Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erstellen Sie eine LDAP-Client-Konfiguration

Beitragende

Wenn ONTAP auf die externen LDAP- oder Active Directory-Dienste in Ihrer Umgebung zugreifen soll, müssen Sie zunächst einen LDAP-Client auf dem Speichersystem einrichten.

Was Sie benötigen

Einer der ersten drei Server in der Liste Active Directory Domain Resolved muss up sein und Daten bereitstellen. Andernfalls schlägt diese Aufgabe fehl.

Hinweis

Es gibt mehrere Server, von denen mehr als zwei Server zu jedem beliebigen Zeitpunkt ausgefallen sind.

Schritte
  1. Wenden Sie sich an Ihren LDAP-Administrator, um die entsprechenden Konfigurationswerte für die zu ermitteln vserver services name-service ldap client create Befehl:

    1. Geben Sie eine domänenbasierte oder eine address-basierte Verbindung zu LDAP-Servern an.

      Der -ad-domain Und -servers Die Optionen schließen sich gegenseitig aus.

      • Verwenden Sie die -ad-domain Option zum Aktivieren der LDAP-Servererkennung in der Active Directory-Domäne.

        • Sie können das verwenden -restrict-discovery-to-site Option zum Einschränken der LDAP-Servererkennung auf den CIFS-Standardstandort für die angegebene Domäne. Wenn Sie diese Option verwenden, müssen Sie auch den CIFS-Standardstandort mit angeben -default-site.

      • Sie können das verwenden -preferred-ad-servers Option zum Festlegen eines oder mehrerer bevorzugter Active Directory-Server anhand von IP-Adressen in einer durch Komma getrennten Liste. Nachdem der Client erstellt wurde, können Sie diese Liste mithilfe der ändern vserver services name-service ldap client modify Befehl.

      • Verwenden Sie die -servers Option zur Angabe eines oder mehrerer LDAP-Server (Active Directory oder UNIX) nach IP-Adresse in einer kommagetrennten Liste.

        Hinweis

        Der -servers Option ist veraltet in ONTAP 9.2. Ab ONTAP 9.2 ist die -ldap-servers Feld ersetzt das -servers Feld. Dieses Feld kann entweder einen Hostnamen oder eine IP-Adresse für den LDAP-Server annehmen.

    2. Geben Sie ein Standard- oder ein benutzerdefiniertes LDAP-Schema an.

      Die meisten LDAP-Server können die von ONTAP bereitgestellten Standardschemata für schreibgeschützte Lesevorgänge verwenden. Es empfiehlt sich, diese Standardschemata zu verwenden, es sei denn, es ist eine andere Voraussetzung zu tun. In diesem Fall können Sie Ihr eigenes Schema erstellen, indem Sie ein Standardschema kopieren (es handelt sich um schreibgeschützt) und dann die Kopie ändern.

      Standardschemas:

      • MS-AD-BIS

        Basierend auf RFC-2307bis ist dies das bevorzugte LDAP-Schema für die meisten Standard-LDAP-Bereitstellungen unter Windows 2012 und höher.

      • AD-IDMU

        Basierend auf Active Directory Identity Management für UNIX ist dieses Schema für die meisten Windows 2008-, Windows 2012- und späteren AD-Server geeignet.

      • AD-SFU

        Dieses Schema basiert auf Active Directory Services für UNIX und ist für die meisten Windows 2003- und früheren AD-Server geeignet.

      • RFC-2307

        Dieses Schema basiert auf RFC-2307 (an Approach for Using LDAP as a Network Information Service) und ist für die meisten UNIX AD-Server geeignet.

    3. Wählen Sie Bindungswerte.

      • -min-bind-level {anonymous|simple|sasl} Gibt die Mindestauthentifizierungsstufe für Bindungen an.

        Der Standardwert ist anonymous.

      • -bind-dn LDAP_DN Gibt den Bindebenutzer an.

        Für Active Directory-Server müssen Sie den Benutzer im Konto- (DOMAIN\user) oder Principal (user@domain.com)-Formular angeben. Andernfalls müssen Sie den Benutzer in einem Formular mit distinguished Name (CN=user,DC=Domain,DC=com) angeben.

      • -bind-password password Gibt das Bindekennwort an.

    4. Wählen Sie bei Bedarf die Sicherheitsoptionen für die Sitzung aus.

      Sie können LDAP-Signing und -Sealing oder LDAP über TLS aktivieren, falls vom LDAP-Server erforderlich.

      • --session-security {none|sign|seal}

        Sie können das Signieren aktivieren (sign, Datenintegrität), Signing und Sealing (seal, Datenintegrität und Verschlüsselung) oder keines von beiden none, Kein Signing oder Sealing). Der Standardwert ist none.

        Außerdem sollten Sie einstellen -min-bind-level {sasl} Es sei denn, Sie möchten, dass die Bindeauthentifizierung zurückfällt anonymous Oder simple Wenn das Signieren und Versiegeln fehlschlägt.

