LDAPサーバまたはNISサーバのアクセス設定の概要
変更を提案
PDF
LDAPアカウントまたはNISアカウントからSVMにアクセスするためには、LDAPサーバまたはNISサーバからSVMへのアクセスを設定しておく必要があります。スイッチ機能を使用すると、LDAPまたはNISを代替ネームサービスソースとして使用できます。
LDAPサーバ アクセスの設定
LDAPアカウントがSVMにアクセスするためには、LDAPサーバからSVMへのアクセスを設定しておく必要があります。コマンドを使用すると、SVMにLDAPクライアント設定を作成できます vserver services name-service ldap client create。その後、コマンドを使用し `vserver services name-service ldap create`て、LDAPクライアント設定をSVMに関連付けます。
ほとんどのLDAPサーバでは、ONTAPが提供するデフォルトスキーマを使用できます。
-
MS-AD-BIS(Windows Server 2012以降のほとんどのADサーバで推奨されるスキーマ)
-
AD-IDMU(Windows 2008、Windows 2016、およびそれ以降のADサーバ)
-
AD-SFU(Windows 2003以前のADサーバ)
-
RFC-2307(UNIX LDAPサーバ)
他のスキーマを使用する必要がないかぎり、デフォルトのスキーマを使用することを推奨します。その場合は、デフォルトのスキーマをコピーしてコピーを変更することで、独自のスキーマを作成できます。詳細については、次を参照してください。
-
SVMにをインストールしておく必要があり"CA 署名済みサーバデジタル証明書"ます。
-
このタスクを実行するには、クラスタ管理者またはSVM管理者である必要があります。
-
SVMにLDAPクライアント設定を作成します。
vserver services name-service ldap client create -vserver <SVM_name> -client-config <client_configuration> -servers <LDAP_server_IPs> -schema <schema> -use-start-tls <true|false>
Start TLSは、データSVMへのアクセスでのみサポートされます。管理SVMへのアクセスではサポートされません。 コマンド構文全体については、を参照してください "ワークシート"。
次のコマンドは、SVMに `engData`という名前のLDAPクライアント設定を作成し `corp`ます。クライアントは、IPアドレスが172.160.0.100および172.16.0.101のLDAPサーバに匿名でバインドします。クライアントはRFC-2307スキーマを使用してLDAPクエリを実行します。クライアントとサーバ間の通信はStart TLSを使用して暗号化されます。
cluster1::> vserver services name-service ldap client create -vserver engData -client-config corp -servers 172.16.0.100,172.16.0.101 -schema RFC-2307 -use-start-tls true
ONTAP 9 .2以降では、 -ldap-servers`フィールドがフィールドに置き換わります `-servers。この新しいフィールドには、LDAPサーバのホスト名またはIPアドレスを指定できます。 -
LDAPクライアント設定をSVMに関連付けます。
vserver services name-service ldap create -vserver <SVM_name> -client-config <client_configuration> -client-enabled <true|false>コマンド構文全体については、を参照してください "ワークシート"。
次のコマンドは、LDAPクライアント設定をSVMに
engData`関連付け `corp、SVMでLDAPクライアントを有効にします。cluster1::>vserver services name-service ldap create -vserver engData -client-config corp -client-enabled true
ONTAP 9 .2以降では vserver services name-service ldap create、コマンドによって設定の自動検証が実行され、ONTAPがネームサーバに接続できない場合はエラーメッセージが報告されます。 -
vserver services name-service ldap checkコマンドを使用して、ネームサーバのステータスを検証します。
次のコマンドは、SVM vs0のLDAPサーバを検証します。
cluster1::> vserver services name-service ldap check -vserver vs0 | Vserver: vs0 | | Client Configuration Name: c1 | | LDAP Status: up | | LDAP Status Details: Successfully connected to LDAP server "10.11.12.13". |
ネーム サービスのチェック コマンドはONTAP 9.2以降で使用できます。
NISサーバ アクセスの設定
NISアカウントがSVMにアクセスするためには、NISサーバからSVMへのアクセスを設定しておく必要があります。SVMにNISドメイン設定を作成するには、コマンドを使用し `vserver services name-service nis-domain create`ます。
-
SVMにNISドメインを設定するには、設定済みのすべてのサーバが使用可能でアクセス可能である必要があります。
-
このタスクを実行するには、クラスタ管理者またはSVM管理者である必要があります。
-
SVMにNISドメイン設定を作成します。
vserver services name-service nis-domain create -vserver <SVM_name> -domain <client_configuration> -nis-servers <NIS_server_IPs>コマンド構文全体については、を参照してください "ワークシート"。
ONTAP 9 .2以降では、 -nis-servers`フィールドがフィールドに置き換わります `-servers。この新しいフィールドには、NISサーバのホスト名またはIPアドレスを指定できます。次のコマンドは、SVMにNISドメイン設定を作成し
engData`ます。NISドメインは `nisdomain、IPアドレスを使用してNISサーバと通信し `192.0.2.180`ます。cluster1::>vserver services name-service nis-domain create -vserver engData -domain nisdomain -nis-servers 192.0.2.180
ネームサービススイッチを作成する
ネームサービススイッチ機能を使用すると、LDAPまたはNISを代替ネームサービスソースとして使用できます。コマンドを使用すると、ネームサービスソースの参照順序を指定できます vserver services name-service ns-switch modify。
-
LDAPサーバとNISサーバのアクセスを設定しておく必要があります。
-
このタスクを実行するには、クラスタ管理者またはSVM管理者である必要があります。
-
ネームサービスソースの検索順序を指定します。
vserver services name-service ns-switch modify -vserver <SVM_name> -database <name_service_switch_database> -sources <name_service_source_order>コマンド構文全体については、を参照してください "ワークシート"。
次のコマンドは、SVM上のデータベース
engData`のLDAPおよびNISネームサービスソースの検索順序を指定します `passwd。cluster1::>vserver services name-service ns-switch modify -vserver engData -database passwd -source files ldap,nis