本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 为 ONTAP 用户配置 Active Directory 身份验证 使用 ONTAP CLI 为 ONTAP 文件系统和 SVM 用户配置使用 Active Directory 身份验证。 您必须是具有 `fsxadmin` 角色的文件系统管理员才能使用此过程中的命令。 **为 ONTAP 用户设置 Active Directory 身份验证(ONTAP CLI)** 此过程中的命令适用于具有 `fsxadmin` 角色的文件系统用户。 1. 要访问 ONTAP CLI,请运行以下命令在 Amazon FSx for NetApp ONTAP 文件系统或 SVM 的管理端口上建立 SSH 会话。将 `management_endpoint_ip` 替换为文件系统管理端口的 IP 地址。 ``` [~]$ ssh fsxadmin@management_endpoint_ip ``` 有关更多信息,请参阅 [使用 ONTAP CLI 管理文件系统](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)。 1. 使用所示的 [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html) 命令建立一个用于对 Windows Active Directory 用户进行身份验证的域隧道。*svm\$1name*替换为用于域隧道的 SVM 的名称。 ``` FsxId0123456::> security login domain-tunnel create -vserver svm_name ``` 1. 使用 [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html) 命令创建将访问文件系统的 Active Directory 域用户账户。 在命令中指定以下必需的参数: + `-vserver` - 配置了 CIFS 并加入 Active Directory 的 SVM 的名称。它将用作 Active Directory 域用户访问文件系统的身份验证隧道。将创建新的角色或用户。 + `-user-or-group-name` – 登录方法的用户名或 Active Directory 组名。只能使用 `domain` 身份验证方法以及 `ontapi` 和 `ssh` 应用程序指定 Active Directory 组名。 + `-application` – 登录方法的应用。可能的值包括 http、ontapi 和 ssh。 + `-authentication-method` – 用于登录的身份验证方法。可能的值包括: + domain – 用于 Active Directory 身份验证 + 密码 - 用于密码认证 + publickey – 用于公钥身份验证 + `-role` – 登录方法的访问控制角色名称。在文件系统级别,唯一可以指定的角色是 `-role fsxadmin`。 以下示例为 `filesystem1` 文件系统创建了一个 Active Directory 域用户账户 `CORP\Admin`。 ``` FSxId012345::> security login create -vserver filesystem1 -username CORP\Admin -application ssh -authmethod domain -role fsxadmin ``` 以下示例创建了使用公钥身份验证的 `CORP\Admin` 用户账户。 ``` FsxId0123456ab::> security login create -user-or-group-name "CORP\Admin" -application ssh -authentication-method publickey -role fsxadmin Warning: To use public-key authentication, you must create a public key for user "CORP\Admin". ``` 使用以下命令为 `CORP\Admin` 用户创建公钥: ``` FsxId0123456ab::> security login publickey create -username "CORP\Admin" -publickey "ecdsa-sha2-nistp256 SECRET_STRING_HERE_IS_REDACTED= cwaltham@b0be837a91bf.ant.amazon.com" ``` **结合使用 SSH 和 Active Directory 凭证来登录文件系统** + 以下示例展示了如果选择为 `-application` 类型选择 `ssh`,该如何使用 Active Directory 凭证通过 SSH 进入您的文件系统。`username` 的格式为 `"domain-name\user-name"`,即您在创建账户时提供的域名和用户名,用反斜杠分隔并用引号引起来。 ``` Fsx0123456::> ssh "CORP\user"@management.fs-abcdef01234567892.fsx.us-east-2.aws.com ``` 当系统提示输入密码时,使用 Active Directory 用户的密码。