Versionshinweise
Überblick über die Verwendung von LDAP
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
-
Verwalten Sie SMB-Server
-
Verwalten Sie den Dateizugriff mit SMB
-
-
-
SAN-Storage-Management
-
Authentifizierung und Zugriffssteuerung
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Wenn in Ihrer Umgebung LDAP für Name-Services verwendet wird, müssen Sie gemeinsam mit Ihrem LDAP-Administrator die Anforderungen und die entsprechenden Speichersystemkonfigurationen ermitteln und die SVM als LDAP-Client aktivieren.
Ab ONTAP 9.10.1 wird die LDAP-Kanalbindung standardmäßig sowohl für LDAP-Verbindungen von Active Directory- als auch für Namensdienste unterstützt. ONTAP versucht die Channel-Bindung mit LDAP-Verbindungen nur dann, wenn Start-TLS oder LDAPS aktiviert ist und die Sitzungssicherheit entweder auf Signieren oder Seal gesetzt ist. Um die LDAP-Kanalbindung mit Namenservern zu deaktivieren oder erneut zu aktivieren, verwenden Sie das -try-channel-binding Parameter mit ldap client modify Befehl.
Weitere Informationen finden Sie unter"2020 LDAP-Channel-Binding und LDAP-Signing-Anforderungen für Windows".
-
Bevor Sie LDAP für ONTAP konfigurieren, sollten Sie überprüfen, ob die Standortbereitstellung die Best Practices für die LDAP-Server- und Client-Konfiguration erfüllt. Insbesondere sind folgende Voraussetzungen zu erfüllen:
-
Der Domänenname des LDAP-Servers muss mit dem Eintrag auf dem LDAP-Client übereinstimmen.
-
Die vom LDAP-Server unterstützten LDAP-Benutzerpasswort-Hash-Typen müssen die von ONTAP unterstützten LDAP-Benutzerpasswort-Typen enthalten:
-
CRYPT (alle Typen) und SHA-1 (SHA, SSHA).
-
Beginnend mit ONTAP 9.8, SHA-2-Hashes (SHA-256, SSH-384, SHA-512, SSHA-256, SSHA-384 und SSHA-512) werden ebenfalls unterstützt.
-
-
Wenn für den LDAP-Server Sitzungssicherheitsmaßnahmen erforderlich sind, müssen Sie diese im LDAP-Client konfigurieren.
Folgende Sicherheitsoptionen sind verfügbar:
-
LDAP-Signatur (bietet Datenintegritätsprüfung) und LDAP-Signing and Sealing (bietet Datenintegritätsprüfung und -Verschlüsselung)
-
STARTEN SIE TLS
-
LDAPS (LDAP über TLS oder SSL)
-
-
Um signierte und versiegelte LDAP-Abfragen zu aktivieren, müssen die folgenden Dienste konfiguriert sein:
-
LDAP-Server müssen den GSSAPI (Kerberos) SASL-Mechanismus unterstützen.
-
LDAP-Server müssen DNS-A/AAAA-Datensätze sowie PTR-Datensätze auf dem DNS-Server eingerichtet haben.
-
Kerberos-Server müssen über SRV-Datensätze auf dem DNS-Server verfügen.
-
-
Um TLS ODER LDAPS ZU STARTEN, sollten die folgenden Punkte berücksichtigt werden.
-
Es handelt sich hierbei um eine NetApp Best Practice, Start TLS statt LDAPS zu verwenden.
-
Bei Verwendung von LDAPS muss der LDAP-Server für TLS oder für SSL in ONTAP 9.5 und höher aktiviert sein. SSL wird in ONTAP 9.0-9.4 nicht unterstützt.
-
Ein Zertifikatsserver muss bereits in der Domäne konfiguriert sein.
-
-
Um LDAP-Verweisungsjagd zu ermöglichen (in ONTAP 9.5 und höher), müssen die folgenden Bedingungen erfüllt sein:
-
Beide Domänen sollten mit einer der folgenden Vertrauensbeziehungen konfiguriert werden:
-
Zwei-Wege
-
Eine Möglichkeit, bei der der primäre vertraut auf die Empfehlungsdomäne
-
Elternteil-Kind
-
-
DNS muss so konfiguriert sein, dass alle genannten Servernamen aufgelöst werden.
-
Domänenpasswörter sollten für die Authentifizierung identisch sein, wenn --bind-as-cifs-Server auf true gesetzt ist.
-
Die folgenden Konfigurationen werden mit LDAP-Referenznachverfolgungsjagd nicht unterstützt.
-
Für alle ONTAP-Versionen:
-
LDAP-Clients auf einer Administrator-SVM
-
-
Für ONTAP 9.8 und frühere Versionen (unterstützt ab 9.9.1):
-
LDAP-Signing and Sealing (das
-session-securityOption) -
Verschlüsselte TLS-Verbindungen (das
-use-start-tlsOption) -
Kommunikation über LDAPS-Port 636 (der
-use-ldaps-for-ad-ldapOption)
-
-
-
Sie müssen beim Konfigurieren des LDAP-Clients auf der SVM ein LDAP-Schema eingeben.
In den meisten Fällen ist eines der Standard-ONTAP-Schemas angemessen. Wenn sich das LDAP-Schema in Ihrer Umgebung jedoch von diesen unterscheidet, müssen Sie ein neues LDAP-Client-Schema für ONTAP erstellen, bevor Sie den LDAP-Client erstellen. Wenden Sie sich an Ihren LDAP-Administrator, um die Anforderungen Ihrer Umgebung zu besprechen.
-
Die Verwendung von LDAP für die Auflösung des Hostnamens wird nicht unterstützt.