Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

LDAP クライアント設定を作成します

共同作成者
PDF

環境内の外部LDAPサービスまたはActive DirectoryサービスにONTAPからアクセスする場合は、まずストレージシステム上にLDAPクライアントを設定する必要があります。

必要なもの

Active Directoryドメイン解決リストの最初の3つのサーバのいずれかが稼働し、データを提供している必要があります。そうしないと、このタスクは失敗します。

メモ

複数のサーバがあり、そのうちどの時点でも3台以上のサーバがダウンしています。
手順

  1. LDAP管理者に問い合わせて、の適切な設定値を確認してください vserver services name-service ldap client create コマンドを実行します

    1. LDAP サーバへのドメインベースまたはアドレスベースの接続を指定します。

      -ad-domain および -servers オプションを同時に指定することはできません。

      • を使用します -ad-domain Active DirectoryドメインでLDAPサーバ検出を有効にするオプション。

        • を使用できます -restrict-discovery-to-site LDAPサーバ検出を、指定したドメインのCIFSデフォルトサイトに制限するオプション。このオプションを使用する場合は、CIFSのデフォルトサイトも指定する必要があります。 -default-site

      • を使用できます -preferred-ad-servers カンマで区切ってIPアドレスで1つ以上の優先Active Directoryサーバを指定するオプション。クライアントが作成されたら、を使用してこのリストを変更できます vserver services name-service ldap client modify コマンドを実行します

      • を使用します -servers カンマで区切ってIPアドレスで1つ以上のLDAPサーバ(Active DirectoryまたはUNIX)を指定するオプション。

        メモ

        -servers オプションはONTAP 9.2で廃止されました。ONTAP 9.2以降では、 -ldap-servers フィールドがに置き換わります -servers フィールド。このフィールドには、LDAPサーバのホスト名またはIPアドレスを指定できます。

    2. デフォルトまたはカスタムの LDAP スキーマを指定します。

      ほとんどの LDAP サーバでは、 ONTAP が提供するデフォルトの読み取り専用スキーマを使用できます。他のスキーマを使用する必要がある場合を除き、デフォルトのスキーマを使用することを推奨します。その場合は、デフォルトスキーマ(読み取り専用)をコピーし、コピーを変更することによって、独自のスキーマを作成できます。

      デフォルトのスキーマ:

      • MS-AD-BIS を参照してください

        RFC 2307bis に基づいて、ほとんどの標準的な Windows 2012 以降の LDAP 環境で優先される LDAP スキーマです。

      • AD-IDMU

        Active Directory Identity Management for UNIX に基づいて、このスキーマは Windows Server 2008 、 Windows Server 2012 、およびそれ以降のほとんどの AD サーバに適しています。

      • AD-SFU

        Active Directory Services for UNIX に基づいて、このスキーマは Windows 2003 以前のほとんどの AD サーバに適しています。

      • RFC-2307

        RFC-2307 (ネットワーク情報サービスとして LDAP を使用するためのアプローチ)に基づいて、このスキーマはほとんどの UNIX AD サーバに適しています。

    3. バインド値を選択します。

      • -min-bind-level {anonymous|simple|sasl} 最小バインド認証レベルを指定します。

        デフォルト値はです anonymous

      • -bind-dn LDAP_DN バインドユーザを指定します。

        Active Directory サーバの場合は、アカウント( DOMAIN\user )またはプリンシパル( user@domain.com )の形式でユーザを指定する必要があります。それ以外の場合は、識別名( CN=user 、 DC=domain 、 DC=com )の形式でユーザを指定する必要があります。

      • -bind-password password バインドパスワードを指定します。

    4. 必要に応じて、セッションセキュリティオプションを選択します。

      LDAP サーバで必要な場合は、 LDAP の署名と封印または LDAP over TLS を有効にすることができます。

      • --session-security {none|sign|seal}

        署名を有効にできます (sign、データ整合性)、署名と封印 (seal、データ整合性と暗号化)、またはどちらでもない none、署名または封印なし)。デフォルト値はです none

        また、を設定する必要があります -min-bind-level {sasl}バインド認証をにフォールバックする場合を除きます anonymous または simple 署名と封印のバインドが失敗した場合。

      • -use-start-tls {true|false

        に設定すると true LDAPサーバがサポートしており、LDAPクライアントはサーバへの暗号化されたTLS接続を使用します。デフォルト値はです false。このオプションを使用するには、 LDAP サーバの自己署名ルート CA 証明書をインストールする必要があります。

