Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

nsswitch認証にLDAP高速バインドを使用できます

共同作成者
PDF

ONTAP 9.11.1以降では、ldap_fast bind_fルキノ ウ(_コンカレントbind_とも呼ばれます)を利用して、クライアント認証要求を迅速かつ簡単に行うことができます。この機能を使用するには、LDAPサーバが高速バインド機能をサポートしている必要があります。

このタスクについて

高速バインドを使用しない場合、ONTAP はLDAP簡易バインドを使用して、LDAPサーバで管理ユーザを認証します。この認証方式では、ONTAP がユーザまたはグループの名前をLDAPサーバに送信し、保存されているハッシュパスワードを受信して、サーバのハッシュコードをユーザパスワードからローカルに生成されたハッシュパスコードと比較します。同一の場合、ONTAP はログイン権限を付与します。

高速バインド機能を使用すると、ONTAP はセキュアな接続を介してLDAPサーバにユーザクレデンシャル(ユーザ名とパスワード)のみを送信します。LDAPサーバはこれらのクレデンシャルを検証し、ONTAP にログイン権限を付与するように指示します。

高速バインドの利点の1つは、LDAPサーバでサポートされるすべての新しいハッシュアルゴリズムをONTAP でサポートする必要がないことです。パスワードハッシュはLDAPサーバによって実行されるためです。

"高速バインドの使用方法について説明します。"

LDAP高速バインドには、既存のLDAPクライアント設定を使用できます。ただし、LDAPクライアントがTLSまたはLDAPS用に設定されていることを強く推奨します。設定されていない場合は、パスワードがプレーンテキストでネットワーク経由で送信されます。

ONTAP 環境でLDAP高速バインドを有効にするには、次の要件を満たす必要があります。

  • ONTAP 管理者ユーザは、高速バインドをサポートするLDAPサーバで設定する必要があります。

  • ネームサービススイッチ(nsswitch)データベースにLDAP用にONTAP SVMが設定されている必要があります。

  • 高速バインドを使用してnsswitch認証を行うには、ONTAP 管理者ユーザアカウントとグループアカウントを設定する必要があります。

手順

  1. LDAPサーバでLDAP高速バインドがサポートされていることをLDAP管理者に確認してください。

  2. ONTAP 管理者ユーザクレデンシャルがLDAPサーバで設定されていることを確認します。

  3. 管理SVMまたはデータSVMにLDAP高速バインドが正しく設定されていることを確認します。

    1. LDAP高速バインドサーバがLDAPクライアント設定にリストされていることを確認するには、次のように入力します。

      vserver services name-service ldap client show

      "LDAPクライアント設定について説明します。"

    2. 確認してください ldap は、nsswitchに設定されているソースの1つです passwd データベースに次のように入力します

      vserver services name-service ns-switch show

    "nsswitch設定の詳細は、こちらをご覧ください。"

  4. 管理ユーザがnsswitchで認証されていること、およびアカウントでLDAP高速バインド認証が有効になっていることを確認します。

    • 既存のユーザの場合は、と入力します security login modify 次のパラメータ設定を確認します。

      -authentication-method nsswitch

    -is-ldap-fastbind true