LDAPクライアント設定を作成する
変更を提案
PDF
環境内の外部LDAPサービスまたはActive DirectoryサービスにONTAPからアクセスする場合は、まずストレージシステム上にLDAPクライアントを設定する必要があります。
Active Directoryドメイン解決リストの最初の3つのサーバのいずれかが稼働し、データを提供している必要があります。そうしないと、このタスクは失敗します。
|
複数のサーバがあり、そのうちどの時点でも3台以上のサーバがダウンしています。 |
-
LDAP管理者に問い合わせて、このコマンドの適切な設定値を確認し `vserver services name-service ldap client create`ます。
-
LDAPサーバへのドメインベースまたはアドレスベースの接続を指定します。
`-ad-domain`オプションと `-servers`オプションを同時に指定することはできません。
-
オプションを使用し `-ad-domain`て、Active DirectoryドメインでLDAPサーバ検出を有効にします。
-
オプションを使用すると
-restrict-discovery-to-site、LDAPサーバ検出を、指定したドメインのCIFSデフォルトサイトに制限できます。このオプションを使用する場合は、でCIFSのデフォルトサイトを指定する必要もあり `-default-site`ます。
-
-
オプションを使用すると、優先されるActive Directoryサーバをカンマで区切ってIPアドレスで指定できます
-preferred-ad-servers。クライアントが作成されたら、コマンドを使用してこのリストを変更できますvserver services name-service ldap client modify。 -
オプションを使用する `-servers`と、1つ以上のLDAPサーバ(Active DirectoryまたはUNIX)をIPアドレスでカンマで区切って指定できます。
`-servers`オプションはONTAP 9で廃止されました。2.ONTAP 9 .2以降では、 `-ldap-servers`フィールドがフィールドに置き換わります `-servers`。このフィールドには、LDAPサーバのホスト名またはIPアドレスを指定できます。
-
-
デフォルトまたはカスタムのLDAPスキーマを指定します。
ほとんどのLDAPサーバでは、ONTAPが提供するデフォルトの読み取り専用スキーマを使用できます。他のスキーマを使用する必要がある場合を除き、デフォルトのスキーマを使用することを推奨します。他のスキーマを使用する場合は、デフォルトのスキーマ(読み取り専用)をコピーし、コピーを変更することによって、独自のスキーマを作成できます。
デフォルトのスキーマ:
-
MS-AD-BIS
RFC-2307bisに基づいて、Windows Server 2012以降のほとんどの標準的なLDAP環境で推奨されるLDAPスキーマです。
-
AD-IDMUActive Directory Identity Management for UNIXに基づいて、このスキーマはWindows 2008、Windows 2012、およびそれ以降のほとんどのADサーバに適しています。
-
AD-SFUActive Directory Services for UNIXに基づいて、このスキーマはWindows 2003以前のほとんどのADサーバに適しています。
-
RFC-2307RFC-2307 (ネットワーク情報サービスとして LDAP を使用するためのアプローチ)に基づいて、このスキーマはほとんどの UNIX AD サーバに適しています。
-
-
バインド値を選択します。
-
`-min-bind-level {anonymous|simple|sasl}`最小バインド認証レベルを指定します。
デフォルト値はです
anonymous。 -
`-bind-dn LDAP_DN`バインドユーザを指定します。
Active Directoryサーバの場合は、アカウント(domain\user)またはプリンシパル(user@domain.com)の形式でユーザを指定する必要があります。それ以外の場合は、識別名(CN=user、DC=domain、DC=com)の形式でユーザを指定する必要があります。
-
`-bind-password password`バインドパスワードを指定します。
-
-
必要に応じて、セッションセキュリティオプションを選択します。
LDAPの署名と封印、またはLDAP over TLS(LDAPサーバで必要な場合)を有効にすることができます。
-
--session-security {none|sign|seal}署名(
sign、データ整合性)、署名と封印(seal、データの整合性と暗号化を有効にすることができます。また、none`署名と封印のどちらも有効にしないことも可能です。デフォルト値はです `none。{
sasl`バインド認証をにフォールバックする場合、または `simple`署名と封印のバインドが失敗した場合以外は、} `anonymous`も設定する必要があります `-min-bind-level。 -
-use-start-tls{true|false}に設定し、LDAPサーバでサポートされている場合、
true`LDAPクライアントはサーバへの暗号化されたTLS接続を使用します。デフォルト値はです `false。このオプションを使用するには、LDAPサーバの自己署名ルートCA証明書をインストールする必要があります。
