LDAP クライアント設定を作成します
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
環境内の外部LDAPサービスまたはActive DirectoryサービスにONTAPからアクセスする場合は、まずストレージシステム上にLDAPクライアントを設定する必要があります。
Active Directoryドメイン解決リストの最初の3つのサーバのいずれかが稼働し、データを提供している必要があります。そうしないと、このタスクは失敗します。
複数のサーバがあり、そのうちどの時点でも3台以上のサーバがダウンしています。 |
-
LDAP管理者に問い合わせて、の適切な設定値を確認してください
vserver services name-service ldap client create
コマンドを実行します-
LDAP サーバへのドメインベースまたはアドレスベースの接続を指定します。
。
-ad-domain
および-servers
オプションを同時に指定することはできません。-
を使用します
-ad-domain
Active DirectoryドメインでLDAPサーバ検出を有効にするオプション。-
を使用できます
-restrict-discovery-to-site
LDAPサーバ検出を、指定したドメインのCIFSデフォルトサイトに制限するオプション。このオプションを使用する場合は、CIFSのデフォルトサイトも指定する必要があります。-default-site
。
-
-
を使用できます
-preferred-ad-servers
カンマで区切ってIPアドレスで1つ以上の優先Active Directoryサーバを指定するオプション。クライアントが作成されたら、を使用してこのリストを変更できますvserver services name-service ldap client modify
コマンドを実行します -
を使用します
-servers
カンマで区切ってIPアドレスで1つ以上のLDAPサーバ(Active DirectoryまたはUNIX)を指定するオプション。。
-servers
オプションはONTAP 9.2で廃止されました。ONTAP 9.2以降では、-ldap-servers
フィールドがに置き換わります-servers
フィールド。このフィールドには、LDAPサーバのホスト名またはIPアドレスを指定できます。
-
-
デフォルトまたはカスタムの LDAP スキーマを指定します。
ほとんどの LDAP サーバでは、 ONTAP が提供するデフォルトの読み取り専用スキーマを使用できます。他のスキーマを使用する必要がある場合を除き、デフォルトのスキーマを使用することを推奨します。その場合は、デフォルトスキーマ(読み取り専用)をコピーし、コピーを変更することによって、独自のスキーマを作成できます。
デフォルトのスキーマ:
-
MS-AD-BIS を参照してください
RFC 2307bis に基づいて、ほとんどの標準的な Windows 2012 以降の LDAP 環境で優先される LDAP スキーマです。
-
AD-IDMU
Active Directory Identity Management for UNIX に基づいて、このスキーマは Windows Server 2008 、 Windows Server 2012 、およびそれ以降のほとんどの AD サーバに適しています。
-
AD-SFU
Active Directory Services for UNIX に基づいて、このスキーマは Windows 2003 以前のほとんどの AD サーバに適しています。
-
RFC-2307
RFC-2307 (ネットワーク情報サービスとして LDAP を使用するためのアプローチ)に基づいて、このスキーマはほとんどの UNIX AD サーバに適しています。
-
-
バインド値を選択します。
-
-min-bind-level {anonymous|simple|sasl}
最小バインド認証レベルを指定します。デフォルト値はです
anonymous
。 -
-bind-dn LDAP_DN
バインドユーザを指定します。Active Directory サーバの場合は、アカウント( DOMAIN\user )またはプリンシパル( user@domain.com )の形式でユーザを指定する必要があります。それ以外の場合は、識別名( CN=user 、 DC=domain 、 DC=com )の形式でユーザを指定する必要があります。
-
-bind-password password
バインドパスワードを指定します。
-
-
必要に応じて、セッションセキュリティオプションを選択します。
LDAP サーバで必要な場合は、 LDAP の署名と封印または LDAP over TLS を有効にすることができます。
-
--session-security {none|sign|seal}
署名を有効にできます (
sign
、データ整合性)、署名と封印 (seal
、データ整合性と暗号化)、またはどちらでもないnone
、署名または封印なし)。デフォルト値はですnone
。また、を設定する必要があります
-min-bind-level
{sasl
}バインド認証をにフォールバックする場合を除きますanonymous
またはsimple
署名と封印のバインドが失敗した場合。 -
-use-start-tls
{true
|false
}に設定すると
true
LDAPサーバがサポートしており、LDAPクライアントはサーバへの暗号化されたTLS接続を使用します。デフォルト値はですfalse
。このオプションを使用するには、 LDAP サーバの自己署名ルート CA 証明書をインストールする必要があります。
