Notes de mise à jour
Créez une configuration client LDAP
Suggérer des modifications
-
Un fichier PDF de toute la documentation
-
Administration du cluster
-
L'administration des volumes
-
Gestion du stockage logique avec l'interface de ligne de commandes
-
Utilisez des quotas pour limiter ou suivre l'utilisation des ressources
-
-
-
Gestion du stockage NAS
-
Configurez NFS avec l'interface de ligne de commande
-
Gérez NFS avec l'interface de ligne de commande
-
Gestion de SMB avec l'interface de ligne de commandes
-
Gérer les serveurs SMB
-
Gérer l'accès aux fichiers via SMB
-
-
-
Gestion du stockage SAN
-
Authentification et contrôle d'accès
-
Sécurité et chiffrement des données
-
Utilisez FPolicy pour le contrôle et la gestion des fichiers sur SVM
-
-
Protection des données et reprise d'activité
-
Plusieurs fichiers PDF
Creating your file...
Si vous souhaitez que ONTAP accède aux services LDAP ou Active Directory externes de votre environnement, vous devez d'abord configurer un client LDAP sur le système de stockage.
L'un des trois premiers serveurs de la liste des domaines résolus d'Active Directory doit être actif et transmettre des données. Dans le cas contraire, cette tâche échoue.
|
Il existe plusieurs serveurs, dont plus de deux serveurs sont en panne à tout moment. |
-
Consultez votre administrateur LDAP pour déterminer les valeurs de configuration appropriées pour le
vserver services name-service ldap client createcommande :-
Spécifiez une connexion basée sur un domaine ou une adresse aux serveurs LDAP.
Le
-ad-domainet-serversles options s'excluent mutuellement.-
Utilisez le
-ad-domainOption permettant d'activer la découverte de serveur LDAP dans le domaine Active Directory.-
Vous pouvez utiliser le
-restrict-discovery-to-siteOption permettant de restreindre la découverte du serveur LDAP au site CIFS par défaut du domaine spécifié. Si vous utilisez cette option, vous devez également spécifier le site CIFS par défaut avec-default-site.
-
-
Vous pouvez utiliser le
-preferred-ad-serversOption permettant de spécifier un ou plusieurs serveurs Active Directory préférés par adresse IP dans une liste délimitée par des virgules. Une fois le client créé, vous pouvez modifier cette liste en utilisant levserver services name-service ldap client modifycommande. -
Utilisez le
-serversOption permettant de spécifier un ou plusieurs serveurs LDAP (Active Directory ou UNIX) par adresse IP dans une liste délimitée par des virgules.
Le
-serversCette option est obsolète dans ONTAP 9.2. À partir de ONTAP 9.2, le-ldap-serversremplace le-serverslégale. Ce champ peut prendre un nom d'hôte ou une adresse IP pour le serveur LDAP.
-
-
Spécifiez un schéma LDAP par défaut ou personnalisé.
La plupart des serveurs LDAP peuvent utiliser les schémas en lecture seule par défaut fournis par ONTAP. Il est préférable d'utiliser ces schémas par défaut à moins qu'il n'y ait une obligation de le faire autrement. Si c'est le cas, vous pouvez créer votre propre schéma en copiant un schéma par défaut (en lecture seule), puis en modifiant la copie.
Schémas par défaut :
-
MS-AD-BIS
Basé sur RFC-2307bis, il s'agit du schéma LDAP préféré pour la plupart des déploiements LDAP standard de Windows 2012 et versions ultérieures.
-
AD-IDMUBasé sur Active Directory Identity Management pour UNIX, ce schéma est adapté à la plupart des serveurs AD Windows 2008, Windows 2012 et versions ultérieures.
-
AD-SFUBasé sur Active Directory Services pour UNIX, ce schéma est approprié pour la plupart des serveurs AD Windows 2003 et versions antérieures.
-
RFC-2307Basé sur RFC-2307 (une approche pour l'utilisation de LDAP en tant que service d'informations réseau), ce schéma est approprié pour la plupart des serveurs AD UNIX.
-
-
Sélectionnez les valeurs de liaison.
-
-min-bind-level {anonymous|simple|sasl}spécifie le niveau d'authentification de liaison minimum.La valeur par défaut est
anonymous. -
-bind-dn LDAP_DNspécifie l'utilisateur de liaison.Pour les serveurs Active Directory, vous devez spécifier l'utilisateur dans le formulaire compte (DOMAINE\utilisateur) ou principal (user@domain.com). Sinon, vous devez spécifier l'utilisateur sous le format nom distinctif (CN=user,DC=domain,DC=com).
-
-bind-password passwordspécifie le mot de passe de liaison.
-
-
Sélectionnez les options de sécurité de session, si nécessaire.
