Note di rilascio
Creare una configurazione del client LDAP
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Raccolta di documenti PDF separati
Creating your file...
Se si desidera che ONTAP acceda ai servizi LDAP o Active Directory esterni del proprio ambiente, è necessario prima configurare un client LDAP sul sistema di archiviazione.
Uno dei primi tre server nell'elenco dei domini risolti di Active Directory deve essere attivo e fornire i dati. In caso contrario, questa attività non riesce.
|
Vi sono più server, tra cui più di due server inattivi in qualsiasi momento. |
-
Rivolgersi all'amministratore LDAP per determinare i valori di configurazione appropriati per
vserver services name-service ldap client createcomando:-
Specificare una connessione basata su dominio o su indirizzo ai server LDAP.
Il
-ad-domaine.-serversle opzioni si escludono a vicenda.-
Utilizzare
-ad-domainOpzione per attivare la ricerca del server LDAP nel dominio Active Directory.-
È possibile utilizzare
-restrict-discovery-to-siteOpzione per limitare il rilevamento del server LDAP al sito predefinito CIFS per il dominio specificato. Se si utilizza questa opzione, è necessario specificare anche il sito predefinito CIFS con-default-site.
-
-
È possibile utilizzare
-preferred-ad-serversOpzione per specificare uno o più server Active Directory preferiti in base all'indirizzo IP in un elenco delimitato da virgole. Una volta creato il client, è possibile modificare questo elenco utilizzandovserver services name-service ldap client modifycomando. -
Utilizzare
-serversOpzione per specificare uno o più server LDAP (Active Directory o UNIX) per indirizzo IP in un elenco delimitato da virgole.
Il
-serversL'opzione è obsoleta in ONTAP 9.2. Iniziando con ONTAP 9,2, la-ldap-serversil campo sostituisce-serverscampo. Questo campo può contenere un nome host o un indirizzo IP per il server LDAP.
-
-
Specificare uno schema LDAP predefinito o personalizzato.
La maggior parte dei server LDAP può utilizzare gli schemi di sola lettura predefiniti forniti da ONTAP. Si consiglia di utilizzare questi schemi predefiniti, a meno che non sia necessario fare diversamente. In tal caso, è possibile creare uno schema personalizzato copiando uno schema predefinito (di sola lettura) e modificando la copia.
Schemi predefiniti:
-
MS-AD-BIS
Basato su RFC-2307bis, questo è lo schema LDAP preferito per la maggior parte delle implementazioni LDAP standard di Windows 2012 e versioni successive.
-
AD-IDMUBasato su Active Directory Identity Management per UNIX, questo schema è appropriato per la maggior parte dei server ad Windows 2008, Windows 2012 e versioni successive.
-
AD-SFUBasato su Active Directory Services per UNIX, questo schema è appropriato per la maggior parte dei server ad Windows 2003 e precedenti.
-
RFC-2307In base a RFC-2307 (un approccio per l'utilizzo di LDAP come Network Information Service), questo schema è appropriato per la maggior parte dei server UNIX ad.
-
-
Selezionare valori di binding.
-
-min-bind-level {anonymous|simple|sasl}specifica il livello minimo di autenticazione bind.Il valore predefinito è
anonymous. -
-bind-dn LDAP_DNspecifica l'utente di binding.Per i server Active Directory, è necessario specificare l'utente nel modulo account (DOMINIO/utente) o principale (user@domain.com). In caso contrario, è necessario specificare l'utente nel formato nome distinto (CN=user,DC=domain,DC=com).
-
-bind-password passwordspecifica la password di bind.
-
-
Selezionare le opzioni di sicurezza della sessione, se necessario.
È possibile attivare la firma e il sealing LDAP o LDAP su TLS, se richiesto dal server LDAP.
