ONTAP NFSアクセス用のLDAPクライアント構成を作成する
変更を提案
PDF
環境でONTAPから外部のLDAPやActive Directoryのサービスにアクセスする場合は、まずストレージ システム上でLDAPクライアントを設定する必要があります。
Active Directoryドメイン解決リストの最初の3台のサーバのうち1台が起動していて、データを提供している必要があります。そうでない場合、このタスクは失敗します。
|
複数のサーバがあり、どの時点でもそのうち3台以上のサーバがダウンしている状態です。 |
-
LDAP管理者に相談して、 `vserver services name-service ldap client create`コマンドの適切な構成値を決定してください:
-
LDAPサーバへのドメインベースまたはアドレスベースの接続を指定します。
`-ad-domain`オプションと `-servers`オプションは相互に排他的です。
-
Active Directoryドメインで LDAPサーバ検出を有効にするには、 `-ad-domain`オプションを使用します。
-
`-restrict-discovery-to-site`オプションを使用すると、LDAPサーバ検出を指定したドメインのCIFSデフォルト サイトに制限できます。このオプションを使用する場合は、 `-default-site`でCIFSデフォルト サイトも指定する必要があります。
-
-
`-preferred-ad-servers`オプションを使用すると、1つ以上の優先Active DirectoryサーバをIPアドレスでカンマ区切りのリストで指定できます。クライアントの作成後、 `vserver services name-service ldap client modify`コマンドを使用してこのリストを変更できます。
-
`-servers`オプションを使用して、カンマ区切りのリストでIPアドレス別に1つ以上のLDAPサーバー(Active DirectoryまたはUNIX)を指定します。
この `-servers`オプションは非推奨です。 `-ldap-servers`フィールドは `-servers`フィールドに置き換えられます。このフィールドには、LDAPサーバのホスト名またはIPアドレスのいずれかを指定できます。
-
-
デフォルトまたはカスタムのLDAPスキーマを指定します。
ほとんどのLDAPサーバでは、ONTAPによって提供されているデフォルトの読み取り専用スキーマを使用できます。他のスキーマを使用する必要がある場合を除き、デフォルトのスキーマを使用することを推奨します。他のスキーマを使用する場合は、デフォルトのスキーマ(読み取り専用)をコピーし、コピーを変更することによって、独自のスキーマを作成できます。
デフォルトのスキーマ:
-
MS-AD-BIS
RFC-2307bisに基づいて、Windows Server 2012以降のほとんどの標準的なLDAP環境に推奨されるLDAPスキーマです。
-
AD-IDMUActive Directory Identity Management for UNIXに基づいて、このスキーマはWindows Server 2008、Windows Server 2012、およびそれ以降のほとんどのADサーバに適しています。
-
AD-SFUActive Directory Services for UNIXに基づいて、このスキーマはWindows Server 2003以前のほとんどのADサーバに適しています。
-
RFC-2307RFC-2307(An Approach for Using LDAP as a Network Information Service)に基づくこのスキーマは、ほとんどのUNIX ADサーバに適しています。
-
-
バインド値を選択します。
-
`-min-bind-level {anonymous|simple|sasl}`最小のバインド認証レベルを指定します。
デフォルト値は `anonymous`です。
-
`-bind-dn LDAP_DN`バインド ユーザを指定します。
Active Directoryサーバの場合は、アカウント(DOMAIN\user)またはプリンシパル(user@domain.com)の形式でユーザを指定する必要があります。それ以外の場合は、識別名(CN=user,DC=domain,DC=com)の形式でユーザを指定する必要があります。
-
`-bind-password password`バインド パスワードを指定します。
-
-
必要に応じてセッション セキュリティ オプションを選択します。
LDAP署名と封印(暗号化)、またはLDAP over TLS(LDAPサーバで必要な場合)を有効にできます。
-
--session-security {none|sign|seal}署名(
sign(データ整合性)、署名とシーリング(seal(データ整合性と暗号化)、またはどちらも有効にしないnone(署名もシーリングも有効にしない)ことができます。デフォルト値は `none`です。署名とシーリングのバインドが失敗した場合に
anonymous`または `simple`にバインド認証をフォールバックさせたくない場合は、 `-min-bind-level{`sasl`も設定する必要があります。 -
-use-start-tls{true|false}`*true*`に設定され、LDAPサーバがサポートしている場合、LDAPクライアントはサーバへの暗号化されたTLS接続を使用します。デフォルト値は `*false*`です。このオプションを使用するには、LDAPサーバの自己署名ルートCA証明書をインストールする必要があります。
