ONTAP NFS SVMのLDAPについて学ぶ
変更を提案
PDF
LDAP(Lightweight Directory Access Protocol)サーバを使用すると、ユーザ情報を一元的に管理できます。ユーザ データベースを環境内のLDAPサーバに格納している場合、既存のLDAPデータベース内のユーザ情報を検索するようにストレージ システムを設定できます。
-
LDAPをONTAP用に設定する前に、サイト環境がLDAPサーバおよびクライアント設定のベストプラクティスを満たしていることを確認する必要があります。具体的には、次の条件を満たす必要があります。
-
LDAPサーバのドメイン名がLDAPクライアント上のエントリと一致する必要があります。
-
LDAPサーバでサポートされるLDAPユーザのパスワード ハッシュ タイプに、ONTAPでサポートされる次のタイプが含まれている必要があります。
-
CRYPT(すべてのタイプ)およびSHA-1(SHA、SSHA)
-
ONTAP 9.8以降では、SHA-2ハッシュ(SHA-256、SSH-384、SHA-512、SSHA-256、SSHA-384、およびSSHA-512)もサポートされます。
-
-
LDAPサーバにセッション セキュリティ対策が必要な場合は、LDAPクライアントで設定する必要があります。
以下のセッション セキュリティ オプションを使用できます。
-
LDAP署名(データの整合性チェックを提供)およびLDAP署名と封印(データの整合性チェックと暗号化を提供)
-
START TLS
-
LDAPS(TLSまたはSSL経由のLDAP)
-
-
署名および封印されたLDAPクエリを有効にするには、次のサービスが設定されている必要があります。
-
LDAPサーバでGSSAPI(Kerberos)SASLがサポートされている必要があります。
-
LDAPサーバに、DNS A/AAAAレコード、およびDNSサーバで設定されたPTRレコードが必要です。
-
Kerberosサーバに、DNSサーバ上に存在するSRVレコードが必要です。
-
-
START TLSまたはLDAPSを有効にする場合、次の点を考慮する必要があります。
-
NetAppでは、LDAPSではなくStart TLSの使用を推奨しています。
-
LDAPSを使用する場合、LDAPサーバでTLSまたはSSL(ONTAP 9.5以降)を有効にする必要があります。SSLはONTAP 9.4~9.0ではサポートされていません。
-
証明書サーバがドメインで設定済みである必要があります。
-
-
LDAPリファーラル追跡を有効にするには(ONTAP 9.5以降)、次の条件を満たしている必要があります。
-
両方のドメインで次のいずれかの信頼関係が設定されている必要があります。
-
双方向
-
一方向(プライマリ ドメインがリファーラル ドメインを信頼)
-
親子
-
-
参照されているすべてのサーバ名を解決するようにDNSが設定されている必要があります。
-
`--bind-as-cifs-server`がtrueに設定されている場合、認証にはドメイン パスワードが同じである必要があります。
-
次の設定はLDAPリファーラル追跡でサポートされていません。
-
すべてのONTAPバージョン:
-
管理SVM上のLDAPクライアント
-
ONTAP 9.8以前の場合(9.9.1以降でサポートされます):
-
LDAP署名とシーリング( `-session-security`オプション)
-
暗号化されたTLS接続(
-use-start-tlsオプション) -
LDAPSポート636経由の通信(
-use-ldaps-for-ad-ldapオプション)
-
-
ONTAP 9.11.1以降では、"ONTAP NFS SVMのnsswitch認証にはLDAP高速バインドを使用します。"を使用できます。
-
SVMでLDAPクライアントを設定する際は、LDAPスキーマを入力する必要があります。
ほとんどの場合、デフォルトのONTAPスキーマのいずれかで問題ありません。ただし、環境のLDAPスキーマがデフォルトのスキーマと異なる場合は、LDAPクライアントを作成する前にONTAP用の新しいLDAPクライアント スキーマを作成する必要があります。環境の要件については、LDAP管理者にお問い合わせください。
-
LDAPをホスト名解決に使用することはサポートされていません。
詳細については、 "NetAppテクニカルレポート4835:ONTAPでLDAPを設定する方法"を参照してください。