LDAP 개요
변경 제안
PDF
LDAP(Lightweight Directory Access Protocol) 서버를 사용하면 사용자 정보를 중앙에서 관리할 수 있습니다. 사용자 환경의 LDAP 서버에 사용자 데이터베이스를 저장하는 경우 기존 LDAP 데이터베이스에서 사용자 정보를 조회하도록 스토리지 시스템을 구성할 수 있습니다.
-
ONTAP용 LDAP를 구성하기 전에 사이트 배포가 LDAP 서버 및 클라이언트 구성에 대한 모범 사례를 충족하는지 확인해야 합니다. 특히 다음 조건을 충족해야 합니다.
-
LDAP 서버의 도메인 이름이 LDAP 클라이언트의 항목과 일치해야 합니다.
-
LDAP 서버에서 지원하는 LDAP 사용자 암호 해시 유형에는 ONTAP에서 지원하는 해시 유형이 포함되어야 합니다.
-
암호화(모든 유형) 및 SHA-1(SHA, SSHA).
-
ONTAP 9.8부터 SHA-2 해시(SHA-256, SSH-384, SHA-512, SSHA-256, SSHA-384, SSHA-512)도 지원됩니다.
-
-
LDAP 서버에 세션 보안 조치가 필요한 경우 LDAP 클라이언트에서 이를 구성해야 합니다.
다음 세션 보안 옵션을 사용할 수 있습니다.
-
LDAP 서명(데이터 무결성 검사 제공) 및 LDAP 서명 및 봉인(데이터 무결성 검사 및 암호화 제공)
-
TLS를 시작합니다
-
LDAPS(TLS 또는 SSL을 통한 LDAP)
-
-
서명되고 봉인된 LDAP 쿼리를 사용하려면 다음 서비스를 구성해야 합니다.
-
LDAP 서버는 GSSAPI(Kerberos) SASL 메커니즘을 지원해야 합니다.
-
LDAP 서버에는 DNS 서버에 설정된 PTR 레코드와 DNS A/AAAA 레코드가 있어야 합니다.
-
Kerberos 서버는 DNS 서버에 SRV 레코드가 있어야 합니다.
-
-
시작 TLS 또는 LDAPS를 활성화하려면 다음 사항을 고려해야 합니다.
-
LDAPS 대신 Start TLS를 사용하는 것이 NetApp 모범 사례입니다.
-
LDAPS를 사용하는 경우 ONTAP 9.5 이상에서 TLS 또는 SSL에 대해 LDAP 서버를 활성화해야 합니다. SSL은 ONTAP 9.0-9.4에서 지원되지 않습니다.
-
도메인에 인증서 서버가 이미 구성되어 있어야 합니다.
-
-
ONTAP 9.5 이상에서 LDAP 조회 추적을 활성화하려면 다음 조건을 충족해야 합니다.
-
두 도메인은 다음 신뢰 관계 중 하나로 구성해야 합니다.
-
양방향
-
원웨이 - 프라이머리(primary)가 추천 도메인을 신뢰하는 곳입니다
-
부모-자식
-
-
DNS는 참조된 모든 서버 이름을 확인하도록 구성되어야 합니다.
-
'--bind-as-cifs-server'가 true로 설정된 경우 도메인 암호가 인증을 위해 동일해야 합니다.
-
LDAP 조회 추적에는 다음 구성이 지원되지 않습니다.
-
모든 ONTAP 버전:
-
관리 SVM의 LDAP 클라이언트
-
ONTAP 9.8 및 이전 버전(9.9.1 이상에서 지원됨):
-
LDAP 서명 및 봉인('-session-security' 옵션)
-
암호화된 TLS 연결('-use-start-tls' 옵션)
-
LDAPS 포트 636을 통한 통신('-use-ldaps-for-ad-ldap' 옵션)
-
-
ONTAP 9.11.1부터 를 사용할 수 있습니다 "nsswitch 인증을 위한 LDAP 빠른 바인딩."
-
SVM에서 LDAP 클라이언트를 구성할 때 LDAP 스키마를 입력해야 합니다.
대부분의 경우 기본 ONTAP 스키마 중 하나가 적합합니다. 그러나 사용자 환경의 LDAP 스키마가 이러한 스키마와 다른 경우 LDAP 클라이언트를 생성하기 전에 ONTAP에 대한 새 LDAP 클라이언트 스키마를 만들어야 합니다. 사용자 환경의 요구 사항에 대해서는 LDAP 관리자에게 문의하십시오.
-
호스트 이름 확인에 LDAP를 사용하는 것은 지원되지 않습니다.
자세한 내용은 을 참조하십시오 "NetApp 기술 보고서 4835: ONTAP에서 LDAP를 구성하는 방법".