ストレージVMのドメインにSMBサーバが追加されており、LDAPサーバがSMBサーバのホームドメインのドメインコントローラの1つである場合は、 `vserver cifs security modify`コマンドを使用して `-session-security-for-ad-ldap`オプションを変更できます。
-
-
ポート、クエリ、およびベースの値を選択します。
デフォルト値を推奨しますが、実際の環境に適しているかどうかをLDAP管理者に確認する必要があります。
-
`-port port`LDAPサーバ ポートを指定します。
デフォルト値は `389`です。
Start TLSを使用したLDAP接続の保護を予定している場合は、デフォルトのポート389を使用する必要があります。Start TLSはLDAPのデフォルト ポート389経由でプレーンテキスト接続として開始され、その後TLS接続にアップグレードされます。ポートを変更した場合、Start TLSは失敗します。
-
`-query-timeout integer`クエリのタイムアウトを秒単位で指定します。
指定できる範囲は1~10秒です。デフォルト値は `3`秒です。
-
`-base-dn LDAP_DN`ベースDNを指定します。
必要に応じて複数の値を入力できます(例:LDAP参照追跡が有効になっている場合)。デフォルト値は
""(root)です。 -
-base-scope{base|onelevel|subtree}は基本検索範囲を指定します。デフォルト値は `subtree`です。
-
-referral-enabled{true|false}は、LDAP参照追跡を有効にするかどうかを指定します。ONTAP 9.5以降では、プライマリLDAPサーバから目的のレコードが参照先のLDAPサーバに存在することを示すLDAP参照応答が返された場合、ONTAP LDAPクライアントは検索要求を他のLDAPサーバに参照できるようになります。デフォルト値は `false`です。
-
参照されたLDAPサーバにあるレコードを検索するには、参照されたレコードのベースDNをLDAPクライアント設定の一部としてベースDNに追加する必要があります。
-
-
Storage VMでLDAPクライアント設定を作成します。
vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name {-servers LDAP_server_list | -ad-domain ad_domain} -preferred-ad-servers preferred_ad_server_list -restrict-discovery-to-site {true|false} -default-site CIFS_default_site -schema schema -port 389 -query-timeout 3 -min-bind-level {anonymous|simple|sasl} -bind-dn LDAP_DN -bind-password password -base-dn LDAP_DN -base-scope subtree -session-security {none|sign|seal} [-referral-enabled {true|false}]
LDAPクライアント設定を作成するときは、Storage VM名を指定する必要があります。
-
LDAPクライアント設定が正常に作成されたことを確認します。
vserver services name-service ldap client show -client-config client_config_name
次のコマンドでは、LDAPのActive Directoryサーバと連携するために、Storage VM vs1でldap1という名前の新しいLDAPクライアント設定を作成します。
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100
次のコマンドでは、署名と封印が必要なLDAPのActive Directoryサーバと連携するために、Storage VM vs1でldap1という名前の新しいLDAPクライアント設定を作成します。また、LDAPサーバ検出は指定したドメインの特定サイトに制限されます。
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -restrict-discovery-to-site true -default-site cifsdefaultsite.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal
次のコマンドでは、LDAPリファーラル追跡が必要なLDAPのActive Directoryサーバと連携するために、Storage VM vs1にldap1という名前の新しいLDAPクライアント設定を作成します。
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true
次のコマンドでは、ベースDNを指定することで、Storage VM vs1でldap1という名前のLDAPクライアント設定を変更します。
cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com
次のコマンドでは、リファーラル追跡を有効にすることで、Storage VM vs1のldap1という名前のLDAPクライアント設定を変更します。
cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -referral-enabled true