FSx for ONTAP におけるマルチプロトコルアクセスについてLDAPを使用しないケース
はじめに
こんにちは。株式会社SHIFTでインフラエンジニアをしているn.hikです。
タイトルに記載した内容について、実際に触れる機会がありましたので紹介したいと思います。
環境情報
Amazon FSx for NetApp ONTAP
RHEL8(EC2) - NFSv4でマウント
Windows2019(EC2) - SMBでマウント
AWS Managed Microsoft AD
FSxボリュームのセキュリティスタイルはUNIX
どんな構成か
RHELサーバ、WindowsサーバにてFSx領域をマウント
LDAP無しのため、RHELはローカルユーザでFSx領域を操作
WindowsサーバはADに参加する。FSx領域はドメインユーザで操作
RHELサーバはOSローカルユーザでのアクセス、Windowsサーバはドメインユーザでのアクセスを行うことになります。
LDAPがあればRHEL、Windows間でユーザがユニークになりますが、無い場合は個別対応が必要になります。
設定方法
こちらはLDAPが存在するパターンとなりますが、AWS公式ブログで紹介されている手順です。
Amazon FSx for NetApp ONTAP によるマルチプロトコルワークロードの実現
今回はこの手順の他、FSxローカルユーザの作成を実施します。
これによりRHEL、WindowsのユーザがFSx上でマッピングされ、適切なアクセス権やセキュリティ設定が可能となります。
なお運用上、「RHEL上のユーザとFSx上のユーザでユーザ名、グループ名、UID、GIDを揃える」「ドメインユーザとFSx上のユーザでユーザ名を揃える」 のが望ましいです。
イメージはこんな感じです。
まずはユーザーマッピングの設定から紹介していきたいと思います。
1.ONTAP CLIに接続します。
SSH fsxadmin@<management-IP-address>
2.現在のユーザーマッピング設定を確認します。
name-mapping show
3.WinからUNIX方向へのネームマッピングを作成します。
-patternでWindowsドメインユーザの名前を検索し、-replacementで置き換える、という動きになります。
"<domain_name>\\(.+)"は全てのドメインユーザを指すことになります。
"\1"は、パターンで検索されたものを返します。
これにより、FSxとしては、例えばtestdomain.com\testuserというドメインユーザは、testuserというユーザで認識することになります。
vserver name-mapping create -vserver <vserver_name> -direction win-unix -position 1 -pattern "<domain_name>\\(.+)" -replacement "\1"
4.ユーザーマッピング設定を確認します。
name-mapping show
続いてFSxローカルユーザ/グループを作成します。
1.現在登録されているユーザを確認します。
vserver services unix-user show -vserver <vserver_name>
2.現在登録されているグループを確認します。
vserver services unix-group show -vserver <vserver_name>
3.グループを作成します。
vserver services unix-group create -vserver <vserver_name> -name <group_name> -id <GID>
4.ユーザを作成します。
vserver services unix-user create -vserver <vserver_name> -user <user_name> -id <UID> -primary-gid <GID>
これで設定が完了しました。 なお設定は即時反映されなさそうなので、マッピングできるまで10分程度待った方が良いです。
設定が完了したら、RHEL、Windowsでそれぞれファイルを作成し、ユーザ名等が適切か確認してください。 FSx上では以下のコマンドで確認可能です。
vserver security file-directory show -vserver <vserver_name> -path <file_full_path>
以上です。
あまり無いケースかもしれませんが参考になれば幸いです。
お問合せはお気軽に
https://service.shiftinc.jp/contact/
SHIFTについて(コーポレートサイト)
https://www.shiftinc.jp/
SHIFTのサービスについて(サービスサイト)
https://service.shiftinc.jp/
SHIFTの導入事例
https://service.shiftinc.jp/case/
お役立ち資料はこちら
https://service.shiftinc.jp/resources/
SHIFTの採用情報はこちら
https://recruit.shiftinc.jp/career/