Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

LDAP – Übersicht

Beitragende
PDFs

Ein LDAP-Server (Lightweight Directory Access Protocol) ermöglicht die zentrale Verwaltung von Benutzerinformationen. Wenn Sie Ihre Benutzerdatenbank auf einem LDAP-Server in Ihrer Umgebung speichern, können Sie Ihr Speichersystem so konfigurieren, dass Benutzerinformationen in Ihrer bestehenden LDAP-Datenbank angezeigt werden.

  • Bevor Sie LDAP für ONTAP konfigurieren, sollten Sie überprüfen, ob die Standortbereitstellung die Best Practices für die LDAP-Server- und Client-Konfiguration erfüllt. Insbesondere sind folgende Voraussetzungen zu erfüllen:

    • Der Domänenname des LDAP-Servers muss mit dem Eintrag auf dem LDAP-Client übereinstimmen.

    • Die vom LDAP-Server unterstützten LDAP-Benutzerpasswort-Hash-Typen müssen die von ONTAP unterstützten LDAP-Benutzerpasswort-Typen enthalten:

      • CRYPT (alle Typen) und SHA-1 (SHA, SSHA).

      • Beginnend mit ONTAP 9.8, SHA-2-Hashes (SHA-256, SSH-384, SHA-512, SSHA-256, SSHA-384 und SSHA-512) werden ebenfalls unterstützt.

    • Wenn für den LDAP-Server Sitzungssicherheitsmaßnahmen erforderlich sind, müssen Sie diese im LDAP-Client konfigurieren.

      Folgende Sicherheitsoptionen sind verfügbar:

      • LDAP-Signatur (bietet Datenintegritätsprüfung) und LDAP-Signing and Sealing (bietet Datenintegritätsprüfung und -Verschlüsselung)

      • STARTEN SIE TLS

      • LDAPS (LDAP über TLS oder SSL)

    • Um signierte und versiegelte LDAP-Abfragen zu aktivieren, müssen die folgenden Dienste konfiguriert sein:

      • LDAP-Server müssen den GSSAPI (Kerberos) SASL-Mechanismus unterstützen.

      • LDAP-Server müssen DNS-A/AAAA-Datensätze sowie PTR-Datensätze auf dem DNS-Server eingerichtet haben.

      • Kerberos-Server müssen über SRV-Datensätze auf dem DNS-Server verfügen.

    • Um TLS ODER LDAPS ZU STARTEN, sollten die folgenden Punkte berücksichtigt werden.

      • Es handelt sich hierbei um eine NetApp Best Practice, Start TLS statt LDAPS zu verwenden.

      • Bei Verwendung von LDAPS muss der LDAP-Server für TLS oder für SSL in ONTAP 9.5 und höher aktiviert sein. SSL wird in ONTAP 9.0-9.4 nicht unterstützt.

      • Ein Zertifikatsserver muss bereits in der Domäne konfiguriert sein.

    • Um LDAP-Verweisungsjagd zu ermöglichen (in ONTAP 9.5 und höher), müssen die folgenden Bedingungen erfüllt sein:

      • Beide Domänen sollten mit einer der folgenden Vertrauensbeziehungen konfiguriert werden:

        • Zwei-Wege

        • Eine Möglichkeit, bei der der primäre vertraut auf die Empfehlungsdomäne

        • Elternteil-Kind

      • DNS muss so konfiguriert sein, dass alle genannten Servernamen aufgelöst werden.

      • Domänenpasswörter müssen für die Authentifizierung identisch sein, wenn --bind-as-cifs-server sie auf true gesetzt sind.

    Hinweis

    Die folgenden Konfigurationen werden mit LDAP-Referenznachverfolgungsjagd nicht unterstützt.

    • Für alle ONTAP-Versionen:

    • LDAP-Clients auf einer Administrator-SVM

    • Für ONTAP 9.8 und frühere Versionen (unterstützt ab 9.9.1):

    • LDAP-Signing and Sealing ( `-session-security`optional)

    • Verschlüsselte TLS-Verbindungen ( `-use-start-tls`Option)

    • Kommunikation über LDAPS-Port 636 ( `-use-ldaps-for-ad-ldap`optional)

  • Ab ONTAP 9.11.1 können Sie verwenden "LDAP fast bind für nsswitch-Authentifizierung."

  • Sie müssen beim Konfigurieren des LDAP-Clients auf der SVM ein LDAP-Schema eingeben.

    In den meisten Fällen ist eines der Standard-ONTAP-Schemas angemessen. Wenn sich das LDAP-Schema in Ihrer Umgebung jedoch von diesen unterscheidet, müssen Sie ein neues LDAP-Client-Schema für ONTAP erstellen, bevor Sie den LDAP-Client erstellen. Wenden Sie sich an Ihren LDAP-Administrator, um die Anforderungen Ihrer Umgebung zu besprechen.

  • Die Verwendung von LDAP für die Auflösung des Host-Namens wird nicht unterstützt.

Weitere Informationen finden Sie unter "Technischer Bericht von NetApp 4835: Konfigurieren von LDAP in ONTAP".