LDAPベースは、LDAPクライアントがLDAPクエリの実行に使用するデフォルトのベースDNです。ユーザ、グループ、ネットグループの検索を含むすべての検索は、ベースDNを使用して実行されます。このオプションは、LDAPディレクトリが比較的小さく、関連するすべてのエントリが同じDN内にある場合に適しています。

カスタムベースDNを指定しない場合、デフォルトはです root。つまり、各クエリでディレクトリ全体が検索されます。これにより、LDAPクエリが成功する可能性は最大になりますが、非効率的になり、大規模なLDAPディレクトリではパフォーマンスが大幅に低下する可能性があります。

LDAPベーススコープは、LDAPクライアントがLDAPクエリの実行に使用するデフォルトの検索スコープです。ユーザ、グループ、ネットグループの検索を含むすべての検索は、ベーススコープを使用して実行されます。LDAPクエリーで、名前付きエントリのみを検索するか、DNの1レベル下のエントリを検索するか、DNの下のサブツリー全体を検索するかを決定します。

カスタムベーススコープを指定しない場合、デフォルトはです subtree。つまり、各クエリはDNの下のサブツリー全体を検索します。これにより、LDAPクエリが成功する可能性は最大になりますが、非効率的になり、大規模なLDAPディレクトリではパフォーマンスが大幅に低下する可能性があります。

必要に応じて、ユーザ、グループ、およびネットグループ検索で、別々のベースおよびスコープ値を指定できます。この方法で検索ベースとクエリの範囲を制限すると、検索がLDAPディレクトリのより小さなサブセクションに制限されるため、パフォーマンスが大幅に向上します。

カスタムベースと範囲の値を指定すると、ユーザ、グループ、およびネットグループ検索の一般的なデフォルトの検索ベースと範囲が上書きされます。カスタムのベース値と範囲値を指定するパラメータは、advanced権限レベルで使用できます。

LDAPディレクトリ構造がより複雑な場合は、特定の情報についてLDAPディレクトリの複数の部分を検索するために、複数のベースDNを指定する必要がある場合があります。ユーザ、グループ、およびネットグループDNの各パラメータに複数のDNを指定するには、各パラメータをセミコロン（;）で区切り、DN検索リスト全体を二重引用符（"）で囲みます。DNにセミコロンが含まれている場合は、DN内のセミコロンの直前にエスケープ文字（\）を追加する必要があります。

スコープは、対応するパラメータに指定されたDNSのリスト全体に適用されることに注意してください。たとえば、ユーザスコープに3つの異なるユーザDNとサブツリーのリストを指定すると、LDAPユーザ検索では、指定された3つのDNのそれぞれについてサブツリー全体が検索されます。

また、 ONTAP 9.5 以降では、 LDAP_referral_c追いかけ _ を指定することもできます。これにより、プライマリ LDAP サーバから LDAP リファーラル応答が返されなかった場合に、 ONTAP LDAP クライアントがその他の LDAP サーバへのルックアップ要求を参照することができます。クライアントは、そのリファーラルデータを使用して、リファーラルデータに記載されたターゲットオブジェクトをサーバから読み出します。参照されたLDAPサーバにあるオブジェクトを検索するには、参照されたオブジェクトのベースDNをLDAPクライアント設定の一部としてベースDNに追加します。ただし、参照されたオブジェクトが検索されるのは、LDAPクライアントの作成時または変更時にリファーラル追跡が有効（オプションを使用）になっている場合のみです -referral-enabled true。

LDAP設定オプションパラメータを使用して、カスタム検索フィルタを作成できます。パラメータは、 `-group-membership-filter`LDAPサーバからグループメンバーシップを検索するときに使用する検索フィルタを指定します。

有効なフィルタの例を次に示します。

詳細については、をご覧ください "ONTAPでLDAPを設定する方法"。