Obtenga más información sobre LDAP para SVM NFS de ONTAP
Sugerir cambios
PDF
Un servidor LDAP (protocolo ligero de acceso a directorios) le permite mantener la información de usuario de forma centralizada. Si almacena su base de datos de usuario en un servidor LDAP del entorno, puede configurar el sistema de almacenamiento para buscar información de usuario en su base de datos LDAP existente.
-
Antes de configurar LDAP para ONTAP, debe verificar que la implementación del sitio cumple las prácticas recomendadas para la configuración del cliente y el servidor LDAP. En particular, deben cumplirse las siguientes condiciones:
-
El nombre de dominio del servidor LDAP debe coincidir con la entrada del cliente LDAP.
-
Los tipos hash de contraseña de usuario LDAP compatibles con el servidor LDAP deben incluir los compatibles con ONTAP:
-
CRIPTA (todos los tipos) y SHA-1 (SHA, SSHA).
-
A partir de los valores hash de ONTAP 9.8, SHA-2 (SHA-256, SSH-384, SHA-512, SSHA-256, También se admiten SSHA-384 y SSHA-512).
-
-
Si el servidor LDAP requiere medidas de seguridad de la sesión, debe configurarlas en el cliente LDAP.
Están disponibles las siguientes opciones de seguridad de la sesión:
-
La firma LDAP (proporciona comprobación de la integridad de los datos) y la firma y el sellado LDAP (proporciona cifrado y comprobación de la integridad de los datos).
-
INICIE TLS
-
LDAPS (LDAP sobre TLS o SSL)
-
-
Para habilitar consultas LDAP firmadas y selladas, se deben configurar los siguientes servicios:
-
Los servidores LDAP deben ser compatibles con el mecanismo SASL GSSAPI (Kerberos).
-
Los servidores LDAP deben tener registros DNS A/AAAA, así como registros PTR configurados en el servidor DNS.
-
Los servidores Kerberos deben tener registros SRV presentes en el servidor DNS.
-
-
Para habilitar el INICIO de TLS o LDAPS, se deben tener en cuenta los siguientes puntos.
-
Se trata de una práctica recomendada de NetApp para usar Start TLS en lugar de LDAPS.
-
Si se utiliza LDAPS, el servidor LDAP debe estar habilitado para TLS o para SSL en ONTAP 9.5 y versiones posteriores. SSL no es compatible con ONTAP 9.4 - 9.0.
-
Ya debe configurarse un servidor de certificados en el dominio.
-
-
Para habilitar la búsqueda de referencias LDAP (en ONTAP 9.5 y posterior), se deben cumplir las siguientes condiciones:
-
Ambos dominios deben configurarse con una de las siguientes relaciones de confianza:
-
Bidireccional
-
Unidireccional, donde la primaria confía en el dominio de referencia
-
Padre-hijo
-
-
El DNS debe configurarse de modo que resuelva todos los nombres de servidor a los que se hace referencia.
-
Las contraseñas de dominio deben ser las mismas para autenticarse cuando
--bind-as-cifs-serverse definen en TRUE.
-
Las siguientes configuraciones no son compatibles con la búsqueda de referencias LDAP.
-
Para todas las versiones de ONTAP:
-
Clientes LDAP en una SVM de administrador
-
Para ONTAP 9.8 y versiones anteriores (se admiten en la versión 9.9.1 y posteriores):
-
Firma y sellado LDAP ( `-session-security`opción)
-
Conexiones TLS cifradas (la
-use-start-tlsopción) -
Comunicaciones a través del puerto LDAPS 636 (la
-use-ldaps-for-ad-ldapopción)
-
-
A partir de ONTAP 9.11,1, puede usar "Utilice el enlace rápido LDAP para la autenticación nsswitch para SVM NFS de ONTAP."
-
Debe introducir un esquema de LDAP al configurar el cliente LDAP en la SVM.
En la mayoría de los casos, uno de los esquemas ONTAP predeterminados será apropiado. Sin embargo, si el esquema LDAP del entorno difiere de éste, debe crear un nuevo esquema de cliente LDAP para ONTAP antes de crear el cliente LDAP. Consulte a su administrador LDAP sobre los requisitos de su entorno.
-
No se admite el uso de LDAP para la resolución del nombre de host.
Para obtener más información, consulte "Informe técnico de NetApp 4835: Cómo configurar LDAP en ONTAP".