LDAPの概要
変更を提案
PDF
LDAP(Lightweight Directory Access Protocol)サーバを使用すると、ユーザ情報を一元的に管理できます。ユーザデータベースをLDAPサーバに格納する場合は、既存のLDAPデータベースのユーザ情報を検索するようにストレージシステムを設定できます。
-
ONTAP用にLDAPを設定する前に、サイト環境がLDAPサーバとクライアントの設定のベストプラクティスを満たしていることを確認する必要があります。具体的には、次の条件を満たす必要があります。
-
LDAPサーバのドメイン名がLDAPクライアントのエントリと一致している必要があります。
-
LDAPサーバでサポートされるLDAPユーザパスワードのハッシュタイプには、ONTAPでサポートされるハッシュタイプが含まれている必要があります。
-
Crypt(すべてのタイプ)およびSHA-1(SHA、SSHA)。
-
ONTAP 9 .8以降では、SHA-2ハッシュ(SHA-256、SSH-384、SHA-512、SSHA-256、SSHA-384、およびSSHA-512)もサポートされます。
-
-
LDAPサーバでセッションセキュリティ対策が必要な場合は、LDAPクライアントで設定する必要があります。
次のセッションセキュリティオプションを使用できます。
-
LDAP署名(データ整合性チェックを提供)およびLDAP署名と封印(データ整合性チェックと暗号化を提供)
-
START TLS
-
LDAPS ( LDAP over TLS または SSL )
-
-
署名および封印されたLDAPクエリを有効にするには、次のサービスを設定する必要があります。
-
LDAPサーバは、GSSAPI(Kerberos)SASLメカニズムをサポートしている必要があります。
-
LDAPサーバには、DNS A/AAAAレコードと、DNSサーバで設定されたPTRレコードが必要です。
-
Kerberosサーバには、DNSサーバ上にSRVレコードが存在する必要があります。
-
-
START TLSまたはLDAPSを有効にするには、次の点を考慮する必要があります。
-
NetAppでは、LDAPSではなくStart TLSを使用することを推奨します。
-
LDAPSを使用する場合は、ONTAP 9 .5以降で、TLSまたはSSLに対してLDAPサーバが有効になっている必要があります。ONTAP 9ではSSLはサポートされていません。0-9.4
-
証明書サーバがドメインで設定済みである必要があります。
-
-
LDAPリファーラル追跡を有効にするには(ONTAP 9 .5以降で)、次の条件を満たす必要があります。
-
両方のドメインに次のいずれかの信頼関係を設定する必要があります。
-
双方向
-
一方向(プライマリがリファーラルドメインを信頼する場合)
-
親子
-
-
参照されるすべてのサーバ名を解決するようにDNSを設定する必要があります。
-
trueに設定した場合、認証するドメインパスワードは同じである必要があります
--bind-as-cifs-server。
-
次の設定はLDAPリファーラル追跡ではサポートされていません。
-
すべてのONTAPバージョン:
-
管理 SVM 上の LDAP クライアント
-
ONTAP 9.8 以前では( 9.9.1 以降でサポートされています):
-
LDAPの署名と封印( `-session-security`オプション)
-
暗号化されたTLS接続( `-use-start-tls`オプション)
-
LDAPSポート636経由の通信( `-use-ldaps-for-ad-ldap`オプション)
-
-
ONTAP 9 .11.1以降では、"nsswitch認証のためのLDAP高速バインド。"
-
SVMでLDAPクライアントを設定するときは、LDAPスキーマを入力する必要があります。
ほとんどの場合、デフォルトのONTAPスキーマのいずれかが適切です。ただし、環境で使用するLDAPスキーマがこれらと異なる場合は、LDAPクライアントを作成する前に、ONTAP用の新しいLDAPクライアントスキーマを作成する必要があります。環境の要件については、LDAP管理者にお問い合わせください。
-
ホスト名解決にLDAPを使用することはサポートされていません。
詳細については、を参照してください "ネットアップテクニカルレポート 4835 :『 How to Configure LDAP in ONTAP 』"。