Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erstellen Sie eine LDAP-Client-Konfiguration

Beitragende
PDFs

Wenn ONTAP auf die externen LDAP- oder Active Directory-Dienste in Ihrer Umgebung zugreifen soll, müssen Sie zunächst einen LDAP-Client auf dem Speichersystem einrichten.

Was Sie benötigen

Einer der ersten drei Server in der Liste Active Directory Domain Resolved muss up sein und Daten bereitstellen. Andernfalls schlägt diese Aufgabe fehl.

Hinweis

Es gibt mehrere Server, von denen mehr als zwei Server zu jedem beliebigen Zeitpunkt ausgefallen sind.
Schritte

  1. Wenden Sie sich an Ihren LDAP-Administrator, um die entsprechenden Konfigurationswerte für den vserver services name-service ldap client create folgenden Befehl zu ermitteln:

    1. Geben Sie eine domänenbasierte oder eine address-basierte Verbindung zu LDAP-Servern an.

      Die -ad-domain -servers Optionen und schließen sich gegenseitig aus.

      • Verwenden Sie die -ad-domain Option, um die LDAP-Servererkennung in der Active Directory-Domäne zu aktivieren.

        • Sie können die -restrict-discovery-to-site Option verwenden, um die LDAP-Servererkennung auf den CIFS-Standardstandort für die angegebene Domäne zu beschränken. Wenn Sie diese Option verwenden, müssen Sie auch die CIFS-Standardsite mit angeben -default-site.

      • Sie können die -preferred-ad-servers Option verwenden, um einen oder mehrere bevorzugte Active Directory-Server nach IP-Adresse in einer kommagetrennten Liste anzugeben. Nachdem der Client erstellt wurde, können Sie diese Liste mit dem vserver services name-service ldap client modify Befehl ändern.

      • Verwenden Sie die -servers Option, um einen oder mehrere LDAP-Server (Active Directory oder UNIX) nach IP-Adresse in einer kommagetrennten Liste anzugeben.

        Hinweis

        Die -servers Option ist in ONTAP 9.2 veraltet. Ab ONTAP 9.2 wird -ldap-servers das -servers Feld durch das Feld ersetzt. Dieses Feld kann entweder einen Hostnamen oder eine IP-Adresse für den LDAP-Server annehmen.

    2. Geben Sie ein Standard- oder ein benutzerdefiniertes LDAP-Schema an.

      Die meisten LDAP-Server können die von ONTAP bereitgestellten Standardschemata für schreibgeschützte Lesevorgänge verwenden. Es empfiehlt sich, diese Standardschemata zu verwenden, es sei denn, es ist eine andere Voraussetzung zu tun. In diesem Fall können Sie Ihr eigenes Schema erstellen, indem Sie ein Standardschema kopieren (es handelt sich um schreibgeschützt) und dann die Kopie ändern.

      Standardschemas:

      • MS-AD-BIS

        Basierend auf RFC-2307bis ist dies das bevorzugte LDAP-Schema für die meisten Standard-LDAP-Bereitstellungen unter Windows 2012 und höher.

      • AD-IDMU

        Basierend auf Active Directory Identity Management für UNIX ist dieses Schema für die meisten Windows 2008-, Windows 2012- und späteren AD-Server geeignet.

      • AD-SFU

        Dieses Schema basiert auf Active Directory Services für UNIX und ist für die meisten Windows 2003- und früheren AD-Server geeignet.

      • RFC-2307

        Dieses Schema basiert auf RFC-2307 (an Approach for Using LDAP as a Network Information Service) und ist für die meisten UNIX AD-Server geeignet.

    3. Wählen Sie Bindungswerte.

      • -min-bind-level {anonymous|simple|sasl} Gibt die minimale binde-Authentifizierungsstufe an.

        Der Standardwert ist anonymous.

      • -bind-dn LDAP_DN Gibt den Bind-Benutzer an.

        Für Active Directory-Server müssen Sie den Benutzer im Konto- (DOMAIN\user) oder Principal (user@domain.com)-Formular angeben. Andernfalls müssen Sie den Benutzer in einem Formular mit distinguished Name (CN=user,DC=Domain,DC=com) angeben.

      • -bind-password password Gibt das Bindungskennwort an.

    4. Wählen Sie bei Bedarf die Sicherheitsoptionen für die Sitzung aus.

      Sie können LDAP-Signing und -Sealing oder LDAP über TLS aktivieren, falls vom LDAP-Server erforderlich.

      • --session-security {none|sign|seal}

        Sie können Signing (sign, Datenintegrität), Signing und Sealing (seal, Datenintegrität und Verschlüsselung), oder keine none, keine Signatur oder Versiegelung). Der Standardwert ist none.

        Sie sollten auch -min-bind-level {sasl} einstellen, es sei denn, Sie möchten, dass die binde-Authentifizierung zurückfällt anonymous oder simple wenn die Signing and Sealing Bind fehlschlägt.

