nsswitch認証にLDAP高速バインドを使用できます
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP 9.11.1以降では、ldap_fast bind_fルキノ ウ(_コンカレントbind_とも呼ばれます)を利用して、クライアント認証要求を迅速かつ簡単に行うことができます。この機能を使用するには、LDAPサーバが高速バインド機能をサポートしている必要があります。
高速バインドを使用しない場合、ONTAP はLDAP簡易バインドを使用して、LDAPサーバで管理ユーザを認証します。この認証方式では、ONTAP がユーザまたはグループの名前をLDAPサーバに送信し、保存されているハッシュパスワードを受信して、サーバのハッシュコードをユーザパスワードからローカルに生成されたハッシュパスコードと比較します。同一の場合、ONTAP はログイン権限を付与します。
高速バインド機能を使用すると、ONTAP はセキュアな接続を介してLDAPサーバにユーザクレデンシャル(ユーザ名とパスワード)のみを送信します。LDAPサーバはこれらのクレデンシャルを検証し、ONTAP にログイン権限を付与するように指示します。
高速バインドの利点の1つは、LDAPサーバでサポートされるすべての新しいハッシュアルゴリズムをONTAP でサポートする必要がないことです。パスワードハッシュはLDAPサーバによって実行されるためです。
LDAP高速バインドには、既存のLDAPクライアント設定を使用できます。ただし、LDAPクライアントがTLSまたはLDAPS用に設定されていることを強く推奨します。設定されていない場合は、パスワードがプレーンテキストでネットワーク経由で送信されます。
ONTAP 環境でLDAP高速バインドを有効にするには、次の要件を満たす必要があります。
-
ONTAP 管理者ユーザは、高速バインドをサポートするLDAPサーバで設定する必要があります。
-
ネームサービススイッチ(nsswitch)データベースにLDAP用にONTAP SVMが設定されている必要があります。
-
高速バインドを使用してnsswitch認証を行うには、ONTAP 管理者ユーザアカウントとグループアカウントを設定する必要があります。
-
LDAPサーバでLDAP高速バインドがサポートされていることをLDAP管理者に確認してください。
-
ONTAP 管理者ユーザクレデンシャルがLDAPサーバで設定されていることを確認します。
-
管理SVMまたはデータSVMにLDAP高速バインドが正しく設定されていることを確認します。
-
LDAP高速バインドサーバがLDAPクライアント設定にリストされていることを確認するには、次のように入力します。
vserver services name-service ldap client show
-
確認してください
ldap
は、nsswitchに設定されているソースの1つですpasswd
データベースに次のように入力しますvserver services name-service ns-switch show
-
-
管理ユーザがnsswitchで認証されていること、およびアカウントでLDAP高速バインド認証が有効になっていることを確認します。
-
既存のユーザの場合は、と入力します
security login modify
次のパラメータ設定を確認します。-authentication-method nsswitch
-is-ldap-fastbind true
-
新しい管理者ユーザについては、を参照してください "LDAPまたはNISアカウントアクセスを有効にします。"
-