LDAPのRFC2307bisサポートを有効にする
変更を提案
PDF
LDAPを使用する必要があり、ネストされたグループメンバーシップを使用するための追加機能が必要な場合は、ONTAPを設定してLDAPのRFC2307bisサポートを有効にすることができます。
デフォルトのLDAPクライアントスキーマのいずれかのコピーを作成しておく必要があります。
LDAPクライアントスキーマでは、グループオブジェクトはmemberUid属性を使用します。この属性には複数の値を含めることができ、そのグループに属するユーザの名前がリストされます。RFC2307bis対応のLDAPクライアントスキーマでは、グループオブジェクトでuniqueMember属性が使用されます。この属性には、LDAPディレクトリ内の別のオブジェクトの完全な識別名(DN)を含めることができます。これにより、グループに他のグループをメンバーとして追加できるため、ネストされたグループを使用できます。
ユーザは、ネストされたグループを含めて256を超えるグループのメンバーになることはできません。ONTAPでは、この256グループ制限を超えるグループは無視されます。
デフォルトでは、RFC2307bisサポートは無効になっています。
|
MS-AD-BISスキーマを使用してLDAPクライアントを作成すると、ONTAPでRFC2307bisサポートが自動的に有効になります。 |
詳細については、を参照してください "ネットアップテクニカルレポート 4835 :『 How to Configure LDAP in ONTAP 』"。
-
権限レベルをadvancedに設定します。
set -privilege advanced -
コピーしたRFC2307 LDAPクライアントスキーマを変更して、RFC2307bisのサポートを有効にします。
vserver services name-service ldap client schema modify -vserver vserver_name -schema schema-name -enable-rfc2307bis true -
LDAPサーバでサポートされているオブジェクトクラスに一致するようにスキーマを変更します。
vserver services name-service ldap client schema modify -vserver vserver-name -schema schema_name -group-of-unique-names-object-class object_class -
LDAPサーバでサポートされている属性名に一致するようにスキーマを変更します。
vserver services name-service ldap client schema modify -vserver vserver-name -schema schema_name -unique-member-attribute attribute_name -
admin権限レベルに戻ります。
set -privilege admin