-
--session-security {none|sign|seal}È possibile attivare la firma (
sign, integrità dei dati), firma e sigillatura (seal, integrità dei dati e crittografia), o nessuna delle duenone, nessuna firma o sigillatura). Il valore predefinito ènone.Dovresti anche impostare
-min-bind-level{sasl} a meno che non si desideri che l'autenticazione bind venga meno a.anonymousoppuresimplese la sign e il sealing non vengono a buon fine. -
-use-start-tls{true|false}Se impostato su
trueE il server LDAP lo supporta, il client LDAP utilizza una connessione TLS crittografata al server. Il valore predefinito èfalse. Per utilizzare questa opzione, è necessario installare un certificato CA principale autofirmato del server LDAP.
Se nella VM di storage è stato aggiunto un server SMB a un dominio e il server LDAP è uno dei controller di dominio del dominio principale del server SMB, è possibile modificare l'
-session-security-for-ad-ldaputilizzando l'opzionevserver cifs security modifycomando. -
-
Selezionare i valori di porta, query e base.
I valori predefiniti sono consigliati, ma è necessario verificare con l'amministratore LDAP che siano appropriati per l'ambiente in uso.
-
-port portSpecifica la porta del server LDAP.Il valore predefinito è
389.
Se si intende utilizzare Start TLS per proteggere la connessione LDAP, è necessario utilizzare la porta predefinita 389. Start TLS (Avvia TLS) inizia come una connessione non crittografata sulla porta predefinita LDAP 389 e la connessione viene quindi aggiornata a TLS. Se si modifica la porta, l'avvio TLS non riesce.
-
-query-timeout integerspecifica il timeout della query in secondi.L'intervallo consentito va da 1 a 10 secondi. Il valore predefinito è
3secondi. -
-base-dn LDAP_DNSpecifica il DN di base.Se necessario, è possibile inserire più valori (ad esempio, se è attivata la funzione LDAP referral chasing). Il valore predefinito è
""(root). -
-base-scope{base|onelevel|subtree} specifica l'ambito di ricerca di base.Il valore predefinito è
subtree. -
-referral-enabled{true|false} Specifica se è attivata la funzione LDAP referral chasing.A partire da ONTAP 9.5, questo consente al client LDAP di indirizzare le richieste di ricerca ad altri server ONTAP se il server LDAP primario restituisce una risposta di riferimento LDAP che indica la presenza dei record desiderati sui server LDAP citati. Il valore predefinito è
false.
-
Per cercare i record presenti nei server LDAP indicati, è necessario aggiungere la base dn dei record indicati alla base-dn come parte della configurazione del client LDAP.
-
-
Creazione di una configurazione del client LDAP sulla VM di storage:
vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name {-servers LDAP_server_list | -ad-domain ad_domain} -preferred-ad-servers preferred_ad_server_list -restrict-discovery-to-site {true|false} -default-site CIFS_default_site -schema schema -port 389 -query-timeout 3 -min-bind-level {anonymous|simple|sasl} -bind-dn LDAP_DN -bind-password password -base-dn LDAP_DN -base-scope subtree -session-security {none|sign|seal} [-referral-enabled {true|false}]
È necessario fornire il nome della VM di archiviazione quando si crea una configurazione client LDAP.
-
Verificare che la configurazione del client LDAP sia stata creata correttamente:
vserver services name-service ldap client show -client-config client_config_name
Il seguente comando crea una nuova configurazione del client LDAP denominata ldap1 per la Storage VM VS1 da utilizzare con un server Active Directory per LDAP:
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100
Il seguente comando crea una nuova configurazione del client LDAP denominata ldap1 per la VM di storage VS1 in modo che funzioni con un server Active Directory per LDAP su cui è richiesta la firma e la sigillatura e il rilevamento del server LDAP è limitato a un sito specifico per il dominio specificato:
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -restrict-discovery-to-site true -default-site cifsdefaultsite.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal
Il seguente comando crea una nuova configurazione del client LDAP denominata ldap1 per la VM di storage VS1 in modo che funzioni con un server Active Directory per LDAP in cui è richiesta la ricerca del riferimento LDAP:
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true
Il seguente comando modifica la configurazione del client LDAP denominata ldap1 per la macchina virtuale di storage VS1 specificando il DN di base:
cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com
Il seguente comando modifica la configurazione del client LDAP denominata ldap1 per la VM di storage VS1 abilitando la ricerca del riferimento:
cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -referral-enabled true