許多數(shù)據(jù)中心都在網(wǎng)絡(luò)文件系統(tǒng)上創(chuàng)建更先進(jìn)的文件共享，該過(guò)程需要用戶賬號(hào)信息驗(yàn)證。如果正在使用Linux系統(tǒng)，那么可以將NetApp存儲(chǔ)和LDAP集成，增強(qiáng)安全性。

　　大部分存儲(chǔ)的權(quán)限控制都能與微軟的活動(dòng)目錄授權(quán)集成，但為L(zhǎng)inux系統(tǒng)配置Lightweight Directory Access Protocol(LDAP)集成卻并非易事。

　　安全的文件共享需要用戶授權(quán)驗(yàn)證，就如那些高級(jí)別數(shù)據(jù)共享和歸檔項(xiàng)目所要求的一樣。如果Linux用戶需要訪問(wèn)這些共享，存儲(chǔ)設(shè)備首先必須要識(shí)別這些Linux用戶賬號(hào)。除了活動(dòng)目錄，也可以使用LDAP集成，但LDAP的配置比較復(fù)雜。好消息是NetAPP公司的存儲(chǔ)支持LDAP服務(wù)器驗(yàn)證集成。接著，你可以在存儲(chǔ)上設(shè)置文件訪問(wèn)權(quán)限，就如你在本地Linux文件服務(wù)器那樣。

　　開(kāi)始配置NetAPP存儲(chǔ)與LDAP集成。通過(guò)SSH登錄NetAPP存儲(chǔ)的命令行模式。輸入priv set advanced命令，此命令可以讓你設(shè)置所有必須的安全參數(shù)。接著，輸入options ldap,可以查看當(dāng)前設(shè)置情況(你也可以通過(guò)瀏覽器網(wǎng)頁(yè)的方式完成這些操作)：

　　ams5-fas2240-A*> options ldap

　　ldap.ADdomain

　　ldap.base dc=example,dc=com

　　ldap.base.group

　　ldap.base.netgroup

　　ldap.base.passwd

　　ldap.enable on

　　ldap.minimum_bind_level anonymous

　　ldap.name

　　ldap.nssmap.attribute.gecos gecos

　　ldap.nssmap.attribute.gidNumber gidNumber

　　ldap.nssmap.attribute.groupname cn

　　ldap.nssmap.attribute.homeDirectory homeDirectory

　　ldap.nssmap.attribute.loginShell loginShell

　　ldap.nssmap.attribute.memberNisNetgroup memberNisNetgroup

　　ldap.nssmap.attribute.memberUid memberUid

　　ldap.nssmap.attribute.netgroupname cn

　　ldap.nssmap.attribute.nisNetgroupTriple nisNetgroupTriple

　　ldap.nssmap.attribute.uid uid

　　ldap.nssmap.attribute.uidNumber uidNumber

　　ldap.nssmap.attribute.userPassword userPassword

　　ldap.nssmap.objectClass.nisNetgroup nisNetgroup

　　ldap.nssmap.objectClass.posixAccount posixAccount

　　ldap.nssmap.objectClass.posixGroup posixGroup

　　ldap.passwd ******

　　ldap.port 389

　　ldap.servers ut01.example.local

　　ldap.servers.preferred ut01.example.local

　　ldap.ssl.enable off

　　ldap.timeout 20

　　ldap.usermap.attribute.unixaccount unixaccount

　　ldap.usermap.attribute.windowsaccount windowsaccount

　　ldap.usermap.base

　　ldap.usermap.enable off

　　如果有任何參數(shù)設(shè)置錯(cuò)誤，可以使用options ldap.base命令來(lái)設(shè)置正確的搜索域：

　　ams5-fas2240-A*> options ldap.base dc=commerce-hub,dc=local

　　通過(guò)命令設(shè)置好搜索域之后，需要從LDAP目錄服務(wù)中獲取信息。getXXbyYY命令可以顯示系統(tǒng)是如何針對(duì)arnaud賬號(hào)進(jìn)行驗(yàn)證的：

　　ams5-fas2240-A*> getXXbyYY getpwbyname_r arnaud

　　pw_name = arnaud

　　pw_passwd = {{******}}

　　pw_uid = 1002, pw_gid = 100

　　pw_gecos =

　　pw_dir = /home/arnaud

　　pw_shell = /bin/bash

　　ams5-fas2240-A*> getXXbyYY getpwbyname_r linda

　　pw_name = linda

　　pw_passwd = {{******}}

　　pw_uid = 1001, pw_gid = 100

　　pw_gecos =

　　pw_dir = /home/linda

　　pw_shell = /bin/bash

　　存儲(chǔ)在對(duì)LDAP服務(wù)器傳來(lái)的用戶賬號(hào)信息驗(yàn)證通過(guò)后;接著會(huì)確保其在所有層面都工作正常。修改nsswitch.conf文件的配置信息，需要具備讀寫權(quán)限，使用文件編輯器打開(kāi)/etc/nsswitch.conf文件。文件中應(yīng)該包含如下幾行內(nèi)容：

　　ams5-fas2240-B> wrfile /etc/nsswitch.conf

　　hosts: files dns nis

　　passwd: ldap files nis

　　netgroup: ldap files nis

　　group: ldap files nis

　　shadow: files nis

　　現(xiàn)在，存儲(chǔ)設(shè)備已經(jīng)可以通過(guò)LDAP服務(wù)器獲得用戶信息了。如此這般，NetApp存儲(chǔ)與LDAP服務(wù)器用戶驗(yàn)證集成后，可以正?？刂凭W(wǎng)絡(luò)文件系統(tǒng)(NFS)共享的權(quán)限設(shè)定?？梢允褂胦ptions nfs.v4.acl.enable命令切換NFSv4訪問(wèn)控制列表。你還可以將Linux系統(tǒng)的ACL應(yīng)用在NetApp存儲(chǔ)上，這樣可以讓存儲(chǔ)更像Linux文件目錄那樣，具備對(duì)應(yīng)的權(quán)限：

　　ams5-fas2240-B> options nfs.v4.acl.enable on

　　nfs.v4.acl.enable選項(xiàng)的變更會(huì)影響在占用模式下高可用性配置中的所有成員。需要確保改參數(shù)和高可用配對(duì)中的成員權(quán)限一致。

　　NetApp存儲(chǔ)現(xiàn)在已經(jīng)完全與Linux環(huán)境集成，管理員們可以將其當(dāng)作本地Linux文件系統(tǒng)使用了