LDAPノシヨウホウホウノカイヨウ
変更を提案
PDF
現在の環境でLDAPがネームサービスに使用されている場合は、LDAP管理者と協力して要件と適切なストレージシステム構成を決定し、SVMをLDAPクライアントとして有効にする必要があります。
詳細については、を参照してください "2020 年の Windows 向け LDAP チャネルバインドおよび LDAP 署名の要件"。
-
ONTAP用にLDAPを設定する前に、サイト環境がLDAPサーバとクライアントの設定のベストプラクティスを満たしていることを確認する必要があります。具体的には、次の条件を満たす必要があります。
-
LDAPサーバのドメイン名がLDAPクライアントのエントリと一致している必要があります。
-
LDAPサーバでサポートされるLDAPユーザパスワードのハッシュタイプには、ONTAPでサポートされるハッシュタイプが含まれている必要があります。
-
Crypt(すべてのタイプ)およびSHA-1(SHA、SSHA)。
-
ONTAP 9 .8以降では、SHA-2ハッシュ(SHA-256、SSH-384、SHA-512、SSHA-256、SSHA-384、およびSSHA-512)もサポートされます。
-
-
LDAPサーバでセッションセキュリティ対策が必要な場合は、LDAPクライアントで設定する必要があります。
次のセッションセキュリティオプションを使用できます。
-
LDAP署名(データ整合性チェックを提供)およびLDAP署名と封印(データ整合性チェックと暗号化を提供)
-
START TLS
-
LDAPS ( LDAP over TLS または SSL )
-
-
署名および封印されたLDAPクエリを有効にするには、次のサービスを設定する必要があります。
-
LDAPサーバは、GSSAPI(Kerberos)SASLメカニズムをサポートしている必要があります。
-
LDAPサーバには、DNS A/AAAAレコードと、DNSサーバで設定されたPTRレコードが必要です。
-
Kerberosサーバには、DNSサーバ上にSRVレコードが存在する必要があります。
-
-
START TLSまたはLDAPSを有効にするには、次の点を考慮する必要があります。
-
NetAppでは、LDAPSではなくStart TLSを使用することを推奨します。
-
LDAPSを使用する場合は、ONTAP 9 .5以降で、TLSまたはSSLに対してLDAPサーバが有効になっている必要があります。ONTAP 9ではSSLはサポートされていません。0-9.4
-
証明書サーバがドメインで設定済みである必要があります。
-
-
LDAPリファーラル追跡を有効にするには(ONTAP 9 .5以降で)、次の条件を満たす必要があります。
-
両方のドメインに次のいずれかの信頼関係を設定する必要があります。
-
双方向
-
一方向(プライマリがリファーラルドメインを信頼する場合)
-
親子
-
-
参照されるすべてのサーバ名を解決するようにDNSを設定する必要があります。
-
bind-as-cifs-server が true に設定されている場合、認証には両ドメインのパスワードが同じであることが必要です。
-
次の設定はLDAPリファーラル追跡ではサポートされていません。
-
すべてのONTAPバージョン:
-
管理 SVM 上の LDAP クライアント
-
-
ONTAP 9.8 以前では( 9.9.1 以降でサポートされています):
-
LDAPの署名と封印( `-session-security`オプション)
-
暗号化されたTLS接続( `-use-start-tls`オプション)
-
LDAPSポート636経由の通信( `-use-ldaps-for-ad-ldap`オプション)
-
-
-
SVMでLDAPクライアントを設定するときは、LDAPスキーマを入力する必要があります。
ほとんどの場合、デフォルトのONTAPスキーマのいずれかが適切です。ただし、環境で使用するLDAPスキーマがこれらと異なる場合は、LDAPクライアントを作成する前に、ONTAP用の新しいLDAPクライアントスキーマを作成する必要があります。環境の要件については、LDAP管理者にお問い合わせください。
-
ホスト名解決にLDAPを使用することはサポートされていません。