Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP NFS SVMのLDAPSについて学ぶ

共同作成者 netapp-aaron-holt netapp-mwallis netapp-barbe netapp-thomi netapp-aherbin
PDF

ONTAPでのLDAP通信の保護方法に関する用語や概念を理解しておく必要があります。ONTAPは、Active Directory統合LDAPサーバ間またはUNIXベースのLDAPサーバ間の認証されたセッションを設定するために、Start TLSまたはLDAP over TLSを使用できます。

用語

ONTAPでのLDAPSを使用したLDAP通信の保護方法に関して理解しておくべき用語があります。

  • LDAP

    (Lightweight Directory Access Protocol;ライトウェイト ディレクトリ アクセス プロトコル)情報ディレクトリに対するアクセスおよび管理を行うためのプロトコルです。LDAPは、ユーザ、グループ、ネットグループのようなオブジェクトを格納するための情報ディレクトリとして使用されます。またLDAPは、これらのオブジェクトを管理したりLDAPクライアントからの要求を満たしたりするディレクトリ サービスを提供します。

  • SSL

    (Secure Sockets Layer)インターネット上で情報を安全に送信するために開発されたプロトコルです。SSLは、ONTAP 9以降でサポートされていますが、TLSの導入に伴い廃止されました。

  • TLS

    (Transport Layer Security) それまでのSSL仕様に基づいたIETF標準の追跡プロトコルです。SSLの後継にあたります。TLSは、ONTAP 9.5以降でサポートされています。

  • LDAPS(SSL または TLS 経由の LDAP)

    TLSまたはSSLを使用してLDAPクライアントとLDAPサーバ間の通信を保護するプロトコル。「LDAP over SSL」と「LDAP over TLS」という用語は、同じ意味で使用される場合があります。LDAPSはONTAP 9.5以降でサポートされています。

    • ONTAP 9.8~9.5では、LDAPSはポート636でのみ有効にできます。これを行うには、 `vserver cifs security modify`コマンドで `-use-ldaps-for-ad-ldap`パラメータを使用します。

    • ONTAP 9.9.1以降では、ポート636がデフォルトのままですが、LDAPSは任意のポートで有効にできます。有効にするには、 `-ldaps-enabled`パラメータを `true`に設定し、必要な `-port`パラメータを指定します。"ONTAPコマンド リファレンス"の `vserver services name-service ldap client create`の詳細を確認してください。

    メモ

    NetAppでは、LDAPSではなくStart TLSの使用を推奨しています。

  • TLSの開始

    start_tlsSTARTTLSStartTLS とも呼ばれます)TLSプロトコルを使用して安全な通信を提供するメカニズム。

    ONTAPでは、LDAP通信を保護するためにSTARTTLSを使用し、デフォルトのLDAPポート(389)を使用してLDAPサーバと通信します。LDAPサーバは、LDAPポート389経由の接続を許可するように設定する必要があります。そうしないと、SVMからLDAPサーバへのLDAP TLS接続が失敗します。

ONTAPでのLDAPSの使用方法

ONTAPはTLSサーバ認証をサポートしています。この認証により、SVMのLDAPクライアントは、バインド操作時にLDAPサーバの識別情報を確認できます。TLSに対応したLDAPクライアントは、公開鍵暗号化の標準的な技法を使用して、サーバの証明書および公開IDが有効であり、かつクライアントの信頼できるCertificate Authority(CA;認証局)のリストにあるCAによって発行されたものであるかどうかをチェックできます。

LDAPでは、TLSを使用した通信の暗号化方法としてSTARTTLSがサポートされています。STARTTLSは標準のLDAPポート(389)経由でプレーンテキスト接続として開始され、その後TLS接続にアップグレードされます。

ONTAPでは以下をサポートしています。

  • Active Directory統合LDAPサーバとSVMとの間のSMB関連トラフィックに対するLDAPSの使用

  • ネーム マッピングやその他のUNIX情報のLDAPトラフィックに対するLDAPSの使用

    Active Directory統合LDAPサーバまたはUNIXベースLDAPサーバのどちらかを使用して、LDAPネーム マッピングの情報やその他のUNIX情報(ユーザ、グループ、ネットグループなど)を格納できます。

  • 自己署名ルートCA証明書

    Active-Directory統合LDAPを使用している場合は、Windows Server証明書サービスがドメインにインストールされていると自己署名ルート証明書が生成されます。UNIXベースのLDAPサーバをLDAPネーム マッピングに使用している場合は、該当するLDAPアプリケーションに適切な手段を使用して、自己署名ルート証明書の生成と保存が行われます。

デフォルトでは、LDAPSは無効になっています。