Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

LDAP 개요

기여자
PDF

LDAP(Lightweight Directory Access Protocol) 서버를 사용하면 사용자 정보를 중앙에서 관리할 수 있습니다. 사용자 환경의 LDAP 서버에 사용자 데이터베이스를 저장하는 경우 기존 LDAP 데이터베이스에서 사용자 정보를 조회하도록 스토리지 시스템을 구성할 수 있습니다.

  • ONTAP용 LDAP를 구성하기 전에 사이트 배포가 LDAP 서버 및 클라이언트 구성에 대한 모범 사례를 충족하는지 확인해야 합니다. 특히 다음 조건을 충족해야 합니다.

    • LDAP 서버의 도메인 이름이 LDAP 클라이언트의 항목과 일치해야 합니다.

    • LDAP 서버에서 지원하는 LDAP 사용자 암호 해시 유형에는 ONTAP에서 지원하는 해시 유형이 포함되어야 합니다.

      • 암호화(모든 유형) 및 SHA-1(SHA, SSHA).

      • ONTAP 9.8부터 SHA-2 해시(SHA-256, SSH-384, SHA-512, SSHA-256, SSHA-384, SSHA-512)도 지원됩니다.

    • LDAP 서버에 세션 보안 조치가 필요한 경우 LDAP 클라이언트에서 이를 구성해야 합니다.

      다음 세션 보안 옵션을 사용할 수 있습니다.

      • LDAP 서명(데이터 무결성 검사 제공) 및 LDAP 서명 및 봉인(데이터 무결성 검사 및 암호화 제공)

      • TLS를 시작합니다

      • LDAPS(TLS 또는 SSL을 통한 LDAP)

    • 서명되고 봉인된 LDAP 쿼리를 사용하려면 다음 서비스를 구성해야 합니다.

      • LDAP 서버는 GSSAPI(Kerberos) SASL 메커니즘을 지원해야 합니다.

      • LDAP 서버에는 DNS 서버에 설정된 PTR 레코드와 DNS A/AAAA 레코드가 있어야 합니다.

      • Kerberos 서버는 DNS 서버에 SRV 레코드가 있어야 합니다.

    • 시작 TLS 또는 LDAPS를 활성화하려면 다음 사항을 고려해야 합니다.

      • LDAPS 대신 Start TLS를 사용하는 것이 NetApp 모범 사례입니다.

      • LDAPS를 사용하는 경우 ONTAP 9.5 이상에서 TLS 또는 SSL에 대해 LDAP 서버를 활성화해야 합니다. SSL은 ONTAP 9.0-9.4에서 지원되지 않습니다.

      • 도메인에 인증서 서버가 이미 구성되어 있어야 합니다.

    • ONTAP 9.5 이상에서 LDAP 조회 추적을 활성화하려면 다음 조건을 충족해야 합니다.

      • 두 도메인은 다음 신뢰 관계 중 하나로 구성해야 합니다.

        • 양방향

        • 원웨이 - 프라이머리(primary)가 추천 도메인을 신뢰하는 곳입니다

        • 부모-자식

      • DNS는 참조된 모든 서버 이름을 확인하도록 구성되어야 합니다.

      • '--bind-as-cifs-server'가 true로 설정된 경우 도메인 암호가 인증을 위해 동일해야 합니다.

    참고

    LDAP 조회 추적에는 다음 구성이 지원되지 않습니다.

    • 모든 ONTAP 버전:

    • 관리 SVM의 LDAP 클라이언트

    • ONTAP 9.8 및 이전 버전(9.9.1 이상에서 지원됨):

    • LDAP 서명 및 봉인('-session-security' 옵션)

    • 암호화된 TLS 연결('-use-start-tls' 옵션)

    • LDAPS 포트 636을 통한 통신('-use-ldaps-for-ad-ldap' 옵션)

  • ONTAP 9.11.1부터 를 사용할 수 있습니다 "nsswitch 인증을 위한 LDAP 빠른 바인딩."

  • SVM에서 LDAP 클라이언트를 구성할 때 LDAP 스키마를 입력해야 합니다.

    대부분의 경우 기본 ONTAP 스키마 중 하나가 적합합니다. 그러나 사용자 환경의 LDAP 스키마가 이러한 스키마와 다른 경우 LDAP 클라이언트를 생성하기 전에 ONTAP에 대한 새 LDAP 클라이언트 스키마를 만들어야 합니다. 사용자 환경의 요구 사항에 대해서는 LDAP 관리자에게 문의하십시오.

  • 호스트 이름 확인에 LDAP를 사용하는 것은 지원되지 않습니다.

자세한 내용은 을 참조하십시오 "NetApp 기술 보고서 4835: ONTAP에서 LDAP를 구성하는 방법".