Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

LDAP ディレクトリ検索の設定オプション

共同作成者
PDF

環境にとって最も適切な方法で LDAP サーバに接続するように ONTAP LDAP クライアントを設定することで、ユーザ、グループ、およびネットグループ情報を含め、 LDAP ディレクトリ検索を最適化することができます。デフォルトの LDAP ベースおよびスコープ検索値で十分な状況や、カスタム値のほうが適切な場合に指定すべきパラメータを理解しておく必要があります。

ユーザ、グループ、およびネットグループ情報の LDAP クライアント検索オプションは、 LDAP クエリの失敗、ひいてはストレージシステムへのクライアントアクセスの失敗を回避するのに役立ちます。また、クライアントのパフォーマンスの問題を回避するために、検索をできるだけ効率的に行うことができます。

デフォルトのベースおよびスコープ検索値です

LDAP ベースは、 LDAP クライアントが LDAP クエリを実行するために使用するデフォルトのベース DN です。ユーザ、グループ、ネットグループの検索を含むすべての検索は、ベース DN を使用して行われます。このオプションは、 LDAP ディレクトリが比較的小さく、すべての関連エントリが同じ DN 内にある場合に適しています。

カスタムベースDNを指定しない場合、デフォルトはです root。つまり、各クエリでディレクトリ全体が検索されます。これにより、 LDAP クエリが成功する見込みは最大になりますが、非効率的であったり、大規模な LDAP ディレクトリではパフォーマンスの大幅な低下につながったりする可能性があります。

LDAP ベーススコープは、 LDAP クライアントが LDAP クエリを実行するために使用するデフォルトの検索スコープです。ユーザ、グループ、ネットグループの検索を含むすべての検索は、ベーススコープを使用して行われます。LDAP クエリによる検索範囲を、名前付きエントリのみ、 DN の 1 レベル下にあるエントリ、または DN の下にあるサブツリー全体のどれにするかが決定されます。

カスタムベーススコープを指定しない場合、デフォルトはです subtree。つまり、各クエリで DN の下にあるサブツリー全体が検索されます。これにより、 LDAP クエリが成功する見込みは最大になりますが、非効率的であったり、大規模な LDAP ディレクトリではパフォーマンスの大幅な低下につながったりする可能性があります。

カスタムベースおよびスコープ検索値

必要に応じて、ユーザ、グループ、およびネットグループ検索で、別々のベースおよびスコープ値を指定できます。クエリの検索ベースとクエリをこうした形で制限すると、検索対象が LDAP ディレクトリのより小さなサブセクションに制限されるため、パフォーマンスを大幅に向上させることができます。

カスタムベースおよびスコープ値を指定した場合、ユーザ、グループ、およびネットグループ検索の一般的なデフォルト検索ベースおよびスコープは無視されます。カスタムベースおよびスコープ値を指定するパラメータは、 advanced 権限レベルで使用できます。

LDAP クライアントパラメータ

カスタム指定要素

-base-dn

すべての LDAP 検索のベース DN 複数の値を必要に応じて入力できます( ONTAP 9.5 以降のリリースで LDAP リファーラル追跡を有効にした場合など)。

-base-scope

すべての LDAP 検索のベーススコープ

-user-dn

すべての LDAP ユーザ検索のベース DN このパラメータは、環境ユーザ名マッピング検索も行います。

-user-scope

すべての LDAP ユーザ検索のベーススコープ:このパラメータは、環境ユーザ名マッピング検索も行います。

-group-dn

すべての LDAP グループ検索のベース DN

-group-scope

すべての LDAP グループ検索のベーススコープ

-netgroup-dn

すべての LDAP ネットグループ検索のベース DN

-netgroup-scope

すべての LDAP ネットグループ検索のベーススコープ

複数のカスタムベース DN 値

LDAP ディレクトリが複雑な場合は、特定の情報を求めて LDAP ディレクトリの複数の部分を検索するために、複数のベース DN の指定が必要になることがあります。複数のユーザ、グループ、およびネットグループ DN パラメータを指定するには、各パラメータをセミコロン( ; )で区切り、 DN 検索リスト全体を二重引用符( " )で囲みます。DN にセミコロンが含まれている場合は、 DN のセミコロンの直前にエスケープ文字( \ )を追加する必要があります。

scope 環境は、対応するパラメータに指定されている のリスト全体を表します。たとえば、 3 つの異なるユーザ DN のリストとサブツリーをユーザスコープで指定した場合は、 LDAP ユーザ検索により、指定された 3 つの DN のそれぞれでサブツリー全体が検索されます。

また、 ONTAP 9.5 以降では、 LDAP_referral_c追いかけ _ を指定することもできます。これにより、プライマリ LDAP サーバから LDAP リファーラル応答が返されなかった場合に、 ONTAP LDAP クライアントがその他の LDAP サーバへのルックアップ要求を参照することができます。クライアントは、このリファーラルデータに記載されたサーバからターゲットオブジェクトを取得します。参照された LDAP サーバにあるオブジェクトを検索するには、参照されたオブジェクトのベース DN を LDAP クライアント設定の一部としてベース DN に追加します。ただし、参照されたオブジェクトは、(を使用して)リファーラル追跡が有効になっている場合にのみ検索されます -referral-enabled true オプション)LDAPクライアントの作成時または変更時