      メモ

      Storage VMでSMBサーバがドメインに追加されており、LDAPサーバがSMBサーバのホームドメインのドメインコントローラの1つである場合は、 -session-security-for-ad-ldap オプションを使用します vserver cifs security modify コマンドを実行します

    5. ポート、クエリ、およびベースの値を選択します。

      デフォルト値を推奨しますが、実際の環境に適しているかどうかを LDAP 管理者に確認する必要があります。

      • -port port LDAPサーバポートを指定します。

        デフォルト値はです 389

      Start TLS を使用した LDAP 接続の保護を予定している場合は、デフォルトのポート 389 を使用する必要があります。Start TLS は LDAP のデフォルトポート 389 経由でプレーンテキスト接続として開始され、その後 TLS 接続にアップグレードされます。ポートを変更すると、 Start TLS は失敗します。

      • -query-timeout integer クエリータイムアウトを秒単位で指定します。

        指定できる範囲は 1~10 秒です。デフォルト値はです 3 秒。

      • -base-dn LDAP_DN ベースDNを指定します。

        必要に応じて複数の値を入力できます( LDAP リファーラル追跡を有効にした場合など)。デフォルト値はです "" (ルート)。

      • -base-scope {base|onelevel|subtree}は、ベース検索範囲を指定します。

        デフォルト値はです subtree

      • -referral-enabled {true|false}LDAPリファーラル追跡を有効にするかどうかを指定します。

        ONTAP 9.5 以降では、 LDAP リファーラル追跡を有効にすると、必要なレコードが他の LDAP サーバにあることを示す LDAP リファーラル応答がプライマリ LDAP サーバから返された場合に、 ONTAP LDAP クライアントがそれらの LDAP サーバに対してルックアップ要求を実行することができます。デフォルト値はです false

    参照された LDAP サーバにあるレコードを検索するには、参照されたレコードのベース DN を LDAP クライアント設定の一部としてベース DN に追加する必要があります。

  2. Storage VMにLDAPクライアント設定を作成します。

    vserver services name-service ldap client create -vserver vserver_name -client-config client_config_name {-servers LDAP_server_list | -ad-domain ad_domain} -preferred-ad-servers preferred_ad_server_list -restrict-discovery-to-site {true|false} -default-site CIFS_default_site -schema schema -port 389 -query-timeout 3 -min-bind-level {anonymous|simple|sasl} -bind-dn LDAP_DN -bind-password password -base-dn LDAP_DN -base-scope subtree -session-security {none|sign|seal} [-referral-enabled {true|false}]

    メモ

    LDAPクライアント設定を作成するときは、Storage VM名を指定する必要があります。

  3. LDAP クライアント設定が正常に作成されたことを確認します。

    vserver services name-service ldap client show -client-config client_config_name

次のコマンドでは、LDAPのActive Directoryサーバと連携するために、Storage VM vs1でldap1という名前の新しいLDAPクライアント設定を作成します。

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level simple -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100

次のコマンドでは、署名と封印が必要なLDAPのActive Directoryサーバと連携するために、Storage VM vs1でldap1という名前の新しいLDAPクライアント設定を作成します。LDAPサーバの検出は指定したドメインの特定のサイトに制限されます。

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -restrict-discovery-to-site true -default-site cifsdefaultsite.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn DC=addomain,DC=example,DC=com -base-scope subtree -preferred-ad-servers 172.17.32.100 -session-security seal

次のコマンドでは、LDAPリファーラル追跡が必要なLDAPのActive Directoryサーバと連携するために、Storage VM vs1でldap1という名前の新しいLDAPクライアント設定を作成します。

cluster1::> vserver services name-service ldap client create -vserver vs1 -client-config ldapclient1 -ad-domain addomain.example.com -schema AD-SFU -port 389 -query-timeout 3 -min-bind-level sasl -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com" -base-scope subtree -preferred-ad-servers 172.17.32.100 -referral-enabled true

次のコマンドでは、ベースDNを指定することで、Storage VM vs1のldap1という名前のLDAPクライアント設定を変更します。

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn CN=Users,DC=addomain,DC=example,DC=com

次のコマンドは、リファーラル追跡を有効にすることで、Storage VM vs1のldap1という名前のLDAPクライアント設定を変更します。

cluster1::> vserver services name-service ldap client modify -vserver vs1 -client-config ldap1 -base-dn "DC=adbasedomain,DC=example1,DC=com; DC=adrefdomain,DC=example2,DC=com"  -referral-enabled true