Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

LDAPSの概念

共同作成者
PDF

ONTAPでのLDAP通信の保護方法に関する用語や概念を理解しておく必要があります。ONTAPでは、Active Directory統合LDAPサーバ間またはUNIXベースのLDAPサーバ間の認証されたセッションを設定するために、START TLSまたはLDAPSを使用できます。

用語

ONTAPでのLDAPSを使用したLDAP通信の保護方法について理解しておくべき用語があります。

  • * LDAP *

    (Lightweight Directory Access Protocol)情報ディレクトリにアクセスして管理するためのプロトコル。LDAPは、ユーザ、グループ、ネットグループなどのオブジェクトを格納するための情報ディレクトリとして使用されます。LDAPは、これらのオブジェクトを管理し、LDAPクライアントからのLDAP要求を満たすディレクトリサービスも提供します。

  • SSL

    (Secure Sockets Layer)インターネットを介して情報を安全に送信するために開発されたプロトコルです。SSLはONTAP 9以降でサポートされていますが、TLSの導入に伴い廃止されています。

  • * tls *

    (Transport Layer Security)IETF標準の追跡プロトコルで、以前のSSL仕様に基づいています。SSLの後継です。TLSはONTAP 9 .5以降でサポートされています。

  • * LDAPS ( LDAP over SSL または TLS ) *

    TLSまたはSSLを使用してLDAPクライアントとLDAPサーバの間の通信を保護するプロトコル。「ldap over SSL」と「ldap over TLS」は同じ意味で使用されることがあります。LDAPSはONTAP 9 .5以降でサポートされています。

    • LDAP.5-9.8ではONTAP 9、LDAPSはポート636でのみ有効にできます。そのためには、コマンドでパラメータを `vserver cifs security modify`使用し `-use-ldaps-for-ad-ldap`ます。

    • ONTAP 9.9.1以降では、任意のポートでLDAPSを有効にできますが、デフォルトはポート636です。そのためには、パラメータをに true`設定し `-ldaps-enabled、必要なパラメータを指定します -port。詳細については、のマニュアルページを参照してください。 vserver services name-service ldap client create

    メモ

    NetAppでは、LDAPSではなくStart TLSを使用することを推奨します。

  • * TLS を開始 *

    START_TLS,STARTTLS 、 _StartTLS とも呼ばれます)。 TLS プロトコルを使用してセキュアな通信を提供するメカニズムです。

    ONTAPでは、LDAP通信を保護するためにSTARTTLSを使用し、デフォルトのLDAPポート(389)を使用してLDAPサーバと通信します。LDAPサーバは、LDAPポート389経由の接続を許可するように設定する必要があります。そうしないと、SVMからLDAPサーバへのLDAP TLS接続が失敗します。

ONTAPでのLDAPSの使用方法

ONTAPはTLSサーバ認証をサポートしています。これにより、SVM LDAPクライアントは、バインド処理時にLDAPサーバのIDを確認できます。TLS対応LDAPクライアントでは、公開鍵暗号化の標準的な技術を使用して、サーバの証明書と公開IDが有効であり、クライアントの信頼できるCAのリストに記載されている認証局(CA)によって発行されたものであることを確認できます。

LDAPでは、TLSを使用した通信の暗号化でSTARTTLSがサポートされます。STARTTLSは標準のLDAPポート(389)経由でプレーンテキスト接続として開始され、その後TLS接続にアップグレードされます。

ONTAPは次の機能をサポートします。

  • Active Directory統合LDAPサーバとSVMの間のSMB関連トラフィックに対するLDAPSの使用

  • ネームマッピングやその他のUNIX情報のLDAPトラフィックに対するLDAPSの使用

    Active Directory統合LDAPサーバまたはUNIXベースのLDAPサーバのいずれかを使用して、LDAPネームマッピングおよびその他のUNIX情報(ユーザ、グループ、ネットグループなど)の情報を格納できます。

  • シコシヨメイルウトCAシヨウメイシヨ

    Active Directory統合LDAPを使用している場合、Windows Server証明書サービスがドメインにインストールされているときに自己署名ルート証明書が生成されます。UNIXベースのLDAPサーバをLDAPネームマッピングに使用している場合は、そのLDAPアプリケーションに適した方法で自己署名ルート証明書が生成されて保存されます。

デフォルトでは、LDAPSは無効になっています。