      • -use-start-tls {true|false}

        Wenn eingestellt auf true Und der LDAP-Server unterstützt ihn, der LDAP-Client verwendet eine verschlüsselte TLS-Verbindung zum Server. Der Standardwert ist false. Sie müssen ein selbstsigniertes Root-CA-Zertifikat des LDAP-Servers installieren, um diese Option verwenden zu können.

      Hinweis

      Wenn der Speicher-VM einen SMB-Server zu einer Domäne hinzugefügt hat und der LDAP-Server einer der Domänen-Controller der Home-Domain des SMB-Servers ist, können Sie den ändern -session-security-for-ad-ldap Mit der Option vserver cifs security modify Befehl.

    5. Wählen Sie Port-, Abfrage- und Basiswerte aus.

      Die Standardwerte werden empfohlen, aber Sie müssen mit Ihrem LDAP-Administrator überprüfen, dass sie für Ihre Umgebung geeignet sind.

      • -port port Gibt den LDAP-Serverport an.

        Der Standardwert ist 389.

      Wenn Sie die LDAP-Verbindung mit Start TLS sichern möchten, müssen Sie den Standardport 389 verwenden. Start TLS beginnt als Klartext-Verbindung über den LDAP-Standardport 389 und wird dann auf TLS aktualisiert. Wenn Sie den Port ändern, schlägt Start TLS fehl.

      • -query-timeout integer Gibt die Zeitüberschreitung für die Abfrage in Sekunden an.

        Der zulässige Bereich liegt zwischen 1 und 10 Sekunden. Der Standardwert ist 3 Sekunden.

      • -base-dn LDAP_DN Gibt den Basis-DN an.

        Bei Bedarf können mehrere Werte eingegeben werden (z. B. wenn LDAP-Weiterleitung aktiviert ist). Der Standardwert ist "" (Root).

      • -base-scope {base|onelevel|subtree} Gibt den Umfang der Basissuche an.

        Der Standardwert ist subtree.

      • -referral-enabled {true|false} Gibt an, ob LDAP-Referenzsuche aktiviert ist.

        Ab ONTAP 9.5 kann der LDAP-Client von ONTAP Anfragen auf andere LDAP-Server verweisen, wenn vom primären LDAP-Server eine LDAP-Empfehlungsantwort zurückgegeben wird, die angibt, dass die gewünschten Datensätze auf den empfohlenen LDAP-Servern vorhanden sind. Der Standardwert ist false.

    Um nach Datensätzen zu suchen, die in den genannten LDAP-Servern vorhanden sind, muss der Basis-dn der genannten Datensätze im Rahmen der LDAP-Client-Konfiguration dem Basis-dn hinzugefügt werden.

  2. Erstellen Sie eine LDAP-Client-Konfiguration auf der Storage-VM:

    vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name {-servers LDAP_server_list | -ad-domain ad_domain} -preferred-ad-servers preferred_ad_server_list -restrict-discovery-to-site {true|false} -default-site CIFS_default_site -schema schema -port 389 -query-timeout 3 -min-bind-level {anonymous|simple|sasl} -bind-dn LDAP_DN -bind-password password -base-dn LDAP_DN -base-scope subtree -session-security {none|sign|seal} [-referral-enabled {true|false}]

    Hinweis

    Beim Erstellen einer LDAP-Client-Konfiguration müssen Sie den Namen der Storage-VM angeben.

  3. Überprüfen Sie, ob die LDAP-Client-Konfiguration erfolgreich erstellt wurde:

    vserver services name-service ldap client show -client-config client_config_name

Beispiele

Mit dem folgenden Befehl wird eine neue LDAP-Client-Konfiguration namens ldap1 für die Speicher-VM vs1 erstellt, die mit einem Active Directory-Server für LDAP arbeitet:

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100

Mit dem folgenden Befehl wird eine neue LDAP-Client-Konfiguration namens ldap1 für die Speicher-VM vs1 erstellt, die mit einem Active Directory-Server für LDAP funktioniert, auf dem Signieren und Versiegeln erforderlich ist, und die LDAP-Servererkennung ist auf einen bestimmten Standort für die angegebene Domäne beschränkt:

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -restrict-discovery-to-site true -default-site cifsdefaultsite.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal

Mit dem folgenden Befehl wird eine neue LDAP-Client-Konfiguration namens ldap1 für die Speicher-VM vs1 erstellt, um mit einem Active Directory-Server für LDAP zu arbeiten, für den LDAP-Empfehlungsverfahren erforderlich sind:

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true

Mit dem folgenden Befehl wird die LDAP-Client-Konfiguration namens ldap1 für die Speicher-VM vs1 durch Angabe des Basis-DN geändert:

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com

Mit dem folgenden Befehl wird die LDAP-Client-Konfiguration namens ldap1 für die Speicher-VM vs1 geändert, indem die Referenzsuche aktiviert wird:

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com"  -referral-enabled true