Storage VMにSMBサーバがドメインに追加されていて、LDAPサーバがSMBサーバのホームドメインのドメインコントローラの1つである場合は、コマンドを使用してオプションを
vserver cifs security modify`変更できます `-session-security-for-ad-ldap。 -
-
ポート、クエリ、およびベースの値を選択します。
デフォルト値を推奨しますが、実際の環境に適しているかどうかをLDAP管理者に確認する必要があります。
-
`-port port`LDAPサーバポートを指定します。
デフォルト値はです
389。
Start TLSを使用してLDAP接続を保護する場合は、デフォルトのポート389を使用する必要があります。Start TLSはLDAPのデフォルトポート389経由でプレーンテキスト接続として開始され、その後TLS接続にアップグレードされます。ポートを変更すると、Start TLSが失敗します。
-
`-query-timeout integer`クエリータイムアウトを秒単位で指定します。
指定できる範囲は1~10秒です。デフォルト値は秒です
3。 -
`-base-dn LDAP_DN`ベースDNを指定します。
必要に応じて複数の値を入力できます(LDAPリファーラル追跡が有効な場合など)。デフォルト値は(root)です
""。 -
-base-scope{base|onelevel|subtree}は、ベース検索範囲を指定します。デフォルト値はです
subtree。 -
-referral-enabled{true|false}LDAPリファーラル追跡を有効にするかどうかを指定します。ONTAP 9 .5以降では、必要なレコードが参照先のLDAPサーバに存在することを示すLDAPリファーラル応答がプライマリLDAPサーバから返された場合に、ONTAP LDAPクライアントが他のLDAPサーバへのルックアップ要求を参照できるようになりました。デフォルト値はです
false。
-
参照されたLDAPサーバに存在するレコードを検索するには、参照されたレコードのベースDNをLDAPクライアント設定の一部としてベースDNに追加する必要があります。
-
-
Storage VMにLDAPクライアント設定を作成します。
vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name {-servers LDAP_server_list | -ad-domain ad_domain} -preferred-ad-servers preferred_ad_server_list -restrict-discovery-to-site {true|false} -default-site CIFS_default_site -schema schema -port 389 -query-timeout 3 -min-bind-level {anonymous|simple|sasl} -bind-dn LDAP_DN -bind-password password -base-dn LDAP_DN -base-scope subtree -session-security {none|sign|seal} [-referral-enabled {true|false}]
LDAPクライアント設定を作成するときは、Storage VM名を指定する必要があります。
-
LDAPクライアント設定が正常に作成されたことを確認します。
vserver services name-service ldap client show -client-config client_config_name
次のコマンドでは、LDAPのActive Directoryサーバと連携するために、Storage VM vs1でldap1という名前の新しいLDAPクライアント設定を作成します。
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100
次のコマンドでは、署名と封印が必要なLDAPのActive Directoryサーバと連携するために、Storage VM vs1でldap1という名前の新しいLDAPクライアント設定を作成します。また、LDAPサーバ検出は指定したドメインの特定サイトに制限されます。
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -restrict-discovery-to-site true -default-site cifsdefaultsite.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal
次のコマンドでは、LDAPリファーラル追跡が必要なLDAPのActive Directoryサーバと連携するために、Storage VM vs1にldap1という名前の新しいLDAPクライアント設定を作成します。
cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true
次のコマンドでは、ベースDNを指定することで、Storage VM vs1でldap1という名前のLDAPクライアント設定を変更します。
cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com
次のコマンドでは、リファーラル追跡を有効にすることで、Storage VM vs1のldap1という名前のLDAPクライアント設定を変更します。
cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -referral-enabled true