAPを指定し、LDAPのパスワードを指定します。

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
    ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    このコマンドの詳細については、vserver services name-service ns-switch modifyコマンドに関するページを参照してください。

  2. S3バケットにアクセスするLDAPユーザーの権限がバケット ポリシーで定義されていることを確認します。詳細については、「バケット ポリシーの変更」を参照してください。

  3. LDAPグループのユーザーが次の処理を実行できることを確認します。

    1. S3クライアントでアクセス キーを次の形式で設定します。
      "NTAPFASTBIND" + base64-encode(user-name:password)
      例:"NTAPFASTBIND" + base64-encode(ldapuser:password)の結果は次のようなものになります。
      NTAPFASTBINDbGRhcHVzZXI6cGFzc3dvcmQ=

      S3クライアントからシークレット キーの入力を求められることがあります。シークレット キーがない場合は、16文字以上のパスワードを入力できます。
    2. ユーザーが権限を持っているS3クライアントから基本的なS3処理を実行します。

Top of Page