Vous pouvez activer soit la signature et le chiffrement LDAP, soit LDAP sur TLS si le serveur LDAP en a besoin.
-
--session-security {none|sign|seal}Vous pouvez activer la signature (
sign, intégrité des données), signature et scellage (seal, intégrité et chiffrement des données), ou ni l'un ni l'autrenone, pas de signature ou d'étanchéité). La valeur par défaut estnone.Vous devez également définir
-min-bind-level{sasl} à moins que vous ne souhaitiez que l'authentification de la liaison revienne àanonymousousimpleen cas d'échec de la signature et de la liaison d'étanchéité. -
-use-start-tls{true|false}S'il est réglé sur
trueEt le serveur LDAP le prend en charge, le client LDAP utilise une connexion TLS chiffrée vers le serveur. La valeur par défaut estfalse. Vous devez installer un certificat d'autorité de certification racine auto-signé du serveur LDAP pour utiliser cette option.
Si un serveur SMB est ajouté à un domaine de la machine virtuelle de stockage et que le serveur LDAP fait partie des contrôleurs de domaine du domaine principal du serveur SMB, vous pouvez modifier la
-session-security-for-ad-ldapà l'aide devserver cifs security modifycommande. -
-
Sélectionnez les valeurs de port, de requête et de base.
Les valeurs par défaut sont recommandées, mais vous devez vérifier auprès de votre administrateur LDAP qu'elles sont adaptées à votre environnement.
-
-port portSpécifie le port du serveur LDAP.La valeur par défaut est
389.
Si vous prévoyez d'utiliser Démarrer TLS pour sécuriser la connexion LDAP, vous devez utiliser le port par défaut 389. Start TLS commence comme une connexion en texte clair sur le port par défaut LDAP 389, et cette connexion est ensuite mise à niveau vers TLS. Si vous modifiez le port, le démarrage TLS échoue.
-
-query-timeout integerspécifie le délai d'expiration de la requête en secondes.La plage autorisée est de 1 à 10 secondes. La valeur par défaut est
3secondes. -
-base-dn LDAP_DNSpécifie le DN de base.Plusieurs valeurs peuvent être saisies si nécessaire (par exemple, si la recherche de références LDAP est activée). La valeur par défaut est
""(racine). -
-base-scope{base|onelevel|subtree} spécifie l'étendue de la recherche de base.La valeur par défaut est
subtree. -
-referral-enabled{true|false} Indique si la recherche de recommandation LDAP est activée.Depuis ONTAP 9.5, ceci permet au client LDAP de ONTAP de renvoyer des demandes de recherche à d'autres serveurs LDAP si une réponse de recommandation LDAP est renvoyée par le serveur LDAP principal indiquant que les enregistrements souhaités sont présents sur les serveurs LDAP mentionnés. La valeur par défaut est
false.
-
Pour rechercher des enregistrements présents dans les serveurs LDAP désignés, la base-dn des enregistrements recommandés doit être ajoutée à la base-dn dans le cadre de la configuration du client LDAP.
-
-
Créer une configuration client LDAP sur la VM de stockage :
vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name {-servers LDAP_server_list | -ad-domain ad_domain} -preferred-ad-servers preferred_ad_server_list -restrict-discovery-to-site {true|false} -default-site CIFS_default_site -schema schema -port 389 -query-timeout 3 -min-bind-level {anonymous|simple|sasl} -bind-dn LDAP_DN -bind-password password -base-dn LDAP_DN -base-scope subtree -session-security {none|sign|seal} [-referral-enabled {true|false}]
Vous devez fournir le nom de la VM de stockage lors de la création d'une configuration client LDAP.
-
Vérifiez que la configuration du client LDAP a bien été créée :
vserver services name-service ldap client show -client-config client_config_name
La commande suivante crée une nouvelle configuration de client LDAP nommée ldap1 pour que la VM de stockage vs1 fonctionne avec un serveur Active Directory pour LDAP :
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100
La commande suivante crée une nouvelle configuration de client LDAP nommée ldap1 pour que la machine virtuelle de stockage vs1 fonctionne avec un serveur Active Directory pour LDAP sur lequel la signature et le chiffrement sont nécessaires, et la découverte du serveur LDAP est limitée à un site particulier pour le domaine spécifié :
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -restrict-discovery-to-site true -default-site cifsdefaultsite.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal
La commande suivante crée une nouvelle configuration de client LDAP nommée ldap1 pour que la VM de stockage vs1 fonctionne avec un serveur Active Directory pour LDAP où la recherche de référence LDAP est requise :
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true
La commande suivante modifie la configuration du client LDAP nommée ldap1 pour la VM de stockage vs1 en spécifiant le DN de base :
cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com
La commande suivante modifie la configuration du client LDAP appelée ldap1 pour la VM de stockage vs1 en activant la recherche de référence :
cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -referral-enabled true