日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

LDAP の使用方法の概要

寄稿者

現在の環境で LDAP がネームサービス用に使用されている場合は、 LDAP 管理者と協力して要件および適切なストレージシステム構成を決定し、 SVM を LDAP クライアントとして有効にする必要があります。

ONTAP 9.10.1 以降では、 LDAP チャネルバインドがデフォルトで Active Directory とネームサービスの両方の LDAP 接続でサポートされます。ONTAP は、 Start-TLS または LDAPS が有効で、セッションセキュリティが署名または封印に設定されている場合にのみ、 LDAP 接続でチャネルバインドを試行します。ネーム・サーバで LDAP チャネル・バインドを無効または再度有効にするには 'ldap client modify コマンドで -try -channel-binding パラメータを使用します

  • LDAP for ONTAP を設定する前に、サイト環境が LDAP サーバおよびクライアント設定のベストプラクティスを満たしていることを確認する必要があります。具体的には、次の条件を満たす必要があります。

    • LDAP サーバのドメイン名が LDAP クライアント上のエントリと一致している必要があります。

    • LDAP サーバでサポートされている LDAP ユーザパスワードハッシュタイプには、 ONTAP でサポートされているハッシュタイプが含まれている必要があります。

      • crypt (すべてのタイプ)および SHA-1 ( SHA 、 SSHA )

      • ONTAP 9.8 以降では、 SHA-2 ハッシュ( SHA-256 、 SSH-384 、 SHA-512 、 SSHA-256 、 SSHA-384 および SSHA-512 )もサポートされます。

    • LDAP サーバにセッションセキュリティ対策が必要な場合は、 LDAP クライアントで設定する必要があります。

      次のセッションセキュリティオプションを使用できます。

      • LDAP 署名(データの整合性チェックを提供)および LDAP の署名と封印(データの整合性チェックと暗号化を提供)

      • START TLS

      • LDAPS ( LDAP over TLS または SSL )

    • 署名および封印された LDAP クエリを有効にするには、次のサービスが設定されている必要があります。

      • LDAP サーバで GSSAPI ( Kerberos ) SASL がサポートされている必要があります。

      • LDAP サーバに、 DNS A/AAAA レコード、および DNS サーバで設定された PTR レコードが必要です。

      • Kerberos サーバに、 DNS サーバ上に存在する SRV レコードが必要です。

    • TLS または LDAPS を開始できるようにするには、次の点を考慮する必要があります。

      • ネットアップでは、 LDAPS ではなく Start TLS を使用することを推奨します。

      • LDAPS を使用している場合は、 ONTAP 9.5 以降で LDAP サーバの TLS または SSL が有効になっている必要があります。ONTAP 9.0~9.4 では SSL はサポートされません。

      • 証明書サーバがドメインで設定済みである必要があります。

    • LDAP リファーラル追跡を有効にするには( ONTAP 9.5 以降)、次の条件を満たしている必要があります。

      • 両方のドメインで、次のいずれかの信頼関係を設定する必要があります。

        • 双方向

        • 一方向。一次は紹介ドメインを信頼します

        • 親子

      • 参照されているすべてのサーバ名を解決するように DNS が設定されていること。

      • bind-as-cifs-server が true に設定されている場合、認証には両ドメインのパスワードが同じであることが必要です。

    注記

    次の設定は LDAP リファーラル追跡でサポートされません。

    • すべての ONTAP バージョン:

      • 管理 SVM 上の LDAP クライアント

    • ONTAP 9.8 以前では( 9.9.1 以降でサポートされています):

      • LDAP の署名と封印(「 -session-security 」オプション)

      • 暗号化された TLS 接続 (use-start-tls オプション )

      • LDAPS ポート 636 経由の通信(「 -use-ldaps-for-ad-ldap 」オプション)

  • SVM で LDAP クライアントを設定するときは、 LDAP スキーマを入力する必要があります。

    ほとんどの場合、デフォルトの ONTAP スキーマのいずれかが適しています。ただし、環境で使用する LDAP スキーマがこれらと異なる場合は、 LDAP クライアントを作成する前に、 ONTAP 用の新しい LDAP クライアントスキーマを作成する必要があります。環境の要件については、 LDAP 管理者にお問い合わせください。

  • LDAP をホスト名解決に使用することはサポートされていません。