ONTAP NFS SVMのnsswitch認証にLDAP高速バインドを使用する
変更を提案
PDF
ONTAP 9.11.1以降では、LDAP_ファスト バインド_機能(_コンカレント バインド_とも呼ばれます)を利用して、クライアント認証要求をより高速かつシンプルにすることができます。この機能を使用するには、LDAPサーバがファスト バインド機能をサポートしている必要があります。
高速バインドを使用しない場合、ONTAPはLDAP簡易バインドを使用してLDAPサーバで管理者ユーザを認証します。この認証方式では、ONTAPがLDAPサーバにユーザ名またはグループ名を送信し、サーバに格納されているハッシュ パスワードを受け取って、サーバ ハッシュ コードをユーザ パスワードから生成されたローカル ハッシュ パスコードと比較します。この2つが一致した場合、ONTAPはログイン権限を付与します。
高速バインド機能を使用する場合、ONTAPはセキュアな接続を介してLDAPサーバにユーザ クレデンシャル(ユーザ名とパスワード)を送信するだけです。LDAPサーバは受け取ったクレデンシャルを検証し、ログイン権限を付与するようにONTAPに指示します。
高速バインドの利点の1つは、パスワードのハッシュ化はLDAPサーバで実行されるため、LDAPサーバでサポートされるすべての新しいハッシュ アルゴリズムをONTAPでサポートする必要がないことです。
LDAP高速バインドには、既存のLDAPクライアント設定を使用できます。ただし、パスワードがプレーン テキストでネットワークに送信されないように、LDAPクライアントにTLSまたはLDAPSを設定しておくことを強く推奨します。
ONTAP環境でLDAP高速バインドを有効にするには、次の要件を満たす必要があります。
-
高速バインドをサポートするLDAPサーバにONTAP管理者ユーザが設定されている必要があります。
-
ONTAP SVMのネーム サービス スイッチ(nsswitch)データベースにLDAPが設定されている必要があります。
-
ONTAP管理者ユーザおよびグループのアカウントに高速バインドを使用したnsswitch認証が設定されている必要があります。
-
LDAP管理者に問い合わせて、LDAPサーバでLDAP高速バインドがサポートされていることを確認します。
-
LDAPサーバにONTAP管理者ユーザのクレデンシャルが設定されていることを確認します。
-
管理SVMまたはデータSVMにLDAP高速バインドが正しく設定されていることを確認します。
-
LDAP高速バインド サーバがLDAPクライアント設定にリストされていることを確認するには、次のように入力します。
vserver services name-service ldap client show -
`ldap`がnsswitch `passwd`データベースに設定されたソースの1つであることを確認するには、次のように入力します:
vserver services name-service ns-switch show
-
-
管理者ユーザがnsswitchで認証されていること、および管理者のアカウントでLDAP高速バインド認証が有効になっていることを確認します。
-
既存のユーザーの場合は、 `security login modify`を入力して次のパラメータ設定を確認します:
-authentication-method nsswitch-is-ldap-fastbind true`security login modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-modify.html["ONTAPコマンド リファレンス"^]を参照してください。
-
新しい管理者ユーザーの場合は、"LDAPまたはNIS ONTAPアカウントアクセスを有効にする"を参照してください。
-