Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP SMB サーバーの LDAP over TLS の設定

共同作成者 netapp-aherbin
PDF

ONTAP SMB サーバーに LDAP over TLS を設定して、SMB サーバーと Active Directory LDAP サーバー間の通信を保護します。

ステップ1:ONTAP SMB SVM用の自己署名ルートCA証明書をエクスポートします

Active Directory通信の保護にLDAP over SSL/TLSを使用するには、まずActive Directory証明書サービスの自己署名ルートCA証明書のコピーを証明書ファイルにエクスポートし、それをASCIIテキスト ファイルに変換する必要があります。ONTAPは、このテキスト ファイルを使用して証明書をStorage Virtual Machine(SVM)にインストールします。

CIFSサーバが属するドメインには、Active Directory証明書サービスがすでにインストールされ、設定されている必要があります。Active Directory証明書サービスのインストールと設定に関する情報については、 "Microsoft TechNetライブラリ:technet.microsoft.com/ja-jp/library/"を参照してください。手順

  1. `.pem`テキスト形式のドメイン コントローラのルート CA 証明書を取得します。

    "Microsoft TechNetライブラリ:technet.microsoft.com/ja-jp/library/"

次の手順

SVMに証明書をインストールします。

ステップ 2:自己署名ルート CA 証明書を ONTAP SMB SVM にインストールします

LDAPサーバにバインドするときにTLSを使用したLDAP認証が必要な場合は、まず自己署名されたルートCA証明書をSVMにインストールする必要があります。

タスク概要

TLS通信を使用するONTAP内のすべてのアプリケーションは、Online Certificate Status Protocol(OCSP)を使用してデジタル証明書のステータスを確認できます。LDAP over TLSでOCSPが有効になっている場合、失効した証明書は拒否され、接続は失敗します。

手順

  1. 自己署名ルートCA証明書をインストールします。

    1. 証明書のインストールを開始します。

      security certificate install -vserver <SVM_name> -type server-ca

      コンソール出力に次のメッセージが表示されます: Please enter Certificate: Press <Enter> when done

    2. 証明書 `.pem`ファイルをテキスト エディターで開き、 `-----BEGIN CERTIFICATE-----`で始まり `-----END CERTIFICATE-----`で終わる行を含む証明書をコピーして、コマンド プロンプトの後に貼り付けます。

    3. 証明書が正しく表示されることを確認します。

    4. Enterキーを押して、インストールを完了します。

  2. 証明書がインストールされていることを確認します。

    security certificate show -vserver <SVM_name>
関連情報

ステップ 3:ONTAP SMB サーバで LDAP over TLS を有効にする

SMBサーバでActive Directory LDAPサーバとのセキュアな通信にTLSを使用するためには、SMBサーバのセキュリティ設定を変更してLDAP over TLSを有効にする必要があります。

ONTAP 9.10.1以降、Active Directory(AD)とネームサービスのLDAP接続の両方で、LDAPチャネルバインディングがデフォルトでサポートされます。ONTAPは、Start-TLSまたはLDAPSが有効で、セッションセキュリティが署名またはシールに設定されている場合にのみ、LDAP接続でチャネルバインディングを試行します。ADサーバとのLDAPチャネルバインディングを無効化または再有効化するには、 `vserver cifs security modify`コマンドで `-try-channel-binding-for-ad-ldap`パラメータを使用します。

詳細については、以下を参照してください。

手順

  1. Active Directory LDAPサーバとのセキュアなLDAP通信を可能にするSMBサーバのセキュリティ設定を構成します:

    vserver cifs security modify -vserver <SVM_name> -use-start-tls-for-ad-ldap true

  2. LDAP over TLS セキュリティ設定が次のように設定されていることを確認してください true

    vserver cifs security show -vserver <SVM_name>
    メモ

    SVMが名前マッピングやその他のUNIX情報(ユーザ、グループ、ネットグループなど)の照会に同じLDAPサーバを使用する場合は、 `vserver services name-service ldap client modify`コマンドを使用して `-use-start-tls`オプションも変更する必要があります。