      • -use-start-tls {true|false}

        Wenn auf festgelegt true und der LDAP-Server ihn unterstützt, verwendet der LDAP-Client eine verschlüsselte TLS-Verbindung zum Server. Der Standardwert ist false. Sie müssen ein selbstsigniertes Root-CA-Zertifikat des LDAP-Servers installieren, um diese Option verwenden zu können.

      Hinweis

      Wenn der Speicher-VM einen SMB-Server zu einer Domäne hinzugefügt hat und der LDAP-Server einer der Domänen-Controller der Home-Domain des SMB-Servers ist, können Sie die -session-security-for-ad-ldap Option mit dem vserver cifs security modify Befehl ändern.

    5. Wählen Sie Port-, Abfrage- und Basiswerte aus.

      Die Standardwerte werden empfohlen, aber Sie müssen mit Ihrem LDAP-Administrator überprüfen, dass sie für Ihre Umgebung geeignet sind.

      • -port port Gibt den LDAP-Serverport an.

        Der Standardwert ist 389.

      Wenn Sie die LDAP-Verbindung mit Start TLS sichern möchten, müssen Sie den Standardport 389 verwenden. Start TLS beginnt als Klartext-Verbindung über den LDAP-Standardport 389 und wird dann auf TLS aktualisiert. Wenn Sie den Port ändern, schlägt Start TLS fehl.

      • -query-timeout integer Gibt das Abfragezeitlimit in Sekunden an.

        Der zulässige Bereich liegt zwischen 1 und 10 Sekunden. Der Standardwert ist 3 Sekunden.

      • -base-dn LDAP_DN Gibt den Basis-DN an.

        Bei Bedarf können mehrere Werte eingegeben werden (z. B. wenn LDAP-Weiterleitung aktiviert ist). Der Standardwert ist "" (root).

      • -base-scope {base|onelevel|subtree} Gibt den Suchbereich der Basis an.

        Der Standardwert ist subtree.

      • -referral-enabled {true|false} Gibt an, ob LDAP-Empfehlungsverfolgung aktiviert ist.

        Ab ONTAP 9.5 kann der LDAP-Client von ONTAP Anfragen auf andere LDAP-Server verweisen, wenn vom primären LDAP-Server eine LDAP-Empfehlungsantwort zurückgegeben wird, die angibt, dass die gewünschten Datensätze auf den empfohlenen LDAP-Servern vorhanden sind. Der Standardwert ist false.

    Um nach Datensätzen zu suchen, die in den genannten LDAP-Servern vorhanden sind, muss der Basis-dn der genannten Datensätze im Rahmen der LDAP-Client-Konfiguration dem Basis-dn hinzugefügt werden.

  2. Erstellen Sie eine LDAP-Client-Konfiguration auf der Storage-VM:

    vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name {-servers LDAP_server_list | -ad-domain ad_domain} -preferred-ad-servers preferred_ad_server_list -restrict-discovery-to-site {true|false} -default-site CIFS_default_site -schema schema -port 389 -query-timeout 3 -min-bind-level {anonymous|simple|sasl} -bind-dn LDAP_DN -bind-password password -base-dn LDAP_DN -base-scope subtree -session-security {none|sign|seal} [-referral-enabled {true|false}]

    Hinweis

    Beim Erstellen einer LDAP-Client-Konfiguration müssen Sie den Namen der Storage-VM angeben.

  3. Überprüfen Sie, ob die LDAP-Client-Konfiguration erfolgreich erstellt wurde:

    vserver services name-service ldap client show -client-config client_config_name

Beispiele

Mit dem folgenden Befehl wird eine neue LDAP-Client-Konfiguration namens ldap1 für die Speicher-VM vs1 erstellt, die mit einem Active Directory-Server für LDAP arbeitet:

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100

Mit dem folgenden Befehl wird eine neue LDAP-Client-Konfiguration namens ldap1 für die Speicher-VM vs1 erstellt, die mit einem Active Directory-Server für LDAP funktioniert, auf dem Signieren und Versiegeln erforderlich ist, und die LDAP-Servererkennung ist auf einen bestimmten Standort für die angegebene Domäne beschränkt:

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -restrict-discovery-to-site true -default-site cifsdefaultsite.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal

Mit dem folgenden Befehl wird eine neue LDAP-Client-Konfiguration namens ldap1 für die Speicher-VM vs1 erstellt, um mit einem Active Directory-Server für LDAP zu arbeiten, für den LDAP-Empfehlungsverfahren erforderlich sind:

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true

Mit dem folgenden Befehl wird die LDAP-Client-Konfiguration namens ldap1 für die Speicher-VM vs1 durch Angabe des Basis-DN geändert:

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com

Mit dem folgenden Befehl wird die LDAP-Client-Konfiguration namens ldap1 für die Speicher-VM vs1 geändert, indem die Referenzsuche aktiviert wird:

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com"  -referral-enabled true