Storage VMでSMBサーバがドメインに追加されており、LDAPサーバがSMBサーバのホームドメインのドメインコントローラの1つである場合は、
-session-security-for-ad-ldap
オプションを使用しますvserver cifs security modify
コマンドを実行します -
-
ポート、クエリ、およびベースの値を選択します。
デフォルト値を推奨しますが、実際の環境に適しているかどうかを LDAP 管理者に確認する必要があります。
-
-port port
LDAPサーバポートを指定します。デフォルト値はです
389
。
Start TLS を使用した LDAP 接続の保護を予定している場合は、デフォルトのポート 389 を使用する必要があります。Start TLS は LDAP のデフォルトポート 389 経由でプレーンテキスト接続として開始され、その後 TLS 接続にアップグレードされます。ポートを変更すると、 Start TLS は失敗します。
-
-query-timeout integer
クエリータイムアウトを秒単位で指定します。指定できる範囲は 1~10 秒です。デフォルト値はです
3
秒。 -
-base-dn LDAP_DN
ベースDNを指定します。必要に応じて複数の値を入力できます( LDAP リファーラル追跡を有効にした場合など)。デフォルト値はです
""
(ルート)。 -
-base-scope
{base
|onelevel
|subtree
}は、ベース検索範囲を指定します。デフォルト値はです
subtree
。 -
-referral-enabled
{true
|false
}LDAPリファーラル追跡を有効にするかどうかを指定します。ONTAP 9.5 以降では、 LDAP リファーラル追跡を有効にすると、必要なレコードが他の LDAP サーバにあることを示す LDAP リファーラル応答がプライマリ LDAP サーバから返された場合に、 ONTAP LDAP クライアントがそれらの LDAP サーバに対してルックアップ要求を実行することができます。デフォルト値はです
false
。
-
参照された LDAP サーバにあるレコードを検索するには、参照されたレコードのベース DN を LDAP クライアント設定の一部としてベース DN に追加する必要があります。
-
-
Storage VMにLDAPクライアント設定を作成します。
vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name {-servers LDAP_server_list | -ad-domain ad_domain} -preferred-ad-servers preferred_ad_server_list -restrict-discovery-to-site {true|false} -default-site CIFS_default_site -schema schema -port 389 -query-timeout 3 -min-bind-level {anonymous|simple|sasl} -bind-dn LDAP_DN -bind-password password -base-dn LDAP_DN -base-scope subtree -session-security {none|sign|seal} [-referral-enabled {true|false}]
LDAPクライアント設定を作成するときは、Storage VM名を指定する必要があります。
-
LDAP クライアント設定が正常に作成されたことを確認します。
vserver services name-service ldap client show -client-config client_config_name
次のコマンドでは、LDAPのActive Directoryサーバと連携するために、Storage VM vs1でldap1という名前の新しいLDAPクライアント設定を作成します。
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100
次のコマンドでは、署名と封印が必要なLDAPのActive Directoryサーバと連携するために、Storage VM vs1でldap1という名前の新しいLDAPクライアント設定を作成します。LDAPサーバの検出は指定したドメインの特定のサイトに制限されます。
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -restrict-discovery-to-site true -default-site cifsdefaultsite.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal
次のコマンドでは、LDAPリファーラル追跡が必要なLDAPのActive Directoryサーバと連携するために、Storage VM vs1でldap1という名前の新しいLDAPクライアント設定を作成します。
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true
次のコマンドでは、ベースDNを指定することで、Storage VM vs1のldap1という名前のLDAPクライアント設定を変更します。
cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com
次のコマンドは、リファーラル追跡を有効にすることで、Storage VM vs1のldap1という名前のLDAPクライアント設定を変更します。
cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -referral-enabled true