Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP NFS SVMでのLDAPネームサービスの使用について学習します

共同作成者 netapp-mwallis netapp-aaron-holt netapp-barbe netapp-forry netapp-aherbin
PDF

LDAPがネーム サービスに使用されている環境では、LDAP管理者と協力して要件および適切なストレージ システム構成を決定し、SVMをLDAPクライアントとして有効にする必要があります。

ONTAP 9.10.1以降、Active Directoryとネーム サービスのLDAP接続の両方で、LDAPチャネル バインディングがデフォルトでサポートされます。ONTAPは、Start-TLSまたはLDAPSが有効で、セッション セキュリティがsignまたはsealに設定されている場合にのみ、LDAP接続でチャネル バインディングを試行します。ネーム サーバとのLDAPチャネル バインディングを無効化または再有効化するには、 `ldap client modify`コマンドで `-try-channel-binding`パラメータを使用します。

詳細については、"Windows の 2020 年 LDAP チャネル バインディングおよび LDAP 署名要件"を参照してください。

  • LDAPをONTAP用に設定する前に、サイト環境がLDAPサーバおよびクライアント設定のベストプラクティスを満たしていることを確認する必要があります。具体的には、次の条件を満たす必要があります。

    • LDAPサーバのドメイン名がLDAPクライアント上のエントリと一致する必要があります。

    • LDAPサーバでサポートされるLDAPユーザのパスワード ハッシュ タイプに、ONTAPでサポートされる次のタイプが含まれている必要があります。

      • CRYPT(すべてのタイプ)およびSHA-1(SHA、SSHA)

      • ONTAP 9.8以降では、SHA-2ハッシュ(SHA-256、SSH-384、SHA-512、SSHA-256、SSHA-384、およびSSHA-512)もサポートされます。

    • LDAPサーバにセッション セキュリティ対策が必要な場合は、LDAPクライアントで設定する必要があります。

      以下のセッション セキュリティ オプションを使用できます。

      • LDAP署名(データの整合性チェックを提供)およびLDAP署名と封印(データの整合性チェックと暗号化を提供)

      • START TLS

      • LDAPS(TLSまたはSSL経由のLDAP)

    • 署名および封印されたLDAPクエリを有効にするには、次のサービスが設定されている必要があります。

      • LDAPサーバでGSSAPI(Kerberos)SASLがサポートされている必要があります。

      • LDAPサーバに、DNS A/AAAAレコード、およびDNSサーバで設定されたPTRレコードが必要です。

      • Kerberosサーバに、DNSサーバ上に存在するSRVレコードが必要です。

    • START TLSまたはLDAPSを有効にする場合、次の点を考慮する必要があります。

      • NetAppでは、LDAPSではなくStart TLSの使用を推奨しています。

      • ONTAP 9.5以降でLDAPSを使用する場合は、TLS用またはSSL用にLDAPサーバが有効になっている必要があります。ONTAP 9.0~9.4ではSSLはサポートされません。

      • 証明書サーバがドメインで設定済みである必要があります。

    • LDAPリファーラル追跡を有効にするには(ONTAP 9.5以降)、次の条件を満たしている必要があります。

      • 両方のドメインで次のいずれかの信頼関係が設定されている必要があります。

        • 双方向

        • 一方向(プライマリ ドメインがリファーラル ドメインを信頼)

        • 親子

      • 参照されているすべてのサーバ名を解決するようにDNSが設定されている必要があります。

      • --bind-as-cifs-server が true に設定されている場合、認証にはドメイン パスワードが同じである必要があります。

    メモ

    次の設定はLDAPリファーラル追跡でサポートされていません。

    • すべてのONTAPバージョン:

      • 管理SVM上のLDAPクライアント

    • ONTAP 9.8以前の場合(9.9.1以降でサポートされます):

      • LDAP署名とシーリング( `-session-security`オプション)

      • 暗号化されたTLS接続( -use-start-tls オプション)

      • LDAPSポート636経由の通信( -use-ldaps-for-ad-ldap オプション)

  • SVMでLDAPクライアントを設定する際は、LDAPスキーマを入力する必要があります。

    ほとんどの場合、デフォルトのONTAPスキーマのいずれかで問題ありません。ただし、環境のLDAPスキーマがデフォルトのスキーマと異なる場合は、LDAPクライアントを作成する前にONTAP用の新しいLDAPクライアント スキーマを作成する必要があります。環境の要件については、LDAP管理者にお問い合わせください。

  • LDAPをホスト名解決に使用することはサポートされていません。

詳細情報