LDAPベースは、LDAPクライアントがLDAPクエリを実行するために使用するデフォルトのベースDNです。ユーザ、グループ、ネットグループの検索を含むすべての検索は、ベースDNを使用して行われます。このオプションは、LDAPディレクトリが比較的小さくてすべての関連エントリが同じDN内にある場合に適しています。

カスタムベースDNを指定しない場合、デフォルトは `root`です。つまり、各クエリはディレクトリ全体を検索します。これによりLDAPクエリの成功率は最大化されますが、効率が悪く、大規模なLDAPディレクトリではパフォーマンスが大幅に低下する可能性があります。

LDAPベース スコープは、LDAPクライアントがLDAPクエリを実行するために使用するデフォルトのベース スコープです。ユーザ、グループ、ネットグループの検索を含むすべての検索は、ベース スコープを使用して行われます。LDAPクエリによる検索範囲を、名前付きエントリのみ、DNの1レベル下にあるエントリ、またはDNの下にあるサブツリー全体のどれにするかが決定されます。

カスタムベーススコープを指定しない場合、デフォルトは `subtree`です。つまり、各クエリはDN以下のサブツリー全体を検索します。これによりLDAPクエリの成功率は最大化されますが、効率が悪く、大規模なLDAPディレクトリではパフォーマンスが大幅に低下する可能性があります。

必要に応じて、ユーザ、グループ、およびネットグループ検索で、別々のベースおよびスコープ値を指定できます。クエリの検索ベースおよびクエリをこうした形で制限すると、検索対象がLDAPディレクトリのより小さなサブセクションに制限されるため、パフォーマンスを大幅に向上できます。

カスタム ベースおよびスコープ値を指定した場合、ユーザ、グループ、およびネットグループ検索の全般的なデフォルト検索ベースおよびスコープは無視されます。カスタム ベースおよびスコープ値を指定するパラメータは、advanced権限レベルで使用できます。

LDAPディレクトリが複雑な場合は、特定の情報を求めてLDAPディレクトリの複数の部分を検索するために複数のベースDNの指定が必要になる可能性があります。複数のユーザ、グループ、およびネットグループDNパラメータを指定するには、各パラメータをセミコロンで区切り、DN検索リスト全体を二重引用符（"）で囲みます。DNにセミコロンが含まれる場合、DNではセミコロンの直前にエスケープ文字（\）を追加する必要があります。

スコープは、対応するパラメータで指定されているDNのリスト全体に適用されることに注意してください。たとえば、3つの異なるユーザDNのリストとサブツリーをユーザ スコープで指定した場合は、LDAPユーザ検索により、指定された3つのDNのそれぞれでサブツリー全体が検索されます。

ONTAP 9.5以降では、LDAP _referral chasing_も指定できるようになりました。これにより、ONTAPのLDAPクライアントは、プライマリLDAPサーバからLDAPリファーラル応答が返されない場合に、他のLDAPサーバに検索要求を参照できます。クライアントはそのリファーラルデータを使用して、リファーラルデータに記述されているサーバからターゲットオブジェクトを取得します。参照先のLDAPサーバに存在するオブジェクトを検索するには、LDAPクライアント設定の一部として、参照先オブジェクトのbase-dnをbase-dnに追加します。ただし、参照先オブジェクトは、LDAPクライアント作成または変更時に（ `-referral-enabled true`オプションを使用して）リファーラル追跡が有効になっている場合にのみ検索されます。

LDAP設定オプションパラメータを使用して、カスタム検索フィルタを作成できます。 `-group-membership-filter`パラメータは、LDAPサーバからグループメンバーシップを検索する際に使用する検索フィルタを指定します。

有効なフィルターの例は次のとおりです：

"ONTAPでLDAPを設定する方法"についての詳細をご覧ください。