nsswitch認証にLDAP高速バインドを使用する
変更を提案
PDF
ONTAP 9.11.1以降では、ldap_fast bind_fルキノ ウ(_コンカレントbind_とも呼ばれます)を利用して、クライアント認証要求を迅速かつ簡単に行うことができます。この機能を使用するには、LDAPサーバが高速バインド機能をサポートしている必要があります。
高速バインドを使用しない場合、ONTAPはLDAP簡易バインドを使用してLDAPサーバで管理者ユーザを認証します。この認証方式では、ONTAPはユーザ名またはグループ名をLDAPサーバに送信し、保存されているハッシュパスワードを受信して、サーバハッシュコードとユーザパスワードからローカルに生成されたハッシュパスコードを比較します。これらが同一の場合、ONTAPはログイン権限を付与します。
高速バインド機能を使用すると、ONTAPはユーザクレデンシャル(ユーザ名とパスワード)のみをセキュアな接続経由でLDAPサーバに送信します。LDAPサーバはこれらのクレデンシャルを検証し、ONTAPにログイン権限を付与するように指示します。
高速バインドの利点の1つは、パスワードのハッシュはLDAPサーバによって実行されるため、LDAPサーバがサポートする新しいハッシュアルゴリズムをONTAPでサポートする必要がないことです。
LDAP高速バインドには、既存のLDAPクライアント設定を使用できます。ただし、LDAPクライアントをTLSまたはLDAPS用に設定することを強く推奨します。設定しないと、パスワードはプレーンテキストでネットワーク経由で送信されます。
ONTAP環境でLDAP高速バインドを有効にするには、次の要件を満たす必要があります。
-
ONTAP管理者ユーザは、高速バインドをサポートするLDAPサーバで設定する必要があります。
-
ネームサービススイッチ(nsswitch)データベースでLDAP用にONTAP SVMが設定されている必要があります。
-
高速バインドを使用したnsswitch認証用に、ONTAP管理者のユーザおよびグループのアカウントを設定する必要があります。
-
LDAPサーバでLDAP高速バインドがサポートされていることをLDAP管理者に確認します。
-
ONTAP管理者ユーザクレデンシャルがLDAPサーバに設定されていることを確認します。
-
管理SVMまたはデータSVMにLDAP高速バインドが正しく設定されていることを確認します。
-
LDAP高速バインドサーバがLDAPクライアント設定に表示されていることを確認するには、次のように入力します。
vserver services name-service ldap client show -
がnsswitchデータベースに設定されているソースの1つである
passwd`ことを確認するには `ldap、次のように入力します。vserver services name-service ns-switch show
-
-
管理者ユーザがnsswitchで認証されていること、およびLDAP高速バインド認証がアカウントで有効になっていることを確認します。
-
既存のユーザの場合は、次のパラメータ設定を入力し `security login modify`て確認します。
-authentication-method nsswitch
-is-ldap-fastbind true-
新しい管理者ユーザについては、を参照してください。"LDAPまたはNISアカウントアクセスを